↩️ Назад

Категории

Настройка WireGuard в MikroTik: генерация ключей на Linux и первоначальная конфигурация

03.11.2025 | Статья из категории: Сети LAN

WireGuard в MikroTik: настройка через WinBox и терминал (RouterOS v7+)

Увы, у меня древняя железка дома, либо менять либо опенвпн ставить. Модель: RB951Ui-2HnD, hAP 5-портовый с Wi-Fi, архитектура: mipsbe, версия RouterOS: 6.47.1. К сожалению, WireGuard на этом устройстве недоступен — и никогда не будет. Даже если я обновлю до 7 версии, т.к. WireGuard в MikroTik появился только в RouterOS v7.

WireGuard — это современный VPN-туннель поверх UDP. Он простой, быстрый, безопасный и отлично подходит для соединения двух сетей (например, офиса и дачи) через интернет.

Важно: WireGuard появился в MikroTik только начиная с RouterOS v7. Если у вас версия 6.x — обновитесь.

Как это работает — простыми словами

Представим две точки:

  • Точка А: внешний IP — 111.111.111.111, локальная сеть — 192.168.100.0/24
  • Точка Б: внешний IP — 222.222.222.222, локальная сеть — 192.168.200.0/24

Мы хотим, чтобы устройства из сети А видели устройства из сети Б и наоборот.

Для этого:

  • На каждой точке создаётся виртуальный интерфейс WireGuard с внутренним адресом (например, 10.10.10.1 и 10.10.11.1).
  • Каждая точка знает внешний IP и порт другой точки — это называется Endpoint.
  • Каждая точка указывает, какие сети она хочет «видеть» через туннель — это AllowedIPs.
  • Для шифрования используется пара ключей: приватный (секретный) и публичный (открытый). Без публичного ключа пир не подключится.

В MikroTik ключи генерируются автоматически при создании интерфейса — ничего вручную генерировать не нужно.

Шаг 1. Создание интерфейса WireGuard

Через WinBox (графический интерфейс)

  1. Откройте WinBox и зайдите в Interfaces.
  2. Нажмите + → выберите WireGuard.
  3. Укажите имя, например wg-tunnel.
  4. Порт (Listen Port) можно оставить пустым — тогда он назначится автоматически. Но лучше задать явно, например 51820.
  5. Нажмите OK.
  6. После создания откройте свойства этого интерфейса — вы увидите поля private-key и public-key. Скопируйте public-key — он понадобится на другой стороне.

Через терминал (CLI)

/interface wireguard
add name=wg-tunnel listen-port=51820

После этого посмотрите сгенерированный публичный ключ:

/interface wireguard print

Найдите строку с вашим интерфейсом — в колонке public-key будет ключ вида ucwL8IWLNYrPHOu9qk70ZOagPgjJXhzvvkg7ZLooaj4=.

Шаг 2. Назначение IP-адреса туннельному интерфейсу

Через WinBox

  1. Перейдите в IP → Addresses.
  2. Нажмите +.
  3. Укажите адрес, например 10.10.10.1/24, и выберите интерфейс wg-tunnel.
  4. Нажмите OK.

Через терминал

/ip address
add address=10.10.10.1/24 interface=wg-tunnel

Шаг 3. Открытие порта в firewall

WireGuard использует UDP-порт (например, 51820). Его нужно разрешить во входящем трафике.

Через WinBox

  1. Перейдите в IP → Firewall.
  2. Во вкладке Filter Rules нажмите +.
  3. Установите:
    • Chain: input
    • Protocol: udp
    • Dst. Port: 51820
    • Action: accept
  4. В поле In. Interface List выберите WAN (если у вас стандартный список интерфейсов).
  5. Нажмите OK.

Через терминал

/ip firewall filter
add chain=input protocol=udp dst-port=51820 in-interface-list=WAN action=accept

Шаг 4. Добавление пира (удалённой точки)

Теперь нужно сказать MikroTik: «Вот кто с тобой будет общаться».

Через WinBox

  1. Перейдите в WireGuard → Peers (внизу списка интерфейсов).
  2. Нажмите +.
  3. Заполните:
    • Interface: wg-tunnel
    • Public Key: публичный ключ удалённой точки (полученный на втором роутере)
    • Endpoint Address: 222.222.222.222 (внешний IP удалённой точки)
    • Endpoint Port: 51820
    • Allowed Address: 192.168.200.0/24,10.10.11.1/32 (сети, доступные через этого пира)
    • Persistent Keepalive: 10 (чтобы NAT не «забывал» соединение)
  4. Нажмите OK.

Через терминал

/interface wireguard peers
add interface=wg-tunnel \
    public-key="FxNwKIFINspWh5pkoFpS5LzNKMDjkqcAV/Ypo2Ed8ys=" \
    endpoint-address=222.222.222.222 \
    endpoint-port=51820 \
    allowed-address=192.168.200.0/24,10.10.11.1/32 \
    persistent-keepalive=10

Шаг 5. Добавление маршрутов (важно!)

В отличие от Windows/Linux-клиентов, MikroTik не создаёт маршруты автоматически на основе AllowedIPs. Их нужно прописать вручную.

Через WinBox

  1. Перейдите в IP → Routes.
  2. Нажмите +.
  3. Укажите:
    • Destination: 192.168.200.0/24
    • Gateway: выберите интерфейс wg-tunnel
  4. Повторите для других подсетей из AllowedIPs (например, 10.10.11.1/32).

Через терминал

/ip route
add dst-address=192.168.200.0/24 gateway=wg-tunnel
add dst-address=10.10.11.1/32 gateway=wg-tunnel

То же самое нужно сделать и на удалённой точке — только с зеркальными настройками.

Готово!

Теперь устройства из сети 192.168.100.0/24 могут напрямую общаться с устройствами в 192.168.200.0/24, и наоборот.

WireGuard — это «настроил и забыл». Никаких сертификатов, CA, сложных конфигов. Просто два ключа, два IP и два правила маршрутизации.

Удачи в настройке! Если что — пробуй, смотри логи, проверяй маршруты. В 90% случаев проблема в забытом route или закрытом порту.

Теги: #wireguard #mikrotik #winbox #routeros #wg_tunnel


Категории:

Категории

Комментарии

Пока нет комментариев. Будьте первым!

Оставить комментарий

← Назад к списку статей

Обратная связь

Посетителей сегодня: 0
о блоге | карта блога

© Digital Specialist | Не являемся сотрудниками Google, Яндекса и NASA