Celem laboratoriów jest skonfigurowanie połączenia klienta (smartfonu) do serwera VPN Wireguard. Na Mikrotiku R2 zostanie skonfigurowany serwer Wireguard. Smartfon będzie się łączył do sieci Wifi na Mikrotiku R1. Na smartfonie zostanie zainstalowany klient VPN Wireguard, który połączy się z Mikrotikiem R2.
PRZYGOTOWANIA. Jeżeli wykonujesz ten lab bezpośrednio po zrobieniu labu Mikrotik VPN L2TP to nie musisz podejmować żadnych kroków przygotowujących Mikrotiki R1 i R2 do pracy (Mikrotik R1 może zawierać starą konfigurację serwera VPN L2TP, a Mikrotik R2 posiada wyczyszczoną konfigurację, bo był resetowany w poprzednim labie).
1. Z wykorzystaniem WinBoxa zaloguj się do Mikrotika R1. Na routerze R1 utworzymy nowy interfejs VPN Wireguard (z menu wybierz opcję WireGuard / Add +). Zatwierdź domyślne wartości klikając OK. Spowoduje to wygenerowanie kluczy publicznego i prywatnego.
2. Na routerze R1 zajrzyj do zdefiniowanych adresów IP (IP / Address). Jeżeli posiadasz dodatkowo zaadresowany interfejs ether3 (pozostałość po lab VPN L2TP to nie kasuj go, to w niczym nie przeszkadza).
– Dodaj adres 10.0.105.1/24 dla interfejsu wireguard1.
– Dodaj adres IP z DHCP Clienta na interfejsie ether1 (jeżeli jeszcze go nie posiadasz).
3. UWAGA teraz przejdziemy do konfiguracji Mikrotika R2. Połącz fizycznie w szafie:
– Switch prywatny (dowolny port) podłącz do routera R2 (port ether2).
– Do routera R2 (port ether1) podłącz internet (switch 48-portowy).
4. Podłącz się za pomocą WinBoxa do routera Mikrotik R2. W routerze R2 w menu wybierz Wireless / Wireless. Domyślnie router posiada 2 anteny, które są nieaktywne. Wskaż antenę 2GHz (kolumna Band) i uaktywnij ją wybierając przycisk Enable.
5. Kliknij dwukrotnie antenę którą uaktywniłeś, tak żeby przejść do edycji jej parametrów. W zakładce Wireless zmień tryb (Mode) ze stanu station na tryb „ap bridge” i zatwierdź klikając OK.
6. W oknie Wireless Tables przejdź do zakładki Security Profiles i kliknij dwukrotnie na profil domyślny (default). Zamień parametry:
– Mode: dynamic keys
– Authentication Types: zaznacz WPA2 PSK
– WPA2 Pre-Shared Key: 12345678
7. Dodaj adres IP 192.168.204.1/24 dla interfejsu wlan2.
8. Przypisz adres IP z DHCP na interfejsie ether1 (IP / DHCP Client)
9. Skonfiguruj NAT wybierając ether1 jako interfejs wyjściowy (IP / Firewall / NAT). Jeżeli nie pamiętasz jak to zrobić wzoruj się na poprzedniej laborce.
10. Skonfiguruj serwer DHCP na interfejsie wlan2 korzystając z kreatora (IP / DHCP Server / DHCP Setup). Jeżeli nie pamiętasz jak to zrobić, wzoruj się na wcześniejszej laborce.
11. Połącz się do sieci WiFi SWOJEGO routera z użyciem smartfona.
12. W przeglądarce internetowej przejdź do adresu https://www.wireguardconfig.com/. Zmień niektóre z pól generatora:
– w polu „Listen Port” wpisz 13231,
– w polu „Number of Clients” wpisz 1,
– w polu CIDR wpisz 10.0.105.0/24,
– w polu „Endpoint (Optional) wpisz adres-ip-na-interfejsie-ether1-mikrotika-R1:13231.
Następnie naciśnij przycisk „Generate Config”.
13. Przewiń w dół. Wygenerowane konfiguracje pojawią się na dole strony.
14. W sekcji „Client 1” skopiuj do schowka parametr „Public Key” znajdujący się nad wygenerowaną konfiguracją (ten parametr jest w czwartej linii w sekcji Client 1, a nie w ciemnej konfiguracji na dole strony).
15. Przełącz się do konfiguracji Mikrotika R1. W oknie WireGuard w zakładce Peers wybierz Add +. Wklej ze schowka klucz publiczny w pole Public Key, a w polu Allowed Address wpisz 0.0.0.0/0 a następnie zatwierdź klikając OK.
16. Wróć do przeglądarki internetowej. Skopiuj do schowka całą zawartość ciemnego pola w sekcji „Client 1”.
17. W przeglądarce przejdź na górę strony i wybierz link „QR Code Generator” (otwórz link w nowej karcie przeglądarki). W sekcji „Paste the contents of your …”, wklej zawartość schowka zastępując całą przykładową konfigurację.
18. Przejdź do konfiguracji mikrotika R1 (do Winboxa). W oknie WireGuard przejdź do zakładki WireGuard (domyślnie jesteś w zakładce Peers) i kliknij dwukrotnie na wireguard1. W oknie „Interface skopiuj do schowka zawartość pola „Public Key”.
19. W przeglądarce internetowej w dolnej sekcji [Peer], w linii zaczynającej się od PublicKey, zastąp ciąg znaków – zawartością schowka. Naciśnij przycisk „Generate QR Code”.
20. Powinieneś wygenerować kod QR z konfiguracją klienta VPN Wireguard. Nie zamykaj tego okna. Wykorzystasz kod po zainstalowaniu klienta VPN Wireguard.
21. Zainstaluj i uruchom aplikację WireGuard.
22. W aplikacji WireGuard wybierz +, a następnie „Zeskanuj kod QR”. Wpisz nazwę tunelu VPN do którego będziesz się łączyć – Mikrotik-R1.
23. Nawiąż połączenie przesuwając wskaźnik przy nazwie tunelu. Wskaż nazwę Mikrotik-R2, żeby zobaczyć właściwości połączenia. Jeżeli wygenerowałeś kod QR dla właściwych danych połączenia z serwerem WireGuard to we właściwościach połączenia na dole powinieneś zaobserwować dane wysyłane oraz odebrane. Jeżeli brakuje danych odebranych, to znaczy że gdzieś w konfiguracji popełniłeś błąd (wygeneruj ponownie kod QR z konfiguracją klienta VPN).
24. Zgłoś do prowadzącego wykonanie laborki.
25. Zadanie dodatkowe
– na maszynie win-01 zainstaluje klienta WireGuard (link)
– zestaw tunel VPN do serwera WireGuard na routerze Mikrotik R1 (wykorzystaj tutorial link),
– zaloguj się zdalnym pulpitem z win-01 do win-02 (maszyny znajdującej się za routerem Mikrotik R1).