Toon posts:

RouterOS wireguard alleen verbinding binnen netwerk

Pagina: 1
Acties:

Vraag

woensdag 30 april 2025 21:24

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
Ik heb een Mikrotik router gekocht voor de rest werkt alles prima , maar 1 ding wat mij kende ongetwijfeld 1 stom ding over het hoofd heb gezien.

Ik wil dus wireguard server opstarten , 1 probleem hij werkt prima zodra ik met mijn eigen netwerk verbonden is maar vanaf buitenaf werkt het niet.
Mijn vermoeden iets met firewall instellingen.

Afbeeldingslocatie: https://tweakers.net/i/u4DOCcU72WMJ0GXISGclHgB84rY=/x800/filters:strip_exif()/f/image/0t9WbSCUwv1qADtiQL1sahgD.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/SmyZh-ye5uQJaUI8Hgxi57Zfu2k=/x800/filters:strip_exif()/f/image/AnCvJE9CKezEvdAJ2nCe0QYm.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/c4xPHg-TFyXRRzl6PxzNO3C8fFI=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/RtfeOVgZLblrrUZTBbgqb7RC.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/JAii-YjKzpaHXFh18QH6u30H4O4=/x800/filters:strip_exif()/f/image/UKa8dEmL5gkNipO3NNrfZCsl.png?f=fotoalbum_large

Alle reacties

woensdag 30 april 2025 21:32

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
Ik bedoel alleen verbinding als het in mijn eigen netwerk is verbonden via WiFi of lan

woensdag 30 april 2025 21:45

Acties:
  • +2 Henk 'm!
  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 16:35

EverLast2002

er staat allowed address 192.168.100.2/24,
en je foon heeft 192.168.100.1/24
volgens mij gaat dat niet werken...
je kan als test de allowed address op 192.168.100.1/24 zetten en kijken of dit wel werkt.
zelf heb ik allowed address staan op 0.0.0.0/0

woensdag 30 april 2025 22:17

Acties:
  • +1 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 16:27

lier

MikroTik nerd

Kan je een post doen van je config? Want dit leest nogal...niet.

code:
1

/export file=anynameyoulike


Serial en andere privé info weghalen en hier posten als code met de </> button.

Eerst het probleem, dan de oplossing

woensdag 30 april 2025 22:17

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
werkt nog steeds niet.

Endpoint is ip adres van mijn internet , net gekeken

Afbeeldingslocatie: https://tweakers.net/i/dSprQbl0jNsJK51aTYDK4WCMgH4=/x800/filters:strip_icc():strip_exif()/f/image/tzgDSZ2BvqbB2MaY21zmqE0D.jpg?f=fotoalbum_large

woensdag 30 april 2025 22:21

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181

# 2025-04-30 22:18:37 by RouterOS 7.18.2
# software id = XXXXX
#
# model = RB750Gr3
# serial number = XXXXX
/interface bridge
add admin-mac=D4:01:C3:FA:D1:28 auto-mac=no comment=defconf name=bridge
/interface wireguard
add listen-port=13231 mtu=1420 name="Mark Phone"
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=192.168.100.1/32 interface="Mark Phone" name=peer7 \
    public-key="zd/n0uS4WdNgvf3gzo3Mzu4KkQHD34QK8myPrLfAPEo="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.88.243 interface=*A network=192.168.88.243
add address=192.168.88.10/24 interface=*8 network=192.168.88.0
add address=192.168.88.11 interface=*9 network=192.168.88.11
add address=10.64.212.196 interface=*D network=10.64.212.196
add address=192.168.100.1 interface="Mark Phone" network=192.168.100.0
/ip arp
add address=192.168.88.248 interface=bridge mac-address=1C:1B:0D:EF:2C:28
add address=192.168.88.251 interface=bridge mac-address=28:D2:44:6B:4F:FA
/ip dhcp-client
add comment=defconf default-route-tables=main interface=ether1 use-peer-dns=\
    no
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.251 \
    gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=192.168.88.251
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=input comment=Wireguard dst-port=13231 protocol=udp
add action=accept chain=input comment="Home Assitant" dst-port=8123 protocol=\
    tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=Soulseek dst-port=58634 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.88.248 to-ports=\
    58634
add action=dst-nat chain=dstnat comment=Soulseek dst-port=58635 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.88.248 to-ports=\
    58635
add action=dst-nat chain=dstnat comment="Stable Diffusion " dst-port=3000 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.88.248 to-ports=\
    3000
add action=dst-nat chain=dstnat comment="Adguard Home" dst-port=443 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.88.248 to-ports=\
    443
add action=dst-nat chain=dstnat comment="Adguard home" dst-port=80 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.88.248 to-ports=\
    80
add action=dst-nat chain=dstnat comment="Adguard Home" dst-port=53 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.88.248 to-ports=\
    53
add action=accept chain=input dst-address=192.168.88.252
add action=accept chain=srcnat out-interface="Mark Phone" src-address-list=\
    192.168.100.1/24
add action=dst-nat chain=dstnat comment=" Home assistant " dst-port=8123 \
    protocol=tcp to-addresses=192.168.88.251
/ipv6 address
add address=fc00:bbbb:bbbb:bb01::9:2c8f/128 advertise=no interface=*8
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" \
    dst-port=33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack6" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool traffic-monitor
add comment="Mark phone" interface=*D name=traf1

