Auteur Sujet: Retours/Avis Tunnel WireGuard sur Mikrotik ? (Lu 2547 fois)

zoc · « **le:** 16 février 2025 à 10:02:47 »

Bonjour,

J'ai actuellement un VPS chez OVH qui me sert de routeur principalement, connecté à mon CCR2004 par un tunnel site to site wireguard. Je veux me séparer de ce VPS pour plusieurs raison:

Utiliser un VPS en tant que routeur dans mon cas est un peu overkill, le seul but étant d'avoir une IP fixe publique lorsque ma ligne FTTH tombe et que mon routeur 4G prend le relais
OVH ne fournit qu'une seule IPv6 (bravo...), et le /64 dans laquelle elle se trouve est régulièrement listé chez SpamHaus (alors que je n'y suis pour rien), ce qui inévitablement empêche de délivrer des mails vers les domaines qui utilisent leur liste sans se poser de question...
Le support est complètement nul, quand je leur indique que leur /64 est blacklisté leur réponse est totalement a coté de la plaque. Où alors ils le font exprès car ils s'en foutent.

Bref, j'envisage de remplacer tout ça par un tunnel chez Milkywan, avec l'avantage que l'IPv4 publique et le /48 IPv6 soient portées directement par mon routeur et pas par un routeur distant.

Je la page des VPN sur le site de Milkywan, je ne vois cependant pas de compatibilité avec RouterOS dans le cas du VPN Wireguard. Est-ce un oubli ou il y a effectivement un problème ?

J'en profite pour poser d'autres petites questions:

Pour un tunnel WireGuard, l'IPv4 publique est bien incluse ?
Est-il possible d'avoir un enregistrement PTR perso pour cette IPv4 ?
Est-il possible d'avoir la délégation de la reverse zone du /48 chez Cloudflare (limité à 200 enregistrement PTR pour le Free Plan, mais largement suffisant pour moi) ?

Accessoirement, s'il y a ici quelqu'un avec le même routeur que moi: A quel débit crête je peux m'attendre vu que le chiffrement est fait par le CPU ?

Pour finir, Wireguard est-il le plus adapté pour mon cas d'usage ou est-ce que je devrais envisager un tunnel L2TP à la place ? Quid tu temps de détection/rétablissement/stabilité du tunnel Stalled en cas de switch sur ma connexion de backup 4G (SIM additionnelle Sosh) en L2TP, sachant que c'est "immédiat" avec Wireguard.

Merci beaucoup et bon dimanche.

Hugues · « **Réponse #1 le:** 16 février 2025 à 10:10:03 »

Salut,

Désolé j'ai complètement oublié de répondre à ton DM

Citation de: zoc le 16 février 2025 à 10:02:47

Pour un tunnel WireGuard, l'IPv4 publique est bien incluse ?
Est-il possible d'avoir un enregistrement PTR perso pour cette IPv4 ?
Est-il possible d'avoir la délégation de la reverse zone du /48 chez Cloudflare (limité à 200 enregistrement PTR pour le Free Plan, mais largement suffisant pour moi) ?

Non
Oui
Oui

J'imagine que c'est compatible Mikrotik oui, on a juste pas testé mais y'a aucune contre indication particulière

@+

halesk2k · « **Réponse #2 le:** 16 février 2025 à 11:09:16 »

J'ai presque la même conf que toi. Un tunnel pour récupérer un range IPv6 fixe only (osef de l'IPv4, c'est has been

) sur un Mikrotik (RB4011), avec délégation de la zone reverse. Sur une connexion ftth + 4G.

J'ai pris un tunnel L2TP, une fois configuré, c'est performant et ça juste fonctionne. A partir du moment où t'as bien géré ta bascule entre ftth et 4G, le keepalive de l'interface l2tp fait le reste. J'ai mis 30s chez moi, donc si la ftth tombe, au pire 30s plus tard, le tunnel tombe et remonte sur la 4G (et je pense qu'en vérité, il sera remonté bien avant vu qu'il y a toujours du trafic).

Je me trompe peut-être mais il me semble que la conf Wireguard sur Mikrotik est assez "fixe". L'avantage du tunnel L2TP, c'est que l'interface tombe quand le L2TP est down. Donc quand le L2TP tombe, ca fallback sur la connexion native. Avec Wireguard, il me semble que l'interface est toujours up même si le tunnel est down. A vérifier.

Après, L2TP sans IPSec, ce n'est plus considéré comme sécure, mais osef, à partir du moment où je sors de chez moi, c'est "Internet", donc tunnel ou pas, on protège de la même façon.

Attention juste aux MTU par contre, il faut réécrire le tcp-mss avec la mangle.

zoc · « **Réponse #3 le:** 16 février 2025 à 20:17:58 »

Pas de problèmes @Hugues pour la non réponse à mon DM

Et puis ces questions peuvent aussi intéresser d'autres membres du forum, c'est aussi bien qu'elles soient ici.

Citation de: Hugues le 16 février 2025 à 10:10:03

Non

Ok, donc je n'avais pas compris correctement le "IPv4 : privée CGNatée (sauf pour Wireguard)", qui veut du coup dire "pas d'IPv4 du tout par défaut pour wireguard". Ca ferait donc 9 euros par mois pour un tunnel wireguard avec une IPv4 publique (j'héberge un serveur mail, donc je ne peux pas faire l'impasse sur IPv4 pour l'instant).

L'expérience de @halesk2k concernant la bascule entre FTTH et 4G sur du L2TP semble rassurante, du coup ça me semble plus adapté (et moins cher), surtout que comme toi je n'ai pas besoin de chiffrement (et tout ce que j'héberge est en TLS de toute façon). Le problème de MTU est quoi qu'il en soit identique quel que soit la solution technique, et je l'ai déjà sur mon site-to-site wireguard vers mon VPS.

@halesk2k pour ton /48 tu as choisi du routage statique ou du BGP ? Je ne vois pas franchement l'intérêt à faire du BGP après réflexion. Je peux le faire si ça simplifie la vie coté Milkywan, mais dans ce cas il me faudra une configuration type pour RouterOS car j'avoue ne pas trop maitriser BGP.

Merci en tout cas pour vos réponses, j'y vois plus clair.

halesk2k · « **Réponse #4 le:** 16 février 2025 à 20:41:38 »

Routage statique.

Après, mon cas est super simple vu que l'IPv4 passe entièrement en natif, et IPv6 passe entièrement via le tunnel.

Hugues · « **Réponse #5 le:** 17 février 2025 à 09:25:42 »

BGP c'est pour de la redondance inter-services, on ne le propose pas dans le cas d'un seul service (parce que ça ne sert a rien)

zoc · « **Réponse #6 le:** 17 février 2025 à 13:02:06 »

Merci pour la précision, je n'en voyais pas l'intérêt non plus.

zoc · « **Réponse #7 le:** 26 février 2025 à 17:37:00 »

Bon bah voila, après quelques jours de tests "à vide", depuis ce soir tous mes services auto-hébergés passent par un tunnel L2TP chez Milkywan

Merci à @Hugues et @halesk2k pour les infos fournies ici, et aussi à Marc B. pour son dévouement

nicox11 · « **Réponse #8 le:** 27 février 2025 à 10:40:03 »

Bonjour Zoc,

J'ai à peu près le même besoin que toi.
J'ai une connexion FTTH en primaire et j'aimerai faire un backup via une ligne 4G.

J'ai quelques questions.
Globalement, combien ça te coute vu que ça a l'air maintenant en place pour toi ? Le prix du tunnel MilkyWan, l'option IPv4 (je suppose que les IPv6 ne sont pas payante ?), éventuellement ta SIM 4G avec combien de data ? J'envisage éventuellement un backup uniquement IPv6.

En cas de bascule, comment gères-tu le DNS? Utilises-tu une APi ou quelque chose comme ça ?
De plus comment se passe l'attribution des IPv6 de tes serveurs ? Actuellement mes serveurs héritent du prefixe IPv6 d'Orange. Mais comment ça se passe en cas de bascule ? Tu as 2 IP publiques (une Orange et une MilkyWan?) en même temps avec des priorités différentes ou autres ?

Merci d'avance pour tes réponses, et comme tu le vois oui ton post pour intéresser d'autres personnes

Hugues · « **Réponse #9 le:** 27 février 2025 à 10:59:39 »

Citation de: zoc le 26 février 2025 à 17:37:00

Bon bah voila, après quelques jours de tests "à vide", depuis ce soir tous mes services auto-hébergés passent par un tunnel L2TP chez Milkywan

Merci à @Hugues et @halesk2k pour les infos fournies ici, et aussi à Marc B. pour son dévouement

Welcome

zoc · « **Réponse #10 le:** 27 février 2025 à 21:06:52 »

Hello @nicox11,

Je vais essayer de répondre à tes questions

Pour le backup 4G: J'ai un abonnement mobile SOSH 5G avec 200 Go de data pour mon smartphone, j'ai juste pris une carte SIM data supplémentaire pour ce forfait à 5 euros par mois (avec donc le volume data partagé entre les 2 SIM). Surcout, par rapport à mon abonnement FTTH: 3 (tunnel) +3 (IPv4) +5 (SIM) = 11 euros par mois.
Mes serveurs ont uniquement une IPv6 "Milkywan" (plus une ULA pour le traffic inter-vlan): Le tunnel ne me sert pas uniquement de backup mais de point d'entrée que ce soit la fibre ou la 4G qui est active. Pas besoin de faire du dyndns (ce que je faisais avant d'ailleurs en cas de changement de préfixe chez Orange, avec un script perso sur mon CCR2004, les serveurs DNS de mes domaines sont chez Cloudflare). Tout le reste (donc tout ce qui n'est pas dans mon VLAN "serveurs") ne passe pas par le tunnel mais en natif, et a donc une IPv6 orange (et pas d'IPv6 du tout quand je suis sur le backup)

A noter que je faisais ça avant avec un VPS chez OVH (et un tunnel wireguard entre le VPS et mon routeur), ça me coutait 3 euros de moins, mais avec une seule IPv6 (et donc de la redirection de port en IPv6, beurk), qui est dans un /64 blacklisté un jour sur 2 chez SpamHaus (et le support d'OVH s'en fout)...

PS: Il faut évidemment aussi rajouter le coût d'achat du modem 4G.

nicox11 · « **Réponse #11 le:** 28 février 2025 à 07:55:48 »

Merci pour les précisions.
Effectivement, en faisant passer par le tunnel que ce soit FTTH ou 4G, plus simple à gérer (un seul adressage et le tunnel se remonte à la bascule).

Par très fan d'utiliser le tunnel dans le cas nominal.
Le principal problème est la bascule sur la 4G qui entraine pas mal de complication pour l'adressage.
Ma "solution" à base de double adressage GUA est surement un peu overkill.