Для развертывания VPN-сервера WireGuard на Mikrotik необходимо выполнить несколько шагов. WireGuard поддерживается на устройствах Mikrotik с RouterOS версии 7. В этой инструкции я покажу процесс настройки с учетом базового сценария, где сервер WireGuard работает на Mikrotik, а клиент подключается из внешней сети.
Содержание
Шаг 1. Проверка требований #
- Убедитесь, что устройство Mikrotik работает на RouterOS версии 7 или выше. Проверить версию можно командой:
/system resource print
- Если версия ниже 7, обновите RouterOS:
/system package update install
Шаг 2. Создание интерфейса WireGuard #
- Войдите в терминал Mikrotik и выполните команду для создания интерфейса WireGuard:
/interface wireguard add name=wg0 listen-port=51820
name=wg0
— имя интерфейса.listen-port=51820
— порт для подключения клиентов.
Шаг 3. Настройка IP-адресов и маршрутизации #
- Назначьте IP-адрес интерфейсу WireGuard (например, 10.0.0.1/24):
/ip address add address=10.0.0.1/24 interface=wg0
Шаг 4. Настройка пирингов #
- Для каждого клиента создайте отдельный пир:
/interface wireguard peers add interface=wg0 public-key="<публичный_ключ_клиента>" allowed-address=10.0.0.2/32
public-key
— публичный ключ клиента.allowed-address
— IP-адрес клиента в сети WireGuard.
- Если требуется доступ клиента в Интернет через VPN, добавьте правило маршрутизации:
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
ether1
— ваш основной интерфейс, выходящий в Интернет.
Шаг 5. Настройка правил Firewall #
- Разрешите входящий трафик на порт WireGuard:
/ip firewall filter add chain=input action=accept protocol=udp dst-port=51820
- Разрешите трафик внутри туннеля:
/ip firewall filter add chain=forward action=accept src-address=10.0.0.0/24
Шаг 6. Настройка клиента WireGuard #
- Установите клиент WireGuard на вашем устройстве (Windows, Linux, macOS или мобильное устройство).
- Создайте конфигурацию для клиента:
[Interface]
PrivateKey = <ваш_приватный_ключ_клиента>
Address = 10.0.0.2/32
[Peer]
PublicKey = <публичный_ключ_сервер>
Endpoint = <IP_адрес_сервер>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25 - Подключите клиента.
Шаг 7. Проверка работы VPN #
- Проверьте, что клиент подключен:
/interface wireguard print
- Проверьте доступность ресурсов внутри сети или выход в Интернет.
Заключение #
Настройка WireGuard на Mikrotik — это быстрый способ развернуть защищенный VPN-сервер. Вы можете гибко управлять пирингами, задавать политику маршрутизации и обеспечивать надежную защиту данных.