Zgodnie z dokumentacja na eko.one.pl oraz opisami znalezionymi w internecie np:

https://systemzone.net/wireguard-site-t … outeros-7/
https://netadminpro.pl/wireguard-site-t … -mikrotik/

Oczywiście mogę zmienić, ale na jaką maskę konkretnie (w moim przypadku)

Ja się na tym nie znam jakoś dogłębnie, i znać się nie chcę. Potrzebuję zestawić VPN pomiędzy Mikrotik i Openwrt tak, aby obydwie sieci widziały się wzajemnie. Działało na OpebNPN, ale z pewnych względów muszę przejść na (nawiasem mówiąc dużo szybszy, prostszy i nowocześniejszy) Wireguard.

Inna sprawa, czy maska/30 mogła "uwalić" DHCP, tak jak to opisałem?

DuDuS

@woma1
Ogólnie to masz groch z kapustą.
Nie wierzę że świadomie korzystałeś z poradników.
Pomijam fakt że network wg0 w firewallu masz i w strefie wan i w strefie wg, szkoda że jeszcze nie dopisałeś do łan.
Skoro masz forwardy na wszystkie możliwe kierunki to po co ci dodatkowe rule?
Być może to nie zmienia sensu ale pompujesz niepotrzebnie firewalla.
A gdy regułka z blokadą będzie wyżej niż regułka z Accept to pakiet nie przejdzie bo zalapie się na na tą pierwszą.
Poza tym ciężko analizuje się, gdy to samo pojawia się wszędzie.

Skoro z sieci BIURO nie widzisz DOM to sprawdź na Mikrotiku czy masz allowed do sieci DOM i trasy do tej sieci DOM przez tunel WG.

@Cezary
A ja nie twierdzę że Ty użyłeś maski /30. Znalazłem ją w którymś z poradników, i tak wpisałem. Jaka zatem powinna byc prawidłowa maska dla '10.8.1.0, i ogólnie jakie wpisy powinienem mieć jako allowed_ip.

@mar_w
Twoja wypowiedź nic nie wnosi do rozwiązania mojego problemu. Nie oczekują nauczycielskiego rugania, tylko pomocy. Oczywiście że nie korzystałem świadomie jak znawca tematu, tylko starałem się odnalezione przykłady i poradniki dostosować do własnych sieci. I zapewne zrobiłem coś wadliwi, stąd prośba o pomoc. Piszesz że mam groch z kapusta, OK. To podaj mi konkretna konfiguracja jaka powinienem zastosować w moim przypadku. Ja nie chce poznawać tajników sieci komputerowych, gdyż zajmuję się czymś innym. Ale czasem potrzebuję (w miarę własnych możliwości i dzięki życzliwej pomocy Cezarego) coś w sieci skonfigurować, i zazwyczaj daje radę sam (z pomocą poradnikow). Tym razem najwyraźniej temat mnie nieco przerósł. Stąd prośba o pomoc. 

@xrace
[custos@MikroTik] /ip/route> print
Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, s - STATIC, v - VPN
Columns: DST-ADDRESS, GATEWAY, DISTANCE
#     DST-ADDRESS       GATEWAY    DISTANCE
  DAv 0.0.0.0/0         JAROSZ            1
  DAc 10.8.1.0/24       WG-Server         0
  DAc aaa.bbb.ccc.ddd/32  JAROSZ            0
0  As 192.168.100.0/24  10.8.1.11         1
  DAc 192.168.101.0/24  bridge            0

JAROSZ to dostęp do internetu PPPoE

Przede wszystkim chodzi mi jednak teraz o wyjaśnienie przyczyn zablokowania DHCP. Nie mogę odpalić ponownie Wireguard na OpenWrt bez rozwiązania tego problemu, bo jak wyjadę z lokalizacji BIURO i znowu się wywali to stracę dostęp.

DuDuS

Nie ma "złej" maski. Stosuje się taką jak potrzebujesz. Po prostu przyjęło się że używa się masek /24 lub /16 i nagłe jak ktoś daje /30 to albo ma jakiś dobry powód żeby aż tak zmniejszyć sobie klasę albo nie wiem co.

