Преминете към съдържание

Как да направим настройки на WireGuard сървър в MikroTik OS

Въведение

В днешно време сигурният достъп до вътрешни мрежи е необходимост както за работа от разстояние, така и за управление на инфраструктура. WireGuard е модерен VPN протокол, който вече е част от RouterOS 7 на MikroTik. Той е бърз, лек и предлага силна криптография.

В тази статия ще разгледаме как да настроим WireGuard сървър на MikroTik рутер, използвайки мрежата 192.168.54.8/30.

Какво представлява WireGuard?

WireGuard използва система с частни и публични ключове за удостоверяване.

Няколко основни характеристики:

  • Работи изцяло върху UDP протокол.
  • Не раздава автоматично IP адреси – задават се ръчно.
  • Отличава се с висока скорост и ниска латентност.

Планиране на мрежата

Ще използваме подсет 192.168.54.8/30.

  • Мрежов адрес: 192.168.54.8
  • Сървър: 192.168.54.9
  • Клиент: 192.168.54.10
  • Broadcast: 192.168.54.11

Маската /30 дава точно 2 валидни IP адреса, което е подходящо за връзка точка-точка (един сървър и един клиент). Ако имате повече клиенти, може да използвате по-голяма мрежа, напр. /29 или /24.

Настройка на сървъра (MikroTik)

  1. Създаваме WireGuard интерфейс 
/interface wireguard
add listen-port=51821 mtu=1280 name=wg-home comment="wg-home"
  1. Добавяме IP адрес към интерфейса 
/ip address
add address=192.168.54.9/30 comment="wg-home" interface=wg-home network=192.168.54.8
  1. Конфигурираме peer (клиент) 
/interface wireguard peers
add allowed-address=::/0,0.0.0.0/0 client-address=192.168.54.10/30 client-dns=192.168.78.254 \
endpoint-address=<публичен_IP> endpoint-port=51821 interface=wg-home private-key="auto" \
persistent-keepalive=25s comment="wg-home"
  1. Добавяме firewall правило за достъп 
/ip firewall filter
add action=accept chain=input dst-port=51821 in-interface=ether1 protocol=udp place-before=1 comment="wg-home"

Настройка на клиента

На клиента също трябва да бъде конфигуриран WireGuard интерфейс със следните параметри:

  • IP адрес: 192.168.54.10/30
  • Private Key (генериран на клиента)
  • Public Key на сървъра
  • Endpoint: публичният IP на MikroTik сървъра
  • Allowed IPs: 0.0.0.0/0, ::/0

Примерен конфигурационен файл за клиент (Windows/Linux):

[Interface]
PrivateKey = <ClientPrivateKey>
Address = 192.168.54.10/30
DNS = 192.168.78.254

[Peer]
PublicKey = <ServerPublicKey>
Endpoint = <публичен_IP>:51821
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Тестване на връзката

  • След настройка проверете с ping 192.168.54.9 от клиента.
  • В MikroTik използвайте /interface wireguard peers print, за да видите състоянието на връзката.

Заключение

С няколко команди успешно създадохме WireGuard VPN тунел на MikroTik.

  • Използваме мрежата 192.168.54.8/30.
  • Конфигурирахме сървър и клиент.
  • Отворихме необходимия порт във firewall.

Това решение осигурява бърза и сигурна връзка към вътрешната ви мрежа.