donderdag 1 mei 2025 12:18

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 16:27

lier

MikroTik nerd

Firewall filter rules worden op volgorde uitgevoerd. Dat betekent dat "add action=accept chain=input comment=Wireguard dst-port=13231 protocol=udp" voor je drop rule op de input chain moet staan. Dit geldt trouwens ook voor je Home Assistant (wil je die ook publiek aanbieden?): "add action=accept chain=input comment="Home Assitant" dst-port=8123 protocol=tcp"

Dan komt het er zo uit te zien:

code:
1
2
3
4
5
6
7
8
9
10
11
12

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment=Wireguard dst-port=13231 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN

Home Assistant heb ik er bewust even uit gelaten...

Naar aanleiding van jouw config...wil je (echt) DNS voor het hele Internet aanbieden?
code:
1
2
3

add action=dst-nat chain=dstnat comment="Adguard Home" dst-port=53 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.88.248 to-ports=\
    53


Voor wat betreft de feedback heb ik me even beperkt tot IPv4 (met IPv6 heb ik nog niet zo veel ervaring).

[ Voor 34% gewijzigd door lier op 01-05-2025 12:20 ]

Eerst het probleem, dan de oplossing

donderdag 1 mei 2025 20:45

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
Okee je hebt helemaal gelijk met home assistant en dns (gebruik namelijk adguard) maar via vpn natuurlijk geen nut dus die verwijderd.

Ik gebruik grafische interface gezien leek ben in scripts.

Nu heb ik weer geen internet zodra ik via 5G probeer |:(

Afbeeldingslocatie: https://tweakers.net/i/QuSnXvDv49e0sgLnRp4LcWmOB-4=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/6SwrQsqh70GN2WkhCh1YDPcn.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/je0DBF3MkK0WhoSaVBZk36h-cY0=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/PEUGJQhgJBTnUoLM2Dl796Og.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/stS30KvWf3NGUjxsNJ2cH4psqPQ=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/1lmPStqTNipxfJaQo9jXCgev.png?f=user_large

donderdag 1 mei 2025 20:46

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
Afbeeldingslocatie: https://tweakers.net/i/lmEtogFQHWMdZoc2Pg7BkMJhg94=/x800/filters:strip_icc():strip_exif()/f/image/Hxjts125zASmrsogn8nsJfKS.jpg?f=fotoalbum_large

donderdag 1 mei 2025 21:10

Acties:
  • +1 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 16:27

lier

MikroTik nerd

Er zitten nogal veel fouten in je huidige config.
Zo zou er (zonder wireguard) maar 1 IP adres ingesteld moeten zijn: 192.168.88.1). Er staan er nu zes (waarvan het grootste deel naar niet bestaande interfaces verwijst). Gooi ze, op de 88.1 na, allemaal weg.

Gooi alles onder Wireguard weg en volg deze tutorial op YouTube:
YouTube: Wireguard setup with MikroTik and your smartphone

Als je alle wijzigingen hebt gemaakt, doe dan nog een keer een export van je config om hem te controleren.

[ Voor 3% gewijzigd door lier op 01-05-2025 21:10 ]

Eerst het probleem, dan de oplossing

donderdag 1 mei 2025 21:21

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
code:
1
2
3
4
5
6
7

add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.88.243 interface=*A network=192.168.88.243
add address=192.168.88.10/24 interface=*8 network=192.168.88.0
add address=192.168.88.11 interface=*9 network=192.168.88.11
add address=10.64.212.196 interface=*D network=10.64.212.196
add address=192.168.100.1 interface="Mark Phone" network=192.168.100.0


Deze bedoel je met tientallen verschillende adressen?

