Vraag

vrijdag 2 juni 2023 19:03

Acties:
  • 0 Henk 'm!
  • mhaket
  • Registratie: Augustus 2006
  • Laatst online: 08-09 15:48

mhaket

Topicstarter
Ik heb wireguard geinstalleerd op mijn mikrotik router en iphone en daarvoor heb o.a. ik de tutorial gevolgd van YouTube: Wireguard setup with MikroTik and your smartphone. Ik heb nu, na het enablen van wireguard, keurig verbinding vanuit mijn iphone op mijn lokale netwerk maar ik kan op mijn iPhone via wireguard niet op WAN komen en dat zou ik wel graag willen.

Ik heb al flink wat sites doorgeploegd en op grond daarvan heb ik een extra interface list WAN aangemaakt en daarin de wireguard interface en de bridge toegevoegd maar dat heeft nog niet het gewenste resultaat.

Kan iemand me een duwtje geven in de juiste richting? Ik wil dus dat verkeer dat binnenkomt via de wireguard interface gerouteerd wordt naar de WAN interface als het niet om een lokaal adres gaat.

Mikrotik Router RB2011iLS-IN
RouterOS: v7.9.1

Alle reacties

zaterdag 3 juni 2023 09:32

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 19:58

Ben(V)

Begrijp ik het goed dat je met je iPhone via gsm op het internet zit dan via wireguard op je LAN terechtkomt en daarna weer op je WAN (ofwel het internet) wil komen?
Dat kan dus nooit en dat zou je ook niet willen want dan leg je effectief je LAN rechtstreeks aan het internet via je iPhone.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 3 juni 2023 09:52

Acties:
  • 0 Henk 'm!
  • UTPBlokje
  • Registratie: Februari 2020
  • Laatst online: 12-09 11:02

UTPBlokje

Dit is zeker mogelijk. Dit verstaan we onder een fulltunnel vpn.

Je bent waarschijnlijk vergeten je ipreeks die je voor wireguard gebruikt in de lan adres list te zetten. Of handmatig alle regels aan te maken voor het nat/masquerade gedeelte.

zaterdag 3 juni 2023 11:00

Acties:
  • 0 Henk 'm!
  • mhaket
  • Registratie: Augustus 2006
  • Laatst online: 08-09 15:48

mhaket

Topicstarter
Ben(V) schreef op zaterdag 3 juni 2023 @ 09:32:
Begrijp ik het goed dat je met je iPhone via gsm op het internet zit dan via wireguard op je LAN terechtkomt en daarna weer op je WAN (ofwel het internet) wil komen?
Klopt. Ik wil hiermee zorgen dat ik op het internet kom via mijn huis IP adres.

zaterdag 3 juni 2023 11:03

Acties:
  • 0 Henk 'm!
  • mhaket
  • Registratie: Augustus 2006
  • Laatst online: 08-09 15:48

mhaket

Topicstarter
UTPBlokje schreef op zaterdag 3 juni 2023 @ 09:52:
Dit is zeker mogelijk. Dit verstaan we onder een fulltunnel vpn.

Je bent waarschijnlijk vergeten je ipreeks die je voor wireguard gebruikt in de lan adres list te zetten. Of handmatig alle regels aan te maken voor het nat/masquerade gedeelte.
Ik had al wel de wireguard interface in de WAN en LAN interface list gezet. Deze lists bestonden nog niet en heb ik dus aangemaakt. In de WAN list heb ik ook de interface gezet waarop de WAN connectie is (ether1-wan in mijn geval) en in de LAN heb ik bridge gezet. Wat dus niet het gewenste resultaat geeft.

Praktische vraag dan, hoe zet ik die wireguard 'adres space' in de LAN adres lijst dan? En welke regels zou ik moeten aanmaken voor NAT/masquerade? Je hoeft ze me niet voor te 'kauwen' maar ik zoek meer hulp in wat ik moet enablen, dan zoek ik de juiste regels er wel bij.

