WireGuard на Mikrotik

Для развертывания VPN-сервера WireGuard на Mikrotik необходимо выполнить несколько шагов. WireGuard поддерживается на устройствах Mikrotik с RouterOS версии 7. В этой инструкции я покажу процесс настройки с учетом базового сценария, где сервер WireGuard работает на Mikrotik, а клиент подключается из внешней сети.

Шаг 1. Проверка требований #

  1. Убедитесь, что устройство Mikrotik работает на RouterOS версии 7 или выше. Проверить версию можно командой:
    /system resource print
  2. Если версия ниже 7, обновите RouterOS:
    /system package update install

Шаг 2. Создание интерфейса WireGuard #

  1. Войдите в терминал Mikrotik и выполните команду для создания интерфейса WireGuard:
    /interface wireguard add name=wg0 listen-port=51820
    • name=wg0 — имя интерфейса.
    • listen-port=51820 — порт для подключения клиентов.

Шаг 3. Настройка IP-адресов и маршрутизации #

  1. Назначьте IP-адрес интерфейсу WireGuard (например, 10.0.0.1/24):
    /ip address add address=10.0.0.1/24 interface=wg0

Шаг 4. Настройка пирингов #

  1. Для каждого клиента создайте отдельный пир:
    /interface wireguard peers add interface=wg0 public-key="<публичный_ключ_клиента>" allowed-address=10.0.0.2/32
    • public-key — публичный ключ клиента.
    • allowed-address — IP-адрес клиента в сети WireGuard.
  2. Если требуется доступ клиента в Интернет через VPN, добавьте правило маршрутизации:
    /ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
    • ether1 — ваш основной интерфейс, выходящий в Интернет.

Шаг 5. Настройка правил Firewall #

  1. Разрешите входящий трафик на порт WireGuard:
    /ip firewall filter add chain=input action=accept protocol=udp dst-port=51820
  2. Разрешите трафик внутри туннеля:
    /ip firewall filter add chain=forward action=accept src-address=10.0.0.0/24

Шаг 6. Настройка клиента WireGuard #

  1. Установите клиент WireGuard на вашем устройстве (Windows, Linux, macOS или мобильное устройство).
  2. Создайте конфигурацию для клиента:
    [Interface]
    PrivateKey = <ваш_приватный_ключ_клиента>
    Address = 10.0.0.2/32

    [Peer]
    PublicKey = <публичный_ключ_сервер>
    Endpoint = <IP_адрес_сервер>:51820
    AllowedIPs = 0.0.0.0/0
    PersistentKeepalive = 25
  3. Подключите клиента.

Шаг 7. Проверка работы VPN #

  1. Проверьте, что клиент подключен:
    /interface wireguard print
  2. Проверьте доступность ресурсов внутри сети или выход в Интернет.

Заключение #

Настройка WireGuard на Mikrotik — это быстрый способ развернуть защищенный VPN-сервер. Вы можете гибко управлять пирингами, задавать политику маршрутизации и обеспечивать надежную защиту данных.

Оцените документ
Обновлено 03.02.2025

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *