Después de mucho tiempo sin escribir con alguna que otra investigación voy a documentar cómo voy a configurar el router Mikrotik hAP ax^3 que tengo. Recordad, si no lo conté en su momento, que no está conectado directamente a la fibra, pero todas las conexiones pasan por él.
No obstante, como fuente de información voy a utilizar la oficial de Proton. ¡Ah! También recalcar que en esas instrucciones tiran de consola y ya veré si lo hago tal cual lo explican o lo traslado a interfaz gráfica. Como de costumbre, pondré capturas o los comandos introducidos con su la tipografía que habitualmente pongo.
Una vez creada una cuenta (gratuita), hay que ir a la página de descargas y buscar "wireguard" para generar un fichero de configuración:
 |
| Creando fichero Wireguard en ProtonVPN |
En mi caso quiero seleccionar que voy a configurar un enrutador. El resto de valores los voy a dejar por defecto. Ojo, porque alguno de ellos pudiera hacer falta pagar la suscripción pertinente.
Al hacer click sobre el botón crear aparecerá una ventana emergente con todos los datos que te harán falta. Tendrás que copiarlos y pegarlos en un fichero de texto antes de cerrarla porque, tal y como te indican, muchos de esos valores no se volverán a mostrar teniendo que generar otro nuevo (si es que te deja con la suscripción que tengas).
 |
| Fichero de configuración Wireguard creado |
Desde la herramienta Winbox, vamos a crear una interfaz Wireguard. Un recordatorio más: Mikrotik lo soporta nativamente desde la versión 7. Una vez hemos accedido al router, seleccionamos Wireguard en el menú de la izquierda. Nos abrirá otra ventana donde seleccionaremos el botón "+". En la ventana que nos aparezca podremos decidir cambiar el nombre de la interfaz que tendrá. Lo que sí o sí hay que hacer es poner la clave privada que nos hayan generado.
 |
| Creando interfaz Wireguard desde Mikrotik |
Con la interfaz creada hay que asignarle una dirección IP, una dirección de red, etc.
 |
| Configurar direccionamiento IP en interfaz Wireguard |
En el ejemplo del manual están ejecutando estas líneas:
/ip address
add address=10.2.0.2/30 interface=wireguard-inet network=10.2.0.0
Con estos datos configurados hay que configurar el router como cliente (lo que llaman peer). Eso se hace desde la pestaña peer en la ventana de Wireguard. Habrá que indicar el nombre descriptivo (es opcional), la interfaz (en nuestro caso wireguard1) y los valores que podrás encontrar en el fichero generado (public key, IP y puerto del endpoint). El valor de keepalive lo pondremos a 25 segundos. Si no pones el valor de allowed addresses no te dejará aplicar esta configuración.
 |
| Configurando Mikrotik como peer / cliente |
Lo siguiente que hay que hacer es configurar el masquerade, que es el que hace que una tarjeta de red con una dirección IP se oculte detrás de otra. Es lo que comúnmente llamamos NAT. En mi caso, como ya tengo más entradas, me pudiera encontrar con que falle y no funcione, o que incluso para conexiones internas me deje de funcionar o que haga otras cosas más extrañas. Sólo voy a poner un ejemplo de cómo seria. Yo he puesto tantos como casos me corresponden:
Configurando NAT para Wireguard en Mikrotik
Primera configuración de tabla de enrutado para Wireguard en Mikrotik
Segunda configuración de tabla de enrutado para Wireguard en Mikrotik
El siguiente paso sería configurar los DNSs. Si bien te indican que pongas el suyo, 10.2.0.1 (que acaba siendo el gateway propio del sistema), en teoría se pueden usar otros, al menos es lo que parece si probamos a hacer ping a los que queremos usar: 9.9.9.11.
Además del DNS, te indican que configures el cliente dhcp de la tarjeta de red conectada al router de Internet (entiendo que también sería la ONT, etc). Esta parte la ignoré porque no estaba activándolo pero he tenido muchos problemas y parece que va mejor si se pone. En este caso, lo que he hecho ha sido ejecutarlo por consola y después desde la GUI activarlo (ya que precisamente esa entrada la tenía desactivada). El comando que he ejecutado ha sido:
/ip dhcp-client
set 0 use-peer-dns=no
Lo último es configurar una entrada más en la tabla de enrutado en el que se pone la dirección IP que se indica en el campo endpoint del fichero que hemos descargado en el campo dst address y el gateway la dirección IP específica del router hacia Internet. Recuerdo que este no está conectado directamente a la fibra.
En este punto, si hacemos ping contra Quad9 y después habilitamos las tres entradas que hemos creado veremos que se produce un pequeño corte pero después vuelve una conexión, pero se ve que la respuesta es más lenta:
 |
| Probando Wireguard en Mikrotik usando ping contra Quad9 |
En teoría, con toda esta configuración, debería de funcionar. No obstante: me he encontrado con problemas. Tuve que desactivar el DoH (DNS over HTTPS). Otro problema es que según le daba, al menos hasta que he configurado el DHCP-client, es que precisamente haciendo ping a veces iba como un tiro y en otras ocasiones dejaba de funcionar, tanto llamando a una dirección IP como a una URL.
Llevaba mucho tiempo queriendo probar esta historia, y aprovechando la historia de Cloudfare, ya me he puesto a buscar.
Lo voy a dejar aquí. Al final estoy aplicando lo que dicen en el manual oficial en mi sistema. Pudiera ser que acabe de escribir estas líneas, quiera guardar y publicar este post y me deje mal. Aún así, no descartaría que en algún momento se me ocurra probar otro servicio o intente afinar la configuración.
No hay comentarios:
Publicar un comentario