[ Voor 10% gewijzigd door mhaket op 03-06-2023 11:13 . Reden: Vraag verduidelijkt ]

zaterdag 3 juni 2023 11:21

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 00:27

lier

MikroTik nerd

Het zou kunnen dat NAT loopback (hairpin NAT) niet werkt, of je firewall is nog niet goed ingesteld.

Voor dat laatste:

code:
1

/ip/firewall/export


(haal eventuele private gegevens weg)

[ Voor 15% gewijzigd door lier op 03-06-2023 11:22 ]

Eerst het probleem, dan de oplossing

zaterdag 3 juni 2023 12:51

Acties:
  • 0 Henk 'm!
  • mhaket
  • Registratie: Augustus 2006
  • Laatst online: 08-09 15:48

mhaket

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

[admin@MikroTik] > ip/firewall export
# jun/03/2023 12:48:39 by RouterOS 7.9.1
# software id = VA5L-47PT
#
# model = RB2011iLS
# serial number = xxxxxxxxxxx
/ip firewall address-list
add address=xxxxx.sn.mynetname.net list="WAN IP"
/ip firewall connection tracking
set udp-timeout=20s
/ip firewall filter
add action=accept chain=input comment="Allow SIP" dst-port=3865 protocol=tcp
add action=accept chain=input connection-type=sip
add action=accept chain=input comment=Wireguard dst-port=20920 in-interface=ether1-wan protocol=udp
add action=drop chain=input comment="reject ICMP remote" in-interface=ether1-wan protocol=icmp
add action=accept chain=input comment="defconf: accept ICMP local" in-interface=!ether1-wan protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1-wan
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
add action=drop chain=input dst-address-list="WAN IP" dst-port=21 protocol=tcp
add action=drop chain=input dst-address-list="WAN IP" dst-port=22 protocol=tcp
add action=drop chain=input dst-address-list="WAN IP" dst-port=23 protocol=tcp
add action=drop chain=input dst-address-list="WAN IP" dst-port=80 protocol=tcp
add action=drop chain=input dst-address-list="WAN IP" dst-port=161 protocol=tcp
add action=drop chain=input dst-address-list="WAN IP" dst-port=8291 protocol=tcp
add action=drop chain=input dst-address-list="WAN IP" dst-port=8729 protocol=tcp
add action=drop chain=forward comment="drop all else" disabled=yes
/ip firewall mangle
add action=mark-connection chain=forward dst-port=5060 new-connection-mark=SIP_Connection passthrough=yes protocol=udp
add action=mark-packet chain=forward connection-mark=SIP_Connection new-packet-mark=SIP_Packet passthrough=yes
add action=mark-connection chain=forward new-connection-mark=RTP_Connection passthrough=yes port=30000-40000 protocol=udp
add action=mark-packet chain=forward connection-mark=RTP_Connection new-packet-mark=RTP_Packet passthrough=yes
add action=change-dscp chain=postrouting disabled=yes new-dscp=46 packet-mark=RTP_Packet passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=192.168.0.0/24 src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1-wan src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment=Wireguard dst-port=20920 in-interface=ether1-wan protocol=udp to-addresses=192.168.0.111 to-ports=20920
/ip firewall service-port
set sip disabled=yes

zaterdag 3 juni 2023 13:10

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 00:27

lier

MikroTik nerd

Mmmm...beetje een zooitje.

Tip:
  • Sorteer op chain, dus eerst input, dan forward. IUberhaupt is volgorde van invloed op performance.
  • Eindig beide chains met een drop all rule (maar zorg dat je voor die tijd een accept voor managment toevoegt. Op dit moment hebben de drop rules (port 21, 22, etc.) helemaal geen nut.
  • ICMP toestaan op je WAN poort, deze wordt voor meer dan ping gebruikt.
Mangle heb ik geen ervaring mee...zie je dat je Hairpin NAT rule geraakt wordt?
Volgens mij is de dst-nat rule alleen nodig als je wil forwarden, toegang via de input chain volstaat. Wordt deze geraakt.
Beiden controleren via de counters van de firewall.

