Wat werkt al:
- tunnel adres 10.10.10.1 (remote) en 10.10.10.2 (home mikrotik) kunnen elkaar wederzijds bereiken.
- Home lan devices kunnen alle remote lan devices via de remote opnsense benaderen
- Remote lans kunnen de microtik bereiken, zowel op zijn lan adres (192.168.0.11 ) als op het tunnel adres ( 10.10.10.2 )
Wat werkt niet:
- Remote lans ( of de shell op opnsense ) kunnen lan devices thuis niet bereiken, voorbeeld 192.168.0.1 (dus wel 192.168.0.11)
Het probleem is dus dat ik ergens nog iets moet vinden om het verkeer dat binnenkomt in de mikrotik verder naar mijn lan te sturen.
Nu vraag ik me af of het wel mogelijk is, aangezien ik de mikrotik gewoon als switch wil gebruiken. Geen zin om die als router te gaan inzetten voor mijn volledige lan (toestel is ook al oud)
Mijn config (relevante gedeelte) Factory reset gedaan zonder config, alle poorten in 1 bridge gezet, en dan wireguard config.
Doelbewust geen firewall regels, dus alles staat open als test.
Code: Selecteer alles
# model = CRS125-24G-1S-2HnD
/interface bridge
add name=bridge1
/interface wireguard
add listen-port=27001 mtu=1420 name=wireguard1
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add ..idem...alle van switch
/interface wireguard peers
add allowed-address=10.10.10.1/32,172.27.27.0/24 endpoint-address=****REMOTESERVER*** endpoint-port=27003 interface=\
wireguard1 name=hetzner public-key="XXXXXXXXXXXXXXX"
/ip address
add address=192.168.0.11/24 interface=bridge1 network=192.168.0.0
add address=10.10.10.2/24 interface=wireguard1 network=10.10.10.0
/ip dns
set servers=1.1.1.1
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-table=main suppress-hw-offload=no
add disabled=no distance=1 dst-address=172.27.27.0/24 gateway=wireguard1 routing-table=main scope=30 \
suppress-hw-offload=no target-scope=10
Na lang onderhandelen met verschillende AI chatbots, toch nog een werkend antwoord gekregen :
You need to set up NAT to allow traffic from the WireGuard interface to be translated properly when reaching the home network. This typically involves adding a masquerade rule to your firewall.
Dus die toegevoegd en nu is alles ok.