各位好,個人這陣子使用Wireguard已經一段時間了,整體來說還算穩定
這邊額外分享一個RouterOS用OSPF做Site to Site連線的方式
免去了還要設定固定路由以及Source NAT的麻煩
畢竟RouterOS沒有像DD-WRT或者OpenWRT有Route Allowed IP的功能
不過建立這個之前,有幾點需要注意:
1. 如果同時有多個Site要串,強烈建議每一個Site都另外用獨立的WireGuard介面,
WireGuard的IP網段以及Port號也做區隔
2. 單純做終端連回(透過手機、電腦連回)的也不要跟做Site的WireGuard介面共用。
3. 部分RouterOS設備可能會有WireGuard的subnet設為25以上時會無法連線的狀況。
4. 兩端的區網網段不重疊
前三點個人認為跟RouterOS本身的問題關係很大
OK,先說明一下自己的佈建環境:
家裡:Mikrotik RB4011iGS+5HacQ2HnD-IN (使用中華光世代500M)
租屋:Mikrotik hAP ax^2 (使用房東的有線電視網路)
建立Wireguard的部分,這邊就簡單帶過
基本上在RouterOS建立Wireguard連線一樣是要建立一個Wireguard介面與網段
兩邊個別設定彼此的Public Key,租屋端設定連到家裡的WG資訊
然後Allowed Address都設定0.0.0.0/0
最後確定防火牆有開放WG的網段以及WG的Port就可以了
用內建的ping工具測試WG的IP能互通的話就表示連線正常
那麼以下就開始說明怎麼建立OSPF連線
1. 兩端各建立一個Bridge,名稱自訂,設定什麼的可以不動
https://i.imgur.com/M42AhaI.png
2. 到IP→Addresses,設定此Bridge的IP,假設是172.18.0.1
這個IP只是當作識別用,並不會有連線,因此隨便找一個不衝突的IP即可
兩端的Bridge IP也不能衝突
https://i.imgur.com/ufJqZCK.png
3. 進到Routing→Router ID,建立一個新的ID
名稱自訂,ID請設定跟Bridge一樣的IP,兩端都要設
https://i.imgur.com/uxeONkw.png
4. 到Routing→OSPF,建立一個新的Instance,Router ID改為剛剛建立的ID名稱
其他設定不用動,兩端都要設定
https://i.imgur.com/U9X4WCI.png
5. 切換到Areas頁籤,建立新的Area,設定都不用動
https://i.imgur.com/PpeotYx.png
6. 最後切換到Instance Templates頁籤,建立新的Template
在Interfaces中把連線的WG介面以及區網Bridge加入
https://i.imgur.com/z4ebPgB.png
這邊需要注意的是Network Type,可以選擇Broadcast或者是PTP
但兩端的Network Type必須一致
7. 設定完成後,切換到Neighbors頁籤,檢查是否有東西
成功的話會出現一筆有對方的WireGuard IP的資料,並且狀態是Full
如果沒有資料或者狀態不是Full,就要檢查連線是否有問題
https://i.imgur.com/ExjpGIT.png
另外看租屋端的IP→Route設定,會自動多了家中區網的Route設定
https://i.imgur.com/XtzCam4.png
家裡的也會自動多一筆類似的路由
https://i.imgur.com/6hse0iy.png
這樣就可以測試兩邊是否就能夠互通,正常狀況下是可以直接互通了
以上,就當作是另一種方式的參考
之後會再說明下怎麼在OSPF的情況下讓子網路端全都用主網路端對外