WireGuard je moderní protokol VPN, který nabízí vysokou rychlost, snadnou implementaci a minimální nároky na zdroje. V tomto článku projdeme proces jeho nastavení na směrovačích MikroTik, včetně konfigurace zařízení pro komunikaci s dalšími síťovými body. Protokol je ideální pro připojení vzdálených segmentů nebo připojení k externím hostitelům.
Hlavní výhody konfigurace MikroTik WireGuard
Výhody služby WireGuard vám pomohou pochopit, proč se tato VPN stala tak oblíbenou:
- Vysoký výkon: Kompaktní kód poskytuje vyšší rychlost než většina analogů.
- Snadné nastavení: rozhraní je intuitivní i pro začínající uživatele.
- Kompatibilita: Podporuje Linux, Windows, MikroTik a další platformy.
- Bezpečnost: protokol využívá nejmodernější kryptografické algoritmy.
Chcete-li používat WireGuard na Mikrotiku, musí být RouterOS aktualizován na verzi 7.0 nebo vyšší.
Připojovací schémata MikroTik WireGuard
Protokol podporuje dva hlavní scénáře:
- Peer-to-Peer: Spojení mohou iniciovat obě strany. Pro provoz jsou nutné statické IP adresy na obou směrovačích.
- Klient-Server: Klient iniciuje spojení, server odpovídá. Statická IP adresa je vyžadována pouze pro server.
Tato schémata zapojení umožňují zvolit vhodný způsob integrace.
Konfigurace serveru v systému MikroTik
Krok 1: Vytvoření rozhraní
- Přejděte na WireGuard → Rozhraní.
- Vytvoření nového rozhraní:
- Listen Port – port, ke kterému se chcete připojit (např. 13231).
- Soukromý klíč – klíč se generuje automaticky.
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard-server
Krok 2: Přiřazení IP adresy
- Přejděte na IP → Adresa.
- Přiřaďte rozhraní IP adresu:
/ip adresa
add address=192.168.1.1/24 interface=wireguard-server network=192.168.1.0
Krok 3: Konfigurace partnera
- Přejděte na WireGuard → Peers.
- Přidat novou pir:
- Veřejný klíč – veřejný klíč klienta.
- Povolená adresa – IP adresy povolené pro přístup.
- Persistent Keepalive – interval kontroly spojení (např. 10 sekund).
/interface wireguard peers
add allowed-address=192.168.2.0.0/24 interface=wireguard-server public-key=\
„<CLIENT_PUBLIC_KEY>“ persistent-keepalive=10s
Krok 4: Konfigurace směrování
- Přejděte na IP → Trasy.
- Vytvoření statické trasy:
- Dst. Address – klientská podsíť.
- Brána – IP adresa klienta.
/ip route
add dst-address=192.168.2.0.0/24 gateway=192.168.1.2
Konfigurace klienta v systému MikroTik
Krok 1: Vytvoření rozhraní
- Přejděte na WireGuard → Rozhraní.
- Vytvoření nového rozhraní:
- Listen Port – libovolný port (např. 13232).
- Soukromý klíč – klíč se generuje automaticky.
/interface wireguard
add listen-port=13232 mtu=1420 name=wireguard-client
Krok 2: Přiřazení IP adresy
- Přejděte na IP → Adresa.
- Zapište adresu IP rozhraní:
/ip adresa
add address=192.168.2.1/24 interface=wireguard-client network=192.168.2.0
Krok 3: Konfigurace partnera
- Přejděte na WireGuard → Peers.
- Přidejte server jako pir:
- Veřejný klíč – veřejný klíč serveru.
- Koncový bod je externí IP adresa serveru.
- Port koncového bodu – port serveru (například 13231).
- Povolená adresa – podsítě serveru.
/interface wireguard peers
add allowed-address=192.168.1.0.0/24 endpoint-address=<SERVER_IP> \
endpoint-port=13231 interface=wireguard-client public-key=\
„<SERVER_PUBLIC_KEY>“
Krok 4: Konfigurace směrování
- Přejděte na IP → Trasy.
- Vytvoření trasy:
- Dst. Address – podsíť serveru.
- Brána – IP adresa serveru.
/ip route
add dst-address=192.168.1.0.0/24 gateway=192.168.2.1
Konfigurace brány firewall
Chcete-li připojení zabezpečit, přidejte pravidla pro bránu firewall:
- Přejděte na IP → Firewall → Pravidla filtru.
- Přidejte pravidlo pro povolení provozu přes rozhraní WireGuard:
/ip firewall filter
add chain=input action=accept protocol=udp dst-port=13231
add chain=forward action=accept in-interface=wireguard-server
add chain=forward action=accept out-interface=wireguard-server
Kontrola činnosti systému WireGuard
Podle následujících kroků ověřte, zda WireGuard pracuje správně:
- Ověřte, zda jsou rozhraní WireGuard ve spuštěném stavu.
- Zkontrolujte připojení odesláním příkazu ping mezi zařízeními:
ping 192.168.1.1
ping 192.168.2.1
Pokud je připojení úspěšné, je konfigurace dokončena.
Konfigurace WireGuard na Mikrotiku je snadný způsob, jak zajistit spolehlivé a rychlé připojení VPN. Protokol je skvělý pro připojení ke vzdáleným sítím, připojení ke cloudovým serverům a další. Podle těchto pokynů můžete nakonfigurovat server a klienta, směrovat provoz a zabezpečit připojení.
Pokud máte stále dotazy nebo potřebujete pomoci s konfigurací Mikrotiku, kontaktujte nás. Máme otevřeno denně od 9:00 do 20:00 a jsme připraveni vám pomoci!
Konfigurace MIkrotik, Ubiquiti, Cisco, Aruba jakékoliv složitosti!