Inmiddels verwijderd en ga dat filmpje morgen even zien, word inderdaad extreem onoverzichtelijk.

vrijdag 2 mei 2025 07:44

Acties:
  • +1 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 14:38

MasterL

Moderator Internet & Netwerken
Waar is je forward rule die het verkeer van je Wireguard subnet (192.168.100.0/24) toestaat naar je LAN en/of internet?

Zoiets dus (voor LAN toegang alleen):
/ip/firewall/filter
add action=accept chain=forward dst-address=192.168.88.0/24 src-address=192.168.100.0/24

Of zoiets voor toegang tot "alles" vanaf de Wireguard client:
/ip/firewall/filter
add action=accept chain=forward src-address=192.168.100.0/24

vrijdag 2 mei 2025 17:17

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
Afbeeldingslocatie: https://tweakers.net/i/NjKEPJt4_-q-hqEQcVZiueV5Dnw=/800x/filters:strip_exif()/f/image/iYpy9cFjF8cZjIkfr5WrpmPg.png?f=fotoalbum_large

Ik heb het filmpje gekeken

YouTube: Wireguard setup with MikroTik and your smartphone

Maar inmiddels al iets veder , werkt half heb wel internet zelfs via 5G maar ip adres is van mobile provider :')

vrijdag 2 mei 2025 18:19

Acties:
  • +1 Henk 'm!
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 15:08

jvanhambelgium

Move die regel (12) op de "input" chain voor inkomende Wireguard (13321) eens helemaal naar boven ?
Regel (5) DROPPED alles op de INPUT-chain dus daar gaat je WG-verkeer komende van Internet al verloren.

Input chain = gericht naar de Mikrotik zelf.

En in enkele screenshots eerder van de WG-client op je Android zie ik plots port 51820 staan ?! Tja zo gaat het niet werken hé. Je FW-rule is op 13231 gemaakt, zet dat dan ook als target op de client.

vrijdag 2 mei 2025 18:37

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
Moet erg wennen van standaard router met wireguard setup vandaar de vragen.

Die port 51820 is nu default dus 13231

Afbeeldingslocatie: https://tweakers.net/i/WWvqE_UD9Crv6Pff5CExah6R0eo=/800x/filters:strip_exif()/f/image/hxbAjOwVPd88JP0zhIG66IL5.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/lmEtogFQHWMdZoc2Pg7BkMJhg94=/x800/filters:strip_icc():strip_exif()/f/image/Hxjts125zASmrsogn8nsJfKS.jpg?f=fotoalbum_large

vrijdag 2 mei 2025 18:44

Acties:
  • +1 Henk 'm!
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 15:08

jvanhambelgium

Ok met de FW-rule bovenaan. Pas dan even je WG-client aan naar 13231.
Zie je de teller oplopen ? Maw "vang" je verkeer op je Mikrotik ?
Als die teller op "0" blijft staan is het te checken OF je het "endpoint" IP wel degelijk kan bereiken ? Heb je een PUBLIC IP op je Mikrotik ? Staat er nog een ISP-router voor ? Zoja, heb je daar het nodige "doorgezet" zodat je input-chain van je Mikrotik kan hitten ?

vrijdag 2 mei 2025 18:57

Acties:
  • +2 Henk 'm!
  • Laagheim
  • Registratie: December 2016
  • Laatst online: 11:53

Laagheim

Misschien heb je een reden om handmatig een wireguard server op te zetten maar omdat je aangeeft dat je net een mikrotik router hebt gekocht weet je misschien niet dat je met de BtH app automatisch een verbinding op kan zetten (ook automatisch firewall rules). De config kan je dan exporteren en inlezen in wireguard op je PC.

https://help.mikrotik.com...es/197984280/Back+To+Home

vrijdag 2 mei 2025 19:06

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
Laagheim schreef op vrijdag 2 mei 2025 @ 18:57:
Misschien heb je een reden om handmatig een wireguard server op te zetten maar omdat je aangeeft dat je net een mikrotik router hebt gekocht weet je misschien niet dat je met de BtH app automatisch een verbinding op kan zetten (ook automatisch firewall rules). De config kan je dan exporteren en inlezen in wireguard op je PC.

https://help.mikrotik.com...es/197984280/Back+To+Home
Helaas heeft die arm soc nodig ik heb die helaas niet.

