Mikrotik firewall 開洞給 wireguard 鑽

 為了把不必要的門關起來,把 input drop all 的政策開起來之後,原本可以連線的 Wireguard 連不上了…

 還好現在在設備旁

 工作環境:
  Mikrotik CCR site-to-site wireguard hapAC, CCR ip firewall filter +default drop input all
  Wireguard windows peer

  CCR 的 input filter 相對於 hapAC 在 wireguard 的路由管理應用在 firewall 好像是比較嚴格,其他設定一樣的狀況下,在開啟 input drop all 之後, wireguard 連接 hapAC 還是可以存取資源,但是連接 CCR 就馬上被關在門外,想必是得開小門…

操作:

 wireguard 連遠端 site (hapAC)無法連回 CCR ,wireguard 連近端 site(CCR)無法通 

在 CCR 實體線路把對方的內網 gateway 打開:

/ip firewall filter add action=accept chain=input src-address=192.168.2.1

 wireguard 連遠端 site (hapAC)可以連回 CCR ,wireguard 連近端 site(CCR)無法通

 再把 wireguard 的網段打開:

/ip firewall filter add action=accept chain=input src-address=10.10.10.0/30

 wireguard 連近端也可以通了

 

收工!

留言

這個網誌中的熱門文章

使用 Excel 計算2個地點之間的直線距離

LINE 儲存的檔案傳到 email 不方便 很不方便 非常不方便 但是有解的筆記

合併列印標籤漏印