WireGuard на MikroTik и роутерах

From wiki.baghirzade.pro
Revision as of 12:17, 10 October 2025 by Sadmin (talk | contribs) (Created page with " == 🌐 WireGuard на MikroTik и роутерах == Этот мануал описывает, как настроить WireGuard на MikroTik (в роли клиента или сервера), подключить удалённые устройства и обеспечить выход в интернет через туннель. ---- === 🧱 Требования: === * MikroTik с RouterOS '''v7+''' (WireGuard доступен только в версия...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

🌐 WireGuard на MikroTik и роутерах

Этот мануал описывает, как настроить WireGuard на MikroTik (в роли клиента или сервера), подключить удалённые устройства и обеспечить выход в интернет через туннель.

🧱 Требования:

  • MikroTik с RouterOS v7+ (WireGuard доступен только в версиях 7 и выше)
  • Доступ к терминалу (Winbox, WebFig, SSH)
  • Публичный IP (или DDNS) у одной из сторон

📥 Установка и проверка WireGuard:

Открой Winbox → Interfaces → Убедись, что WireGuard доступен.

Если WireGuard не отображается:

  • Обнови MikroTik до версии 7:
/system package update check-for-updates
/system package update download
/system reboot

🔐 Пример 1: MikroTik как WireGuard клиент

📌 Сценарий:

  • WireGuard сервер — Ubuntu (IP: 1.2.3.4, ключ: ServerPublicKey)
  • MikroTik получает IP через VPN (например, 10.100.100.2)

🔑 1. Генерация ключей на MikroTik:

/interface wireguard key

Скопируй private-key и public-key

🧩 2. Создание интерфейса WireGuard:

/interface wireguard add name=wg0 listen-port=13231 private-key="[PRIVATE_KEY]"

➕ 3. Добавление пира:

/interface wireguard peers add interface=wg0 public-key="[SERVER_PUBLIC_KEY]" allowed-address=0.0.0.0/0 endpoint-address=1.2.3.4 endpoint-port=51820 persistent-keepalive=25

🧠 4. Установка IP-адреса:

/ip address add address=10.100.100.2/32 interface=wg0

🌐 Прокси всего трафика через VPN:

Если хочешь, чтобы MikroTik направлял весь трафик через WireGuard: 

/ip route add dst-address=0.0.0.0/0 gateway=10.100.100.1 routing-table=main

(где 10.100.100.1 — IP WireGuard-сервера внутри туннеля)

Важно: добавь маршрут к VPN-серверу вне туннеля: 

/ip route add dst-address=1.2.3.4/32 gateway=ether1

🛡️ Firewall (по желанию):

Разрешить входящий порт: 

/ip firewall filter add chain=input action=accept protocol=udp dst-port=51820 comment="Allow WireGuard"

📶 Пример 2: MikroTik как WireGuard сервер

  1. Сгенерируй ключи на MikroTik
  2. Назначь IP интерфейсу wg0 (например, 10.10.0.1/24)
  3. Разреши подключение от клиента (по его публичному ключу и IP)
  4. Не забудь настроить NAT (если нужен выход в интернет):
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

🔍 Проверка статуса:

/interface wireguard print
/interface wireguard peers print

🧠 Примечания:

  • Убедись, что время на MikroTik и сервере синхронизировано (используй /system clock)
  • WireGuard работает по UDP, порт можно указать любой
  • На некоторых MikroTik нужно указать маршруты вручную для удалённых подсетей

Готово! MikroTik подключён к WireGuard 🔒

Retrieved from "https://wiki.baghirzade.pro/index.php?title=WireGuard_на_MikroTik_и_роутерах&oldid=117"