Eerst het probleem, dan de oplossing

zaterdag 3 juni 2023 13:13

Acties:
  • 0 Henk 'm!
  • mhaket
  • Registratie: Augustus 2006
  • Laatst online: 08-09 15:48

mhaket

Topicstarter
Zooitje kan kloppen, begonnen vanuit default setup is er in beetje jaren steeds een beetje veranderd. In het begin met heel weinig kennis dus veel kopiëren van howto's. Nu pas eigenlijk meer iets meer aan het verdiepen.

Zal eerst opruiming houden.

zaterdag 3 juni 2023 13:53

Acties:
  • 0 Henk 'm!
  • allure
  • Registratie: Mei 2001
  • Laatst online: 12-09 11:59

allure

Titaan fase 2/3

heb je 0.0.0.0/0 ook opgenomen in je allowed adresses?

ik zou het xxxx.sn.mynetname.net uit je config halen.

[ Voor 38% gewijzigd door allure op 03-06-2023 13:57 ]

zaterdag 3 juni 2023 15:15

Acties:
  • 0 Henk 'm!
  • mhaket
  • Registratie: Augustus 2006
  • Laatst online: 08-09 15:48

mhaket

Topicstarter
allure schreef op zaterdag 3 juni 2023 @ 13:53:
heb je 0.0.0.0/0 ook opgenomen in je allowed adresses?
Volgens mij wel. Zal checken.

zaterdag 3 juni 2023 19:43

Acties:
  • 0 Henk 'm!
  • UTPBlokje
  • Registratie: Februari 2020
  • Laatst online: 12-09 11:02

UTPBlokje

Welk ippool heb je aan de wireguard gehangen. Op dit moment mag alleen netwerk 192.168.0.0/24 naar buiten.
Ook portforward je nu de wireguard poort naar 192.168.0.111. dit is overbodig.

zaterdag 3 juni 2023 21:34

Acties:
  • 0 Henk 'm!
  • mhaket
  • Registratie: Augustus 2006
  • Laatst online: 08-09 15:48

mhaket

Topicstarter
UTPBlokje schreef op zaterdag 3 juni 2023 @ 19:43:
Welk ippool heb je aan de wireguard gehangen. Op dit moment mag alleen netwerk 192.168.0.0/24 naar buiten.
Ook portforward je nu de wireguard poort naar 192.168.0.111. dit is overbodig.
192.168.100.0/24 dus dat kan wel het gedrag verklaren.
Die forward niet idd weg is een overblijfsel van poging om de wireguard op een dedicated VM te draaien.

zaterdag 3 juni 2023 21:41

Acties:
  • 0 Henk 'm!
  • Oon
  • Registratie: Juni 2019
  • Niet online

Oon

Ben(V) schreef op zaterdag 3 juni 2023 @ 09:32:
Begrijp ik het goed dat je met je iPhone via gsm op het internet zit dan via wireguard op je LAN terechtkomt en daarna weer op je WAN (ofwel het internet) wil komen?
Dat kan dus nooit en dat zou je ook niet willen want dan leg je effectief je LAN rechtstreeks aan het internet via je iPhone.
Dat is toch het hele idee van een VPN? 8)7 Als je niet op het internet kunt komen heb je er op een telefoon weinig aan

zondag 4 juni 2023 00:49

Acties:
  • +1 Henk 'm!
  • UTPBlokje
  • Registratie: Februari 2020
  • Laatst online: 12-09 11:02

UTPBlokje

mhaket schreef op zaterdag 3 juni 2023 @ 21:34:
[...]

