Kan een microtik als switch binnenkomende wireguard verkeer op mijn lan zetten ?

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
ben144
Member
Member
Berichten: 82
Lid geworden op: 30 mei 2020, 08:56
Uitgedeelde bedankjes: 11 keer
Bedankt: 7 keer

Bericht

Een oude 24 ports mikrotik switch wil ik inzetten om een site to site te maken tussen een remote OPNsense wireguard en de mikrotik die gewoon in mijn lan staat thuis op 192.168.0.11

Wat werkt al:
- tunnel adres 10.10.10.1 (remote) en 10.10.10.2 (home mikrotik) kunnen elkaar wederzijds bereiken.
- Home lan devices kunnen alle remote lan devices via de remote opnsense benaderen
- Remote lans kunnen de microtik bereiken, zowel op zijn lan adres (192.168.0.11 ) als op het tunnel adres ( 10.10.10.2 )

Wat werkt niet:
- Remote lans ( of de shell op opnsense ) kunnen lan devices thuis niet bereiken, voorbeeld 192.168.0.1 (dus wel 192.168.0.11)
Het probleem is dus dat ik ergens nog iets moet vinden om het verkeer dat binnenkomt in de mikrotik verder naar mijn lan te sturen.
Nu vraag ik me af of het wel mogelijk is, aangezien ik de mikrotik gewoon als switch wil gebruiken. Geen zin om die als router te gaan inzetten voor mijn volledige lan (toestel is ook al oud)

Mijn config (relevante gedeelte) Factory reset gedaan zonder config, alle poorten in 1 bridge gezet, en dan wireguard config.
Doelbewust geen firewall regels, dus alles staat open als test.

Code: Selecteer alles

# model = CRS125-24G-1S-2HnD

/interface bridge
add name=bridge1

/interface wireguard
add listen-port=27001 mtu=1420 name=wireguard1

/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2 
add ..idem...alle van switch

/interface wireguard peers
add allowed-address=10.10.10.1/32,172.27.27.0/24 endpoint-address=****REMOTESERVER*** endpoint-port=27003 interface=\
    wireguard1 name=hetzner public-key="XXXXXXXXXXXXXXX"

/ip address
add address=192.168.0.11/24 interface=bridge1 network=192.168.0.0
add address=10.10.10.2/24 interface=wireguard1 network=10.10.10.0

/ip dns
set servers=1.1.1.1

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-table=main suppress-hw-offload=no
add disabled=no distance=1 dst-address=172.27.27.0/24 gateway=wireguard1 routing-table=main scope=30 \
    suppress-hw-offload=no target-scope=10

Toegevoegd na 2 uren 26 minuten 34 seconden:
Na lang onderhandelen met verschillende AI chatbots, toch nog een werkend antwoord gekregen :-D :

You need to set up NAT to allow traffic from the WireGuard interface to be translated properly when reaching the home network. This typically involves adding a masquerade rule to your firewall.

Dus die toegevoegd en nu is alles ok.