mikrotik a wireguard vpn - nevidím vzdálenou LAN

zdravím, snažím se nakonfigurovat nový mikrotik 750r2, na kterém poběží wireguard vpn, dálkově z mobilu se chci připojovat domů a vidět a používat zdroje v domácí LAN

popis stávající situace:

1) domácí síť: vdsl terminátor -> hlavní router MKT951G (dělá NAT, DHCP, FW atd) síť 10.0.0.0/24, mkt951G adresa 10.0.0.141
1a) pc v LAN ip 10.0.0.15, připojen do noname switche, switch připojen do mkt951g

2) nový mikrotik 750r2, aktualizace na ROS 7.1, síťové rozhraní na 10.0.0.78, všechny porty 1-5 jsou v LAN, firewall prazdný, natování prázdné, zapojen do stávající sítě

3) nainstaloval jsem na něj WG VPN a nastavil, všechny porty jsou jako LAN, všechny porty jsou v bridge. udělal jsem nový interface wireguard a označil jako LAN, vygeneroval klíče , wireguard IP 10.160.0.1

4) na mobil android jsem nainstaloval wireguard vpn, nastavil klíče, IP adresa 10.160.0.2

5) po vyvolání spojení , proběhne handshake
zkouším ping
z 10.160.0.2 na 10.160.0.1 ok
z 10.160.0.2 na 10.0.0.78 ok
z 10.0.0.15 jde ping na 10.0.0.78 ok
z 10.0.0.15 NEJDE ping na 10.160.0.1 a 10.160.0.2

jde ping z terminálu/winboxu 10.0.0.78 na 10.0.0.162

NEJDE PING z 10.160.0.2 na 10.0.0.140 a další místní zdroje
NEJDE PING z 10.160.0.2 na 8.8.8.8

asi chybí routa mezi 10.160.0.0/24 a 10.0.0.0/24, která by se měla zřejmě nastavit v mkt750 ale nevím jak

poradíte?

ps:
neřešme prosím, že by vpn mohl dělat přímo hlavní router atd, je potřeba aby to bylo takto

Předmět	Autor	Datum
Netusim a nechce sa mi skumat, pretoze v7 som este nikde u seba nenasadil...stale ho povazujem za rc… fleg 31.01.2022 16:57	fleg	31.01.2022 16:57
Neznám přesně chování těch mkt, ale tipnul bych si, že problém bude v nastavení brány (v jednotlivýc… poslední hm9 31.01.2022 17:19	hm9	31.01.2022 17:19

Netusim a nechce sa mi skumat, pretoze v7 som este nikde u seba nenasadil...stale ho povazujem za rc verziu, aj ked su uz vydane ostre, pretoze MT ladi system za pochodu.
Ja by som s nasadenim WG este pockal, k dispozicii mas ine overene vpnky, vratane openvpn a pouzil by som tie.
Zrovna par dni dozadu mi hlasil podobny problem kamos na WG.
Tu mas vyhlasenie jedneho clena od MT, ktore asi hovori za vsetko.

We know you guys are as much hyped as we are for this release! As much as we appreciate your passion about your particular needs and bugs fixed as soon as possible, note that RouterOS v7 is still actively being developed in most parts and is not a direct replacement for RouterOS v6 yet. We highly value every feedback received and can assure you that every single post you make in RouterOS version release topics is read by MikroTik staff and taken in account.

Inak pptp, ci l2tp server s ipsecom funguje spolahlivo, sam ho pouzivam na desiatkach sieti.

Neznám přesně chování těch mkt, ale tipnul bych si, že problém bude v nastavení brány (v jednotlivých stanicích) nebo rozsahu sítě.
Co se stane při ping z 10.0.0.15/24 na 10.160.0.1? No ta 15 pošle ping bráně - hlavnímu routeru, protože 10.160.0.1 je mimo domácí síť 10.0.0.0/24. Kdyby aspoň hl. router věděl, že to má předat na 10.0.0.78, tak by to tam asi poslal a stanici by upozornil, ať to příště udělá sama. Jenže asi ani hlavní router neví, že za 10.0.0.78 se skrývá síť 10.160.0.x, tak to pošle do internetu, podle nastavených pravidel nemá jinou možnost. A konec. Podobně ostatní případy.

Zkusil bych třeba nastavit masky na 255.0.0.0, tzn. 10.0.0.0/8 a 10.160.0.0/8. Tím by se oba rozsahy mohly sloučit do jedné sítě.
Jiná možnost: Nastavit ve stanicích 10.0.0.0/24 další bránu 10.0.0.78 jen pro rozsah 10.160.x.x. A v zařízeních 10.160.x.x bránu 10.160.0.1 pro rozsah 10.0.x.x, jestli pro síť 10.160.x.x není 10.160.0.1 defaultní.

Ta první možnost je asi jednodušší.
Jestli to pomůže, ví ale jen Bůh.

Zpět do poradny Odpovědět na původní otázku Nahoru