Kreeg ik als mededeling in de app.

vrijdag 2 mei 2025 19:17

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
jvanhambelgium schreef op vrijdag 2 mei 2025 @ 18:44:
Ok met de FW-rule bovenaan. Pas dan even je WG-client aan naar 13231.
Zie je de teller oplopen ? Maw "vang" je verkeer op je Mikrotik ?
Als die teller op "0" blijft staan is het te checken OF je het "endpoint" IP wel degelijk kan bereiken ? Heb je een PUBLIC IP op je Mikrotik ? Staat er nog een ISP-router voor ? Zoja, heb je daar het nodige "doorgezet" zodat je input-chain van je Mikrotik kan hitten ?
Ja Ziggo router/modem maar die staat in bridge modus, dus neem aan niet het probleem is.

Bij wireguard interface zie ik nog steeds 0 tx/rx

Bij wireguard interface wel leven nu.

Afbeeldingslocatie: https://tweakers.net/i/5bNTlrKHwx6yDKP4qM5af7ttQCQ=/800x/filters:strip_exif()/f/image/Fawa9VGv3pjAC91oAhQRyEOv.png?f=fotoalbum_large

vrijdag 2 mei 2025 19:57

Acties:
  • +1 Henk 'm!
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 15:08

jvanhambelgium

Die regel met het veld source-ip=192.168.88.0/24 moet je even negeren. Je moet eerst analyseren WAAROM je bovenste "input" regel geen verkeer aan het vangen is vanaf Internet.
Als je bij "ip" -> "addresses" gaat kijken ? Staat er ergens een publiek IP bij ? Wat zijn de 2 eerste digits ? vb 83.200.x.x

vrijdag 2 mei 2025 20:04

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
Afbeeldingslocatie: https://tweakers.net/i/6qiuosrzSNNAZT0S9jPzo4xEfUw=/x800/filters:strip_icc():strip_exif()/f/image/X3njvAlGMNQNWUBLA5eU0uXy.jpg?f=fotoalbum_large

[ Voor 24% gewijzigd door Amdwarrior op 02-05-2025 20:06 ]

vrijdag 2 mei 2025 20:09

Acties:
  • +1 Henk 'm!
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 15:08

jvanhambelgium

Owkee, dan is het héél raar dat als je je telefoon op 4G/5G zet en wil een verbinding maken moeten de packets aankomen. Zet desnoods voor de zekerheid je WIFI af.

Ik mag toch wel hopen dat je "endpoint" DNS-naam vb die Mikrotik DynDNS is en dat het wel correct naar je 217.62.x.x gaat ?

vrijdag 2 mei 2025 20:14

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
Afbeeldingslocatie: https://tweakers.net/i/u6E4wKFjfNUS-g_GoSpNQ1RBW2Y=/x800/filters:strip_icc():strip_exif()/f/image/CR0wJkn0QUa8KLvLGlLtEN2B.jpg?f=fotoalbum_largeJa ik heb vanaf andere adressen buiten mijn eigen wifi gebruikt zelfde resultaat

[ Voor 138% gewijzigd door Amdwarrior op 02-05-2025 20:15 ]

zaterdag 3 mei 2025 11:55

Acties:
  • +1 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 16:27

lier

MikroTik nerd

Als er helemaal geen packtes op de Wireguard port binnenkomen, dan kunnen er drie dingen niet goed gaan:
  • IP adres wijkt af
  • Poort wijkt af
  • Protocol wijkt af
Dit is er vanuit gaande dat je firewall rule klopt en dat de Wireguard service actief is (althans, dat vermoed ik).

Screenshots blijft behelpen, daarom graag een update van de laatste config van je MikroTik.