Ponownie proszę o pomoc w temacie. Przede wszystkim co może być przyczyna blokowania DHCP

DuDuS

Walczę z tym. Ale chyba nie dam rady.

Jeśli ustawię tylko to co u Ciebie w poradniku, to niestety sieci się nie widzą wzajemnie. WG nawiązuje połączenie (widzę to i na Mikrotik, i na OpenWrt). Ja już nie wiem, jak mam to zrobić żeby działało w obie strony.

Sekcja dotycząca Wireguard w network jest zatem dobra, bo połączenie jest ustanawiane. Poprawiłem list allowed_ips '10.8.1.0/30' na list allowed_ips '10.8.1.0/24'  Zatem pozostaje tylko firewall.  Wywalilem zatem z firewall wszystko co wczęsniej dodałem recznie i dotyczyło Wireguard (zone, rule, redirect) i wprowadzilem identycznie linia po linii jak w twoim poradniku korzustając z terminala Putty. Oczywiście zmieniłem port na ten ktory używam.

Jest teraz tak:

-----------------------------------------------------------------------------------------
network:
config interface 'wg0'
    option proto 'wireguard'
    option private_key 'ONs???='
    list addresses '10.8.1.11/32'
    option auto '0'

config wireguard_wg0
    option public_key '4sG???='
    option description 'Dom'
    option persistent_keepalive '25'
    option endpoint_port '13???'
    option route_allowed_ips '1'
    option endpoint_host 'XXX.XXX.XXX.XXX'
    list allowed_ips '10.8.1.0/24'
    list allowed_ips '192.168.101.0/24'

config route
    option target '192.168.101.0/24'
    option gateway '10.8.1.1'
    option interface 'wg0'
-----------------------------------------------------------------------------------------
firewall:
config rule
    option src 'wan'
    option target 'ACCEPT'
    option proto 'udp'
    option dest_port '13???'
    option name 'Wireguard'

config zone
    option name 'wg'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'
    option network 'wg0'

config forwarding
    option src 'wg'
    option dest 'wan'

config forwarding
    option src 'wan'
    option dest 'wg'

config forwarding
    option src 'wg'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'wg'
-----------------------------------------------------------------------------------------

I oczywiście sieci się nie widzą. Co i gdzie mam dodać, aby się widziały? Tego w Twoim poradniku nie ma, stąd moja prośba. Konfiguracje obydwu sieci podalem w pierwszym poście

DuDuS

DOM już widzi BIURO. Problem był po stronie Mikrotik. Co zrobić aby BIURO widziało DOM?

DuDuS

Na mikrotiku Allowed Adresses mam:
10.8.1.0/24
192.168.100.0/24

I OpenWrt widzi Mikrotika, ale Mikrotik nie widzu OpenWrt (mowie o sieciach)

---------------------------------------------------------------------------------------------

Dobra. Chyba jest OK. Pomyliłem się w Peer na OpenWrt. Zamiast 10.8.1.0/24 wpisalem 10.8.0.1/24. Poprawiłem i zaczyn a dzialać

Podczas poprawiania Peera na OpenWrt omyłkowo wpisałem  list allowed_ips '10.8.0.1/24' zamiast  list allowed_ips '10.8.1.0/24'. I w tym tkwił problem. Teraz juz zaczęło działać. Byl mi DHCP n ie uwaliło. Zaraz zrestartuję OpenWrt i zobaczę co będzie

Dzięki Cezary i wszyscy ktorzy starali sie mi pomoc. miłego wieczoru. mam nadzieje że będzie już OK

DuDuS

A teraz zlikwiduj te statyczne trasy bo wiregurd sam powinien zrobić je na podstawie allowed_ips. Sprawdź.

1. Mikrotik też powinien je zrobić
2. Nie. Tyle że wprowadza zamieszanie i pogubisz się nagle jak zmienisz adresację czy coś.