$ search

WireGuard на Mikrotik

Для развертывания VPN-сервера WireGuard на Mikrotik необходимо выполнить несколько шагов. WireGuard поддерживается на устройствах Mikrotik с RouterOS версии 7. В этой инструкции я покажу процесс настройки с учетом базового сценария, где сервер WireGuard работает на Mikrotik, а клиент подключается из внешней сети.

Шаг 1. Проверка требований

Убедитесь, что устройство Mikrotik работает на RouterOS версии 7 или выше. Проверить версию можно командой:
/system resource print
Если версия ниже 7, обновите RouterOS:
/system package update install

Шаг 2. Создание интерфейса WireGuard

Войдите в терминал Mikrotik и выполните команду для создания интерфейса WireGuard:
/interface wireguard add name=wg0 listen-port=51820
- name=wg0 — имя интерфейса.
- listen-port=51820 — порт для подключения клиентов.

Шаг 3. Настройка IP-адресов и маршрутизации

Назначьте IP-адрес интерфейсу WireGuard (например, 10.0.0.1/24):
/ip address add address=10.0.0.1/24 interface=wg0

Шаг 4. Настройка пирингов

Для каждого клиента создайте отдельный пир:
/interface wireguard peers add interface=wg0 public-key="<публичный_ключ_клиента>" allowed-address=10.0.0.2/32
- public-key — публичный ключ клиента.
- allowed-address — IP-адрес клиента в сети WireGuard.
Если требуется доступ клиента в Интернет через VPN, добавьте правило маршрутизации:
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
- ether1 — ваш основной интерфейс, выходящий в Интернет.

Шаг 5. Настройка правил Firewall

Разрешите входящий трафик на порт WireGuard:
/ip firewall filter add chain=input action=accept protocol=udp dst-port=51820
Разрешите трафик внутри туннеля:
/ip firewall filter add chain=forward action=accept src-address=10.0.0.0/24

Шаг 6. Настройка клиента WireGuard

Установите клиент WireGuard на вашем устройстве (Windows, Linux, macOS или мобильное устройство).
Создайте конфигурацию для клиента:
[Interface]
PrivateKey = <ваш_приватный_ключ_клиента>
Address = 10.0.0.2/32

[Peer]
PublicKey = <публичный_ключ_сервер>
Endpoint = :51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
Подключите клиента.

Шаг 7. Проверка работы VPN

Проверьте, что клиент подключен:
/interface wireguard print
Проверьте доступность ресурсов внутри сети или выход в Интернет.

Заключение

Настройка WireGuard на Mikrotik — это быстрый способ развернуть защищенный VPN-сервер. Вы можете гибко управлять пирингами, задавать политику маршрутизации и обеспечивать надежную защиту данных.

Обновлено 05.11.2025