Eerst het probleem, dan de oplossing

zaterdag 3 mei 2025 14:38

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201

# 2025-05-03 14:36:41 by RouterOS 7.18.2
# software id = FQ3Z-NZUP
#
# model = RB750Gr3
# serial number = HGQ09QWC2Z5
/interface bridge
add admin-mac=D4:01:C3:FA:D1:28 auto-mac=no comment=defconf name=bridge
/interface wireguard
add listen-port=13231 mtu=1420 name="Mark Phone"
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=192.168.100.2/24 interface="Mark Phone" name=peer13 \
    public-key="D2kRr3CLjg1dMcLaDPvaiYtExwiNVtTBMacjXS4HMVY="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.100.2/24 interface="Mark Phone" network=192.168.100.0
/ip arp
add address=192.168.88.248 interface=bridge mac-address=1C:1B:0D:EF:2C:28
add address=192.168.88.251 interface=bridge mac-address=28:D2:44:6B:4F:FA
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf default-route-tables=main interface=ether1 use-peer-dns=\
    no
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes servers=192.168.88.251
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment=Wireguard src-address=192.168.88.0/24
add action=accept chain=input comment=Wireguard dst-port="" protocol=udp \
    src-port=13231
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=Soulseek dst-port=58634 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.88.248 to-ports=\
    58634
add action=dst-nat chain=dstnat comment=Soulseek dst-port=58635 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.88.248 to-ports=\
    58635
add action=accept chain=input dst-address=192.168.88.1 dst-port=51820 \
    protocol=tcp
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
/ipv6 address
add address=fc00:bbbb:bbbb:bb01::9:2c8f/128 advertise=no interface=*8
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" \
    dst-port=33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack6" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/system scheduler
add interval=1h name=wireguard-log-export on-event=export-wireguard-log \
    policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=2025-05-01 start-time=12:01:43
/system script
add dont-require-permissions=no name="Mark guard" owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="/\
    system script\
    \nadd name=\"export-wireguard-log\" source=\"\
    \n  :log info \\\"WireGuard log export started\\\"\
    \n  :execute [/log print file=wireguard-log]\
    \n  :log info \\\"WireGuard log export completed\\\"\"\
    \n\
    \n/system scheduler\
    \nadd name=\"wireguard-log-export\" interval=1h on-event=\"export-wireguar\
    d-log\"\
    \n"
add dont-require-permissions=no name=export-wireguard-log owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\
    \n  :log info \"WireGuard log export started\"\
    \n  :execute [/log print file=wireguard-log]\
    \n  :log info \"WireGuard log export completed\""
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool traffic-monitor
add comment="Mark phone" interface=*D name=traf1

maandag 5 mei 2025 11:25

Acties:
  • +1 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 16:27

lier

MikroTik nerd

Dit zorgt voor allemaal vaag gedrag, gebruik geen detect-internet (gewoon op none zetten):

code:
1
2

/interface detect-internet
set detect-interface-list=all


Eerste regel (add action...) kan weg:
code:
1
2

/ip firewall filter
add action=accept chain=input comment=Wireguard src-address=192.168.88.0/24

Deze regel aanpassen van:
code:
1
2

add action=accept chain=input comment=Wireguard dst-port="" protocol=udp \
    src-port=13231

naar:
code:
1

add action=accept chain=input comment="WireGuard" dst-port=13231 protocol=udp


Deze regel mag weg:
code:
1
2

add action=accept chain=input dst-address=192.168.88.1 dst-port=51820 \
    protocol=tcp


De default rules zijn beter, daarom deze:
code:
1
2
3

add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN

aanpassen naar:
code:
1

add action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed


Mocht je vragen over firewall rules hebben, laat het vooral weten.

Eerst het probleem, dan de oplossing

maandag 5 mei 2025 22:58

Acties:
  • 0 Henk 'm!
  • Amdwarrior
  • Registratie: Juni 2009
  • Laatst online: 16:46

Amdwarrior

Topicstarter
lier schreef op maandag 5 mei 2025 @ 11:25:
Dit zorgt voor allemaal vaag gedrag, gebruik geen detect-internet (gewoon op none zetten):

code:
1
2

/interface detect-internet
set detect-interface-list=all


Eerste regel (add action...) kan weg:
code:
1
2

/ip firewall filter
add action=accept chain=input comment=Wireguard src-address=192.168.88.0/24

Deze regel aanpassen van:
code:
1
2

add action=accept chain=input comment=Wireguard dst-port="" protocol=udp \
    src-port=13231

naar:
code:
1

add action=accept chain=input comment="WireGuard" dst-port=13231 protocol=udp


Deze regel mag weg:
code:
1
2

add action=accept chain=input dst-address=192.168.88.1 dst-port=51820 \
    protocol=tcp


De default rules zijn beter, daarom deze:
code:
1
2
3

add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN

aanpassen naar:
code:
1

add action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed


Mocht je vragen over firewall rules hebben, laat het vooral weten.
Dank je zal het morgen proberen
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq