Настройка WireGuard MikroTik: пошаговое руководство

WireGuard — это современный протокол VPN, который обеспечивает высокую скорость, простоту внедрения и минимальные требования к ресурсам. В этой статье мы разберем процесс его настройки на роутерах MikroTik, включая конфигурацию устройства для связи с другими точками сети. Протокол идеально подходит для объединения удаленных сегментов или подключения к внешним хостам.

Основные преимущества настройки WireGuard MikroTik

Преимущества WireGuard помогут вам оценить, почему этот VPN стал столь популярным:

1. Высокая производительность: компактный код обеспечивает скорость выше большинства аналогов.
2. Простота настройки: интерфейс интуитивно понятен даже начинающим пользователям.
3. Совместимость: поддержка Linux, Windows, MikroTik и других платформ.
4. Безопасность: протокол использует современные криптографические алгоритмы.

Для использования WireGuard на MikroTik необходимо обновить RouterOS до версии 7.0 или выше.

Схемы подключения WireGuard MikroTik

Протокол поддерживает два основных сценария:

1. Peer-to-Peer: обе стороны могут выступать инициатором соединения. Для работы нужны статические IP-адреса на обоих роутерах.
2. Клиент-сервер: клиент инициирует подключение, сервер отвечает. Статический IP-адрес требуется только для сервера.

Эти схемы подключения позволяют выбрать подходящий способ интеграции.

Настройка сервера на MikroTik

Шаг 1. Создание интерфейса

1. Перейдите в WireGuard → Interfaces.
2. Создайте новый интерфейс:

• Listen Port — порт для подключения (например, 13231).
• Private Key — ключ генерируется автоматически.

/interface wireguard

add listen-port=13231 mtu=1420 name=wireguard-server

Шаг 2. Назначение IP-адреса

1. Перейдите в IP → Address.
2. Назначьте IP-адрес интерфейсу:

/ip address

add address=192.168.1.1/24 interface=wireguard-server network=192.168.1.0

Шаг 3. Настройка Peer

1. Перейдите в WireGuard → Peers.
2. Добавьте нового пира:

• Public Key — публичный ключ клиента.
• Allowed Address — IP-адреса, разрешённые для доступа.
• Persistent Keepalive — интервал проверки соединения (например, 10 секунд).

/interface wireguard peers

add allowed-address=192.168.2.0/24 interface=wireguard-server public-key=\

«<CLIENT_PUBLIC_KEY>» persistent-keepalive=10s

Шаг 4. Настройка маршрутизации

1. Перейдите в IP → Routes.
2. Создайте статический маршрут:

• Dst. Address — подсеть клиента.
• Gateway — IP-адрес клиента.

/ip route

add dst-address=192.168.2.0/24 gateway=192.168.1.2

Настройка клиента на MikroTik

Шаг 1. Создание интерфейса

1. Перейдите в WireGuard → Interfaces.
2. Создайте новый интерфейс:

• Listen Port — произвольный порт (например, 13232).
• Private Key — ключ генерируется автоматически.

/interface wireguard

add listen-port=13232 mtu=1420 name=wireguard-client

Шаг 2. Назначение IP-адреса

1. Перейдите в IP → Address.
2. Пропишите IP-адрес для интерфейса:

/ip address

add address=192.168.2.1/24 interface=wireguard-client network=192.168.2.0

Шаг 3. Настройка Peer

1. Перейдите в WireGuard → Peers.
2. Добавьте сервер как пира:

• Public Key — публичный ключ сервера.
• Endpoint — внешний IP сервера.
• Endpoint Port — порт сервера (например, 13231).
• Allowed Address — подсети сервера.

/interface wireguard peers

add allowed-address=192.168.1.0/24 endpoint-address=<SERVER_IP> \

endpoint-port=13231 interface=wireguard-client public-key=\

«<SERVER_PUBLIC_KEY>»

Шаг 4. Настройка маршрутизации

1. Перейдите в IP → Routes.
2. Создайте маршрут:

• Dst. Address — подсеть сервера.
• Gateway — IP-адрес сервера.

/ip route

add dst-address=192.168.1.0/24 gateway=192.168.2.1

Настройка Firewall 

Чтобы защитить соединение, добавьте правила для Firewall:

1. Перейдите в IP → Firewall → Filter Rules.
2. Добавьте правило для разрешения трафика через WireGuard интерфейс:

/ip firewall filter

add chain=input action=accept protocol=udp dst-port=13231

add chain=forward action=accept in-interface=wireguard-server

add chain=forward action=accept out-interface=wireguard-server

Проверка работы WireGuard

Для проверки корректности работы WireGuard выполните следующие шаги:

1. Убедитесь, что интерфейсы WireGuard находятся в статусе running.
2. Проверьте подключение, отправив пинг между устройствами:

ping 192.168.1.1

ping 192.168.2.1

Если соединение установлено успешно, значит настройка завершена.

Настройка WireGuard на MikroTik — это простой способ обеспечить надежное и быстрое VPN-соединение. Протокол отлично подходит для объединения удаленных сетей, подключения к облачным серверам и других задач. Следуя приведенным инструкциям, вы сможете настроить сервер и клиента, обеспечить маршрутизацию трафика и защиту соединения.

Если у вас остались вопросы или требуется помощь с настройкой MikroTik, свяжитесь с нами. Мы работаем ежедневно с 09:00 до 20:00 и готовы вам помочь!