192.168.100.0/24 dus dat kan wel het gedrag verklaren.
Die forward niet idd weg is een overblijfsel van poging om de wireguard op een dedicated VM te draaien.
Dan portforward verwijderen en deze toevoegen.
code:
1
2

/ip firewall nat
add action=masquerade chain=srcnat comment="Wireguard to Wan" out-interface=ether1-wan src-address=192.168.100.0/24

[ Voor 3% gewijzigd door UTPBlokje op 04-06-2023 00:50 ]

zondag 4 juni 2023 00:56

Acties:
  • 0 Henk 'm!
  • FreakNL
  • Registratie: Januari 2001
  • Laatst online: 01:14

FreakNL

Well do ya punk?

Oon schreef op zaterdag 3 juni 2023 @ 21:41:
[...]

Dat is toch het hele idee van een VPN? 8)7 Als je niet op het internet kunt komen heb je er op een telefoon weinig aan
Hangt ervanaf wat je wilt.

Wil je op afstand via je thuislijntje kunnen internetten (bijvoorbeeld om Ziggo Go in het buitenland te gebruiken) of wil je alleen de devices op je thuis-lan benaderen….

Een VPN is niet specifiek om “te internetten”… Juist niet eigenlijk.

zondag 4 juni 2023 09:08

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 19:58

Ben(V)

Oon schreef op zaterdag 3 juni 2023 @ 21:41:
[...]

Dat is toch het hele idee van een VPN? 8)7 Als je niet op het internet kunt komen heb je er op een telefoon weinig aan
Zijn telefoon zit al op het internet.
Als hij gewoon via wifi zo werken is het geen probleem.
Hij zit met zijn iPhone via gsm op het internet >> via een VPN tunnel naar Lan >> vanaf het Lan terug het internet op.
Wat het nut is weet ik ook niet.

[ Voor 18% gewijzigd door Ben(V) op 04-06-2023 09:12 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zondag 4 juni 2023 09:54

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 22:37

laurens0619

Ben(V) schreef op zondag 4 juni 2023 @ 09:08:
[...]


Zijn telefoon zit al op het internet.
Als hij gewoon via wifi zo werken is het geen probleem.
Hij zit met zijn iPhone via gsm op het internet >> via een VPN tunnel naar Lan >> vanaf het Lan terug het internet op.
Wat het nut is weet ik ook niet.
mhaket schreef op zaterdag 3 juni 2023 @ 11:00:
[...]

Klopt. Ik wil hiermee zorgen dat ik op het internet kom via mijn huis IP adres.
Helemaal niet zo rare use case hoor. Bv voor netflix, iptv, whitelisting etc

CISSP! Drop your encryption keys!

zondag 4 juni 2023 10:21

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 19:58

Ben(V)

In dit geval is enkel de verbinding tussen de iPhone en het Lan een VPN tunnel.
Dus zie ik geen verschil met rechtstreeks vanaf de iPhone het internet gebruiken.

Het enige voordeel wat ik zie is dat hij als hij via een VPN op z'n Lan zit hij de VPN niet hoeft te verbreken om het internet op te kunnen, maar dat los je beter op door in de VPN client op z'n IPhone de split tunnel functionaliteit aan te zetten.

[ Voor 6% gewijzigd door Ben(V) op 04-06-2023 10:23 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zondag 4 juni 2023 14:11

Acties:
  • +1 Henk 'm!
  • mhaket
  • Registratie: Augustus 2006
  • Laatst online: 08-09 15:48

mhaket

Topicstarter
Inderdaad, use case is ook in vanuit USA gewoon gebruik te kunnen maken van bijvoorbeeld mijn TV aanbieder. Kan ook via een 'standaard' VPN aanbieder maar waarom niet meteen combineren?

zondag 4 juni 2023 18:00

Acties:
  • +1 Henk 'm!
  • Oon
  • Registratie: Juni 2019
  • Niet online

Oon

Ben(V) schreef op zondag 4 juni 2023 @ 09:08:
[...]


