Mikrotik firewall 開洞給 wireguard 鑽
為了把不必要的門關起來,把 input drop all 的政策開起來之後,原本可以連線的 Wireguard 連不上了…
還好現在在設備旁
工作環境:
Mikrotik CCR site-to-site wireguard hapAC, CCR ip firewall filter +default drop input all
Wireguard windows peer
CCR 的 input filter 相對於 hapAC 在 wireguard 的路由管理應用在 firewall 好像是比較嚴格,其他設定一樣的狀況下,在開啟 input drop all 之後, wireguard 連接 hapAC 還是可以存取資源,但是連接 CCR 就馬上被關在門外,想必是得開小門…
操作:
wireguard 連遠端 site (hapAC)無法連回 CCR ,wireguard 連近端 site(CCR)無法通
在 CCR 實體線路把對方的內網 gateway 打開:
/ip firewall filter add action=accept chain=input src-address=192.168.2.1
wireguard 連遠端 site (hapAC)可以連回 CCR ,wireguard 連近端 site(CCR)無法通
再把 wireguard 的網段打開:
/ip firewall filter add action=accept chain=input src-address=10.10.10.0/30
wireguard 連近端也可以通了
收工!
留言
張貼留言