Odblokuj sobie ruch na firewallu z sieci 10.9.0.0/24?

src address usuń. Nic tam ma nie być.

Jednak mam problem.
Mikrotik z konfigurowanym klientem wireguard o adresie 10.9.0.10 jest w oddalonej lokalizacji.
Serwer z wireguardem też działa.

Generalnie wireguard działa. Mogę się dostać zdalnie do mikrotika.
Problem mam z przekierowaniem portu od usługi vnc.

Na MT mam takie ustawienia
W IP->Firewall->Nat mam
W zakłądce General
Chain: dstnat
Dst. address: 10.9.0.10
Protocol: TCP
Dst.Port: 5900

W zakładce Action:
Action: dst-nat
To address: 192.168.11.20 - adres urządzenia z vnc
To ports:5900

Z terminala MT mogę spingować urządzenie 192.168.11.20

MT ma adres 192.168.11.1
Gdzie popełniłem błąd ?

Wcześniej w innym miejscu miałem przekierowany tylko port 5900/tcp i działało.

Po dodaniu 5900/udp nie pomogło.
Dodatkowo chciałem mieć możliwość dostępu zdalnego do podsieci 192.168.11.0/24 i nie chciałem żeby cały ruch szedł przez serwer vpn więc w zakładce Wireguard'a w opcji "allowedips" zmieniłem wpis z 0.0.0.0 na 192.168.11.0/24 i niestety nie mam już dostępu do mikrotika.
Trzeba jeszcze było najpierw zrobić forwarding pomiędzy wg0 a lan ?

AllowedIPS powinien być 192.168.11.1/24 a nie 192.168.11.0/24 ?

W jaki sposób w mikrotiku który działa jako klient wireguard mogę dostać się po podsieci np 192.168.11.x ?
W openwrt jest taka opcja
route_allowed_ips="1"
której nie widzę w winboxie.

W firewallu trzeba zrobić przekierowanie pomiędzy interfejsem wan i wireguard ?

To może wyjaśnię o co mi chodzi na przykładzie N2N.
To rozwiązanie chciałem przenieść na wireguarda.

W ustawieniach sieci dla klienta mam zdefiniowany interfejs edge0
/etc/config/network

config interface 'n2n'
        option ifname 'edge0'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '10.1.2.17'

W firewallu

config zone
        option name             wan
        list   network          'wan'
        list   network          'wan6'
        option input            REJECT
        option output           ACCEPT
        option forward          REJECT
        option masq             1
        option mtu_fix          1

config zone
        option name n2n
        option network n2n
        option input ACCEPT
        option output ACCEPT
        option forward ACCEPT
        option masq 1

config forwarding
        option src lan
        option dest n2n

config forwarding
        option src n2n
        option dest lan

config forwarding
        option src wan
        option dest n2n

config forwarding
        option src n2n
        option dest wan

W /etc/rc.local
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -I POSTROUTING -s 10.1.2.1 -o tun0 -j MASQUERADE

Chociaż nie wiem czy ten ostatni wpis jest w ogóle potrzebny.
Adres 10.1.2.1 to adres supernode'a routera.

Pod windowsem w konsoli wystarczyło zestawić routing statyczny np z edge'm 10.1.2.17. Jeśli adres podsieci był 192.168.10.x to wpisywałem
route add 192.168.10.0 mask 255.255.255.0 10.1.2.17
i miałem dostęp do podsieci na 2 końcu.

Jak to osiągnąć w wireguardzie ?
Chodzi mi o sam dostęp do podsieci. Dostęp do poszczególnych klientów (10.9.0.x) mam.

Dokładnie chodzi mi o tą konfigurację
https://wiki.mikrotik.com/wiki/Manual:S … ic_Routing

Nie rozumiem tylko po co w routerze jest interfejs 10.1.1.2 (ether1) jak na 2 routerze tego nie ma. W ogóle ten interfejs jest nie użyty a vpn i tak działa na adresie 172.16.1.x

Ok, teraz widzę.
Jednak jest mała poprawka u mnie.
Mam serwer vpn (wireguard o adresie 10.9.0.1)
Klient na windowsie ma adres 10.9.0.2
Klient na routerze mikrotik ma adres 10.9.0.10

Routery są w oddzielnej lokalizacji i nie mam fizycznego połączenia pomiędzy routerami.
Zarówno z poziomu serwera vpn mogę pingować swojego klienta na windowsie jak i mikrotika (drugi klient).
Na routerze z n2n który pracował jako klient (edge) wystarczył tylko wpis
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -I POSTROUTING -s 10.1.2.1 -o tun0 -j MASQUERADE
+ odpowiednie przekierowania w firewallu.

Czy tutaj na mikrotiku muszę zrobić routing statyczny do adresu 10.9.0.1 (serwer vpn z wireguardem) ?

Takie mam trasy na mikrotiku

[admin@RouterOS] > ip route print
Flags: D - DYNAMIC; A - ACTIVE; c, d, y - BGP-MPLS-VPN
Columns: DST-ADDRESS, GATEWAY, DISTANCE
    DST-ADDRESS      GATEWAY      DISTANCE
DAd 0.0.0.0/0        192.168.1.1         1
DAc 10.9.0.0/24      wireguard1          0
DAc 192.168.1.0/24   ether1              0
DAc 192.168.11.0/24  bridge              0

No tak i to się zgadza, z mikrotika mogę pingować swojego klienta i serwer wireguard.
Jeszcze chciałbym żeby z poziomu klienta na windowsie (10.9.0.2) można było pingować podsieć za mikrotikiem (10.9.0.11).

Zobacz uwagi np. tutaj: https://mikrotikon.pl/konfiguracja-vpn- … ikrotik/2/