Zijn telefoon zit al op het internet.
Als hij gewoon via wifi zo werken is het geen probleem.
Hij zit met zijn iPhone via gsm op het internet >> via een VPN tunnel naar Lan >> vanaf het Lan terug het internet op.
Wat het nut is weet ik ook niet.
Dat is toch echt tegenwoordig de meestvoorkomende usecase; mensen gebruiken een VPN om vanaf een ander IP-adres en/of via een beter beveiligde verbinding te internetten, niet om twee netwerken met elkaar te verbinden. Voor servers wordt een VPN wel eens op die manier gebruikt, maar zo goed als nooit voor een iPhone.

En waarom rommelen met VPN aan en uit zetten als je gewoon tunnelen in je VPN aan kunt zetten en altijd gebruik kunt maken van je VPN? Dan weet je zeker dat als je ooit op openbare wifi zit er niemand mee kan kijken aan die kant, en heb je geen gedoe met een mobiel IP-adres dat constant wisselt.

zondag 4 juni 2023 18:05

Acties:
  • +1 Henk 'm!
  • Oon
  • Registratie: Juni 2019
  • Niet online

Oon

mhaket schreef op zondag 4 juni 2023 @ 14:11:
Inderdaad, use case is ook in vanuit USA gewoon gebruik te kunnen maken van bijvoorbeeld mijn TV aanbieder. Kan ook via een 'standaard' VPN aanbieder maar waarom niet meteen combineren?
Ik weet niet hoe het bij Mikrotik zit, maar mijn FRITZ!Box heeft ook Wireguard ingebouwd en die heb ik ingesteld op mijn telefoon, die krijgt wel gewoon toegang tot het internet.

Kun je eens je WG config delen zonder keys?

Ik heb onder Interface alleen een Address en DNS ingesteld staan, en onder Peer ook een AllowedIPs met daarin het IP-adres dat de client krijgt wanneer deze verbindt

zondag 4 juni 2023 23:03

Acties:
  • 0 Henk 'm!
  • mhaket
  • Registratie: Augustus 2006
  • Laatst online: 08-09 15:48

mhaket

Topicstarter
Sorry voor weinige replies maar ga morgen proberen de gevraagde info te verwerken.

maandag 5 juni 2023 17:02

Acties:
  • 0 Henk 'm!
  • mhaket
  • Registratie: Augustus 2006
  • Laatst online: 08-09 15:48

mhaket

Topicstarter
Oke update na alles te hebben verwerken, of althans dat geprobeerd te hebben.

Goede nieuws, alles lijkt nu te werken. Note, ik heb 1.1.1.1 ingesteld op mijn iPhone als DNS, tutorial geeft aan dat je 192.168.100.1 (je wireguard endpoint) zou moeten opgeven maar dan heb ik geen connectie naar WAN meer.

Mijn huidige IP configuratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

[admin@MikroTik] > /ip/firewall/export
# jun/05/2023 16:50:57 by RouterOS 7.9.1
# software id = VA5L-47PT
#
# model = RB2011iLS
/ip firewall address-list
add address=xxxxxx.sn.mynetname.net list="WAN IP"
add address=192.168.0.0/24 list=LAN
add address=192.168.100.0/24 list=Wireguard1
/ip firewall connection tracking
set udp-timeout=20s
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input src-address-list=LAN
add action=accept chain=input disabled=yes src-address-list=Wireguard1
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=accept chain=input comment="Allow SIP" dst-port=3865 protocol=tcp
add action=accept chain=input connection-type=sip
add action=accept chain=input comment=Wireguard dst-port=13231 in-interface=ether1-wan protocol=udp
add action=accept chain=input comment="defconf: accept ICMP local" in-interface=!ether1-wan protocol=icmp
add action=drop chain=input
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward connection-state=new src-address-list=LAN
add action=accept chain=forward connection-state=new disabled=yes src-address-list=Wireguard1
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-state=new in-interface=ether1-wan
/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=192.168.0.0/24 src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1-wan
add action=masquerade chain=srcnat comment="Wireguard to WAN" out-interface=ether1-wan src-address=192.168.100.0/24
/ip firewall service-port
set sip disabled=yes


code:
1
2
3
4
5
6
7
8
9

[admin@MikroTik] > /interface/wireguard export
# jun/05/2023 16:55:09 by RouterOS 7.9.1
# software id = VA5L-47PT
#
# model = RB2011iLS
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface wireguard peers
add allowed-address=192.168.100.2/32  interface=wireguard1 public-key="xxxxxxx"


Op mijn telefoon heb ik op de interface 192.168.100.2/32 als adres en 1.1.1.1 als DNS server.
Bij peer heb ik bij allowed IPs 0.0.0.0/0 staan.

[ Voor 8% gewijzigd door mhaket op 05-06-2023 17:34 . Reden: Correctie omdat setup nu wel lijkt te werken. ]

maandag 5 juni 2023 21:15

Acties:
  • +1 Henk 'm!
  • UTPBlokje
  • Registratie: Februari 2020
  • Laatst online: 12-09 11:02

UTPBlokje

mhaket schreef op maandag 5 juni 2023 @ 17:02:
Oke update na alles te hebben verwerken, of althans dat geprobeerd te hebben.

Goede nieuws, alles lijkt nu te werken. Note, ik heb 1.1.1.1 ingesteld op mijn iPhone als DNS, tutorial geeft aan dat je 192.168.100.1 (je wireguard endpoint) zou moeten opgeven maar dan heb ik geen connectie naar WAN meer.

Mijn huidige IP configuratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

[admin@MikroTik] > /ip/firewall/export
# jun/05/2023 16:50:57 by RouterOS 7.9.1
# software id = VA5L-47PT
#
# model = RB2011iLS
/ip firewall address-list
add address=xxxxxx.sn.mynetname.net list="WAN IP"
add address=192.168.0.0/24 list=LAN
add address=192.168.100.0/24 list=Wireguard1
/ip firewall connection tracking
set udp-timeout=20s
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input src-address-list=LAN
add action=accept chain=input disabled=yes src-address-list=Wireguard1
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=accept chain=input comment="Allow SIP" dst-port=3865 protocol=tcp
add action=accept chain=input connection-type=sip
add action=accept chain=input comment=Wireguard dst-port=13231 in-interface=ether1-wan protocol=udp
add action=accept chain=input comment="defconf: accept ICMP local" in-interface=!ether1-wan protocol=icmp
add action=drop chain=input
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward connection-state=new src-address-list=LAN
add action=accept chain=forward connection-state=new disabled=yes src-address-list=Wireguard1
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-state=new in-interface=ether1-wan
/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=192.168.0.0/24 src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1-wan
add action=masquerade chain=srcnat comment="Wireguard to WAN" out-interface=ether1-wan src-address=192.168.100.0/24
/ip firewall service-port
set sip disabled=yes


code:
1
2
3
4
5
6
7
8
9

[admin@MikroTik] > /interface/wireguard export
# jun/05/2023 16:55:09 by RouterOS 7.9.1
# software id = VA5L-47PT
#
# model = RB2011iLS
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface wireguard peers
add allowed-address=192.168.100.2/32  interface=wireguard1 public-key="xxxxxxx"


Op mijn telefoon heb ik op de interface 192.168.100.2/32 als adres en 1.1.1.1 als DNS server.
Bij peer heb ik bij allowed IPs 0.0.0.0/0 staan.
Standaard staat dns server uit op de mikrotik. Dns is altijd naar keuze in te vullen. Bijv wanneer je thuis een adguard of pihole hebt draaien zet je de dns naar dat adres.

Je benoemt dat je geen connectie naar de wan had klopt niet helemaal. Je had gewoon connectie / internet alleen je dns werkte niet (name translation).
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq