Wireguard na mikrotiku - propojení dvou sítí

Řeším, jak se dostat do sítě, která nemá veřejnou IP adresu.

Takže jsem začal experimentovat s Wireguardem , ale nedaří se mi. Sice se to nějak spojí (vidím v Peers nějaký traffic a běží mi tam čas v Last Handshake), ale nejsem schopen pingnout na druhou stranu.

Nemohl bys @keson sem dát to svoje nastavení? Já se v těch routách nějak ztrácím…

Taky jsem s tím bojoval, ale nyní mi to funguje pěkně.

Doma mám rozsah 10.60.x.x a na chatě 10.65.x.x

Pro propojení Wireguardu mám dvě speciální pevné ip adresy:
10.100.100.2 - doma
10.100.100.3 - chata

Důležité nastavení v Mikrotiku, který mám doma:
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1

/interface wireguard peers
add allowed-address=10.100.100.3/32,10.65.2.0/24,10.65.7.0/24,10.65.3.0/24,10.65.6.0/24 comment=Chata endpoint-address=217.115.x.y interface=wireguard1 public-key=“xxx”

/interface list member
add comment=Internet interface=pppoe-wan list=WAN
add comment=Wireguard1 interface=wireguard1 list=WAN

/ip address
add address=10.100.100.2/24 comment=“Server WireGuard” interface=wireguard1 network=10.100.100.0

/ip firewall filter
add action=accept chain=input comment=WireGuard dst-port=13231 protocol=udp
add action=accept chain=forward dst-address=10.65.6.0/24 src-address=10.60.102.0/24 (abych se dostal na servery na chatě z PC doma)

/ip route
add dst-address=10.65.2.0/24 gateway=wireguard1
add dst-address=10.65.7.0/24 gateway=wireguard1
add dst-address=10.65.3.0/24 gateway=wireguard1
add dst-address=10.65.6.0/24 gateway=wireguard1

Důležité nastavení v Mikrotiku, který mám na chatě:
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1

/interface wireguard peers
add allowed-address=10.100.100.2/32,10.60.7.0/24,10.60.2.0/24,10.60.6.0/24,10.60.102.0/24,10.60.44.0/24,217.115.252.122/32,10.65.6.2/32 comment=“Benesovo nabrezi, Zlin” endpoint-address=217.115.x.y endpoint-port=13231 interface=wireguard1 persistent-keepalive=1m40s public-key=“yyy”

/ip address
add address=10.100.100.3/24 comment=“Chata Wireguard” interface=wireguard1 network=10.100.100.0

/ip firewall filter
add action=accept chain=input comment=WireGuard dst-port=13231 protocol=udp

/ip route
add dst-address=10.100.100.3/32 gateway=wireguard1 (toto tady možná nemusí být)
add dst-address=10.60.2.0/24 gateway=wireguard1
add dst-address=10.60.102.0/24 gateway=wireguard1
add dst-address=10.60.6.0/24 gateway=wireguard1
add dst-address=10.60.44.0/24 gateway=wireguard1

To by mělo být vše.

Základní pravidlo je, že z domu musím být schopen pingnout na chatu 10.100.100.3 a z chaty domů na 10.100.100.2

Dík.

Jako ono je to dost složité, na to se snad bude muset vymyslet nějaká metodika číslování těch IP adres.
Začnu si s tím hrát.

Předpokládám, že tohle je opravdu router (HeX), není to ten mikrotik s GSM?

Tohle tam nemám a nevím, jestli to tam musí vůbec být. Přece na ten router na chatě (který nemá veřejnou adresu), se zvenku nikdo nedostane, ne?

Já bych řekl, že to tam musí být.
Dostávám se tím k zobrazování kamer na chatě přes moji veřejnou ip adresu, kterou mám doma.

Jo a na obou stranách mám nyní router HeX. Není to ten Mikrotik s GSM.