Gestiona el teu Mikrotik amb WireGuard

Resum
Una guia pràctica de WireGuard: configura un servidor VPS, configura un client MikroTik, anuncia les rutes de subxarxa i segueix bones pràctiques de seguretat per un accés remot fiable.

Gestió remota de MikroTik amb WireGuard

WireGuard és una VPN moderna i minimalista que sembla màgia pel rendiment.

És lleugera. Ràpida. Segura.

Perfecta per connectar un VPS i MikroTik, o per interconnectar xarxes a través d’internet.

Aquesta guia ofereix ordres per copiar i enganxar, exemples de configuració i consells adquirits a força d’experiència.

Què és WireGuard?

WireGuard és una VPN lleugera de capa 3 introduïda per Jason Donenfeld.

Utilitza criptografia moderna: Curve25519 per a l’acord de claus i ChaCha20-Poly1305 per a l’encriptació.

Sense certificats. Claus simples. Base de codi petita.

Aquesta simplicitat es tradueix en menys sorpreses i millor rendiment.

Com funciona WireGuard — l’essencial

Cada node té una clau privada