Wireguard en Mikrotik
Breve Explicación de Wireguard
¿Qué es WireGuard VPN?
WireGuard es un nuevo protocolo de VPN. No se trata de un software, sino de un conjunto de instrucciones que permite crear VPNs de forma muy sencilla. Ha sido desarrollada como una alternativa a IPsec, OpenVPN y similares VPNs, pero más rápida y sencilla de usar. En esencia, WireGuard está basado en ideas del protocolo IPsec.
WireGuard es una VPN extremadamente simple, pero rápida y moderna que utiliza criptografía de última generación. Su objetivo es ser más rápido, más simple, y más versátil que IPSec, evitando al mismo tiempo el enorme dolor de cabeza (sobre todo en redes con NAT). Pretende ser considerablemente más eficaz que OpenVPN. WireGuard está diseñado como una VPN de propósito general para ejecutarse en interfaces embebidas, apto para muchas circunstancias diferentes. Se ejecuta sobre el protocolo UDP, por lo tanto es considerado un túnel de capa 3.
¿Cómo funciona Wireguard VPN?
WireGuard es un protocolo P2P, esto significa que en vez de requerir un servidor, WireGuard tiene la capacidad de abrir un túnel entre dos dispositivos, solo es necesario aplicar determinadas configuraciones para el establecimiento.
La forma de establecer las conexiones es muy similar al túnel del tipo SSH, los usuarios necesitan generar claves públicas con WireGuard e intercambiarlas, es la forma que tiene WireGuard de identificar a los peers de VPN, encriptar los datos y al mismo tiempo verificar que es el destinatario correcto.
Además del tipo de configuración criptográfica, es necesario configurar las redes, con esto queremos decir que se necesita configurar rangos y direcciones IP, esto es necesario porque WireGuard verifica que los paquetes provengan de redes permitidas, en caso de que así no sea, descartaría el paquete, eso es otro punto de su seguridad.
En lo que se refiere a la criptografía, WireGuard implementa aplicaciones modernas como Curve 25519, ChaCha20, Poly1305 más BLAKE2 y SipHash2-4. Lo que la hace muy segura y flexible.
En el momento que un dispositivo tiene que enviar los datos a de A hacia B, lo primero que verifica es que el dispositivo al que se quiere comunicar pertenezca a la red de WireGuard, en caso de que no pertenezca, descarta el paquete, en caso de que pertenezca realizara el siguiente procedimiento:
1) Se cifra el paquete con una clave pública de origen.
2) Se envía el paquete por una dirección IP, host y puerto.
3) Cuando el destino recibe el paquete (cifrado con la clave pública del servidor) solo lo tiene que descifrar con su clave privada.
4) Por último verifica que quien se lo envió es un dispositivo autorizado, caso contrario, descarta el paquete.
De esta forma, podríamos analizar, que cuando enviemos paquetes WireGuard, las direcciones IP funcionan como una tabla de enrutamiento, y cuando los recibimos, funciona como una access list o lista de acceso de direcciones permitidas.
Configración Wireguard en Mikrotik
Proceso de instalación y configuración de Wireguard en router Mikrotik. También se realizarán pruebas de conexión desde diferentes clientes (peers), concretamente desde aplicación Wireguard dispositivo móvil, y equipo Windows.
Crear túnel Wireguard
Accedemos a nuestro router Mikrtik y vamos a Wireguard.
Poner nombre y puerto, importante habilitar este en en Router de Internet, en caso de que nuestro router Mikrotik esté detrás de un Router de operadora de Telefonía de Internet.
Al darle Apply, se genera clave privada y pública, esta última es necesaria para crear los clientes "peers".
Configurar Redes Servidor Wireguard
Creación de Reglas Firewall
Abrir terminal y poner: /ip firewall filter
después las 2 reglas siguientes:
add action=accept chain=input comment="allow WireGuard" dst-port=13231 protocol=udp place-before=1
add action=accept chain=input comment="allow WireGuard traffic" src-address=192.168.100.0/24 place-before=1
Peers
Fuente: https://www.wireguard.com/quickstart/
Comentarios
Publicar un comentario