Skip to content
Blog

Как да конфигурирате WireGuard клиент VPN на MikroTik

Резюме > Научете как да конфигурирате MikroTik рутер като WireGuard клиент. Това техническо ръководство обхваща генериране на ключове, конфигурация на peers и напреднали техники за маршрутизиране като Mangle правила за конкретни устройства и внедряване на ‘Kill Switch’ за предотвратяване на изтичане на данни.

Как да конфигурирате WireGuard клиент VPN на MikroTik

WireGuard промени начина, по който възприемаме VPN на MikroTik рутери. От пускането на RouterOS v7 потребителите разполагат с протокол, който е значително по-бърз и по-лесен за проверка от наследените опции като OpenVPN или L2TP/IPsec. В това ръководство ще преминем през техническия процес за настройка на вашия MikroTik като WireGuard клиент, със специален фокус върху детайлния контрол на локалния ви трафик.

Получаване на вашите WireGuard данни за достъп

Преди да отворите WinBox, трябва да имате конфигурация от вашия VPN доставчик (като Proton VPN или NordVPN). WireGuard работи с обмен на публичен/приватен ключ. Уверете се, че имате следната информация:

  • Private Key: За интерфейса на вашия MikroTik.
  • Public Key: От VPN сървъра.
  • Endpoint Address & Port: IP адреса или URL на сървъра.
  • Allowed IPs: Обикновено 0.0.0.0/0 за пълно тунелиране.
MikroTik WireGuard Interface Configuration

Стъпка 1: Създаване на WireGuard интерфейс

Първо трябва да дефинираме тунелен интерфейс на MikroTik рутера.

  1. Отворете WinBox и отидете в менюто WireGuard.
  2. Натиснете бутона +, за да добавите нов интерфейс.
  3. Назовете го WG-Client.
  4. Поставете вашия Private Key. MikroTik автоматично ще генерира съответния Public Key.
  5. Натиснете OK.

След това задайте IP адреса, предоставен от вашата VPN услуга, на новия интерфейс в менюто IP > Addresses.

Стъпка 2: Конфигуриране на Peer

“Peer” е отдалеченият сървър, към който се свързвате.

  1. В прозореца WireGuard отидете на таба Peers.
  2. Изберете вашия интерфейс WG-Client.
  3. Въведете Public Key на отдалечения сървър.
  4. Задайте Endpoint и Endpoint Port.
  5. В Allowed IPs въведете 0.0.0.0/0 (това позволява трафика да преминава, но не маршрутизира всичко автоматично).
Adding a WireGuard Peer in WinBox

Стъпка 3: Маршрутизиране на база политика (PBR)

Обикновено не искате целият ви мрежов трафик да минава през VPN. Може да желаете само конкретен сървър или компютър да използва тунела. Това се постига с помощта на Mangle правила.

  1. Отидете в IP > Firewall > Mangle.
  2. Създайте ново правило: Chain: prerouting.
  3. Src. Address: Въведете локалния IP на устройството, което искате да тунелирате (например 192.168.88.50).
  4. Action: mark routing.
  5. New Routing Mark: Дайте му име via-wireguard.
  6. Премахнете отметката от “Pass Through”.
MikroTik Mangle Rule for Routing Marks

Стъпка 4: Маршрутизиране и “Kill Switch”

Сега укажете на рутера, че целият трафик с маркер via-wireguard трябва да минава през тунела.

  1. Отидете в IP > Routes.
  2. Добавете нов маршрут: Gateway: WG-Client, Routing Table: via-wireguard.
  3. Kill Switch: Добавете втори маршрут със същата Routing Table (via-wireguard), но задайте Type на blackhole и по-голямо разстояние.

Забележка: Черната дупка гарантира, че при прекъсване на WireGuard тунела трафикът от устройството ще бъде блокиран, вместо да “изтича” през обичайната ISP връзка.

Configuring Blackhole Routes for VPN Kill Switch

За MKController

Надяваме се, че горната информация ви помогна да се ориентирате по-добре в света на MikroTik и интернет! 🚀
Независимо дали картографирате настройки, или искате да внесете ред в мрежовия хаос, MKController е тук, за да улесни живота ви.

С централизиран облачен мениджмънт, автоматични ъпдейти за сигурност и табло, което всеки може да овладее, имаме всичко необходимо за подобряване на вашата работа.

👉 Започнете безплатен 3-дневен тест на mkcontroller.com — и разберете колко лесно може да е управлението на мрежата.