Настройка WireGuard в MikroTik: генерация ключей на Linux и первоначальная конфигурация

Увы, у меня древняя железка дома, либо менять либо опенвпн ставить. Модель: RB951Ui-2HnD, hAP 5-портовый с Wi-Fi, архитектура: mipsbe, версия RouterOS: 6.47.1. К сожалению, WireGuard на этом устройстве недоступен — и никогда не будет. Даже если я обновлю до 7 версии, т.к. WireGuard в MikroTik появился только в RouterOS v7.

WireGuard — это современный VPN-туннель поверх UDP. Он простой, быстрый, безопасный и отлично подходит для соединения двух сетей (например, офиса и дачи) через интернет.

Важно: WireGuard появился в MikroTik только начиная с RouterOS v7. Если у вас версия 6.x — обновитесь.

Как это работает — простыми словами

Представим две точки:

• Точка А: внешний IP — 111.111.111.111, локальная сеть — 192.168.100.0/24
• Точка Б: внешний IP — 222.222.222.222, локальная сеть — 192.168.200.0/24

Мы хотим, чтобы устройства из сети А видели устройства из сети Б и наоборот.

Для этого:

• На каждой точке создаётся виртуальный интерфейс WireGuard с внутренним адресом (например, 10.10.10.1 и 10.10.11.1).
• Каждая точка знает внешний IP и порт другой точки — это называется Endpoint.
• Каждая точка указывает, какие сети она хочет «видеть» через туннель — это AllowedIPs.
• Для шифрования используется пара ключей: приватный (секретный) и публичный (открытый). Без публичного ключа пир не подключится.

В MikroTik ключи генерируются автоматически при создании интерфейса — ничего вручную генерировать не нужно.

Шаг 1. Создание интерфейса WireGuard

Через WinBox (графический интерфейс)

1. Откройте WinBox и зайдите в Interfaces.
2. Нажмите + → выберите WireGuard.
3. Укажите имя, например wg-tunnel.
4. Порт (Listen Port) можно оставить пустым — тогда он назначится автоматически. Но лучше задать явно, например 51820.
5. Нажмите OK.
6. После создания откройте свойства этого интерфейса — вы увидите поля private-key и public-key. Скопируйте public-key — он понадобится на другой стороне.

Через терминал (CLI)

/interface wireguard
add name=wg-tunnel listen-port=51820

После этого посмотрите сгенерированный публичный ключ:

/interface wireguard print

Найдите строку с вашим интерфейсом — в колонке public-key будет ключ вида ucwL8IWLNYrPHOu9qk70ZOagPgjJXhzvvkg7ZLooaj4=.

Шаг 2. Назначение IP-адреса туннельному интерфейсу

Через WinBox

1. Перейдите в IP → Addresses.
2. Нажмите +.
3. Укажите адрес, например 10.10.10.1/24, и выберите интерфейс wg-tunnel.
4. Нажмите OK.

Через терминал

/ip address
add address=10.10.10.1/24 interface=wg-tunnel

Шаг 3. Открытие порта в firewall

WireGuard использует UDP-порт (например, 51820). Его нужно разрешить во входящем трафике.

Через WinBox

1. Перейдите в IP → Firewall.
2. Во вкладке Filter Rules нажмите +.
3. Установите:
   • Chain: input
   • Protocol: udp
   • Dst. Port: 51820
   • Action: accept
4. В поле In. Interface List выберите WAN (если у вас стандартный список интерфейсов).
5. Нажмите OK.

Через терминал

/ip firewall filter
add chain=input protocol=udp dst-port=51820 in-interface-list=WAN action=accept

Шаг 4. Добавление пира (удалённой точки)

Теперь нужно сказать MikroTik: «Вот кто с тобой будет общаться».

Через WinBox

1. Перейдите в WireGuard → Peers (внизу списка интерфейсов).
2. Нажмите +.
3. Заполните:
   • Interface: wg-tunnel
   • Public Key: публичный ключ удалённой точки (полученный на втором роутере)
   • Endpoint Address: 222.222.222.222 (внешний IP удалённой точки)
   • Endpoint Port: 51820
   • Allowed Address: 192.168.200.0/24,10.10.11.1/32 (сети, доступные через этого пира)
   • Persistent Keepalive: 10 (чтобы NAT не «забывал» соединение)
4. Нажмите OK.

Через терминал

/interface wireguard peers
add interface=wg-tunnel \
    public-key="FxNwKIFINspWh5pkoFpS5LzNKMDjkqcAV/Ypo2Ed8ys=" \
    endpoint-address=222.222.222.222 \
    endpoint-port=51820 \
    allowed-address=192.168.200.0/24,10.10.11.1/32 \
    persistent-keepalive=10

Шаг 5. Добавление маршрутов (важно!)

В отличие от Windows/Linux-клиентов, MikroTik не создаёт маршруты автоматически на основе AllowedIPs. Их нужно прописать вручную.

Через WinBox

1. Перейдите в IP → Routes.
2. Нажмите +.
3. Укажите:
   • Destination: 192.168.200.0/24
   • Gateway: выберите интерфейс wg-tunnel
4. Повторите для других подсетей из AllowedIPs (например, 10.10.11.1/32).

Через терминал

/ip route
add dst-address=192.168.200.0/24 gateway=wg-tunnel
add dst-address=10.10.11.1/32 gateway=wg-tunnel

То же самое нужно сделать и на удалённой точке — только с зеркальными настройками.

Готово!

Теперь устройства из сети 192.168.100.0/24 могут напрямую общаться с устройствами в 192.168.200.0/24, и наоборот.

WireGuard — это «настроил и забыл». Никаких сертификатов, CA, сложных конфигов. Просто два ключа, два IP и два правила маршрутизации.

Удачи в настройке! Если что — пробуй, смотри логи, проверяй маршруты. В 90% случаев проблема в забытом route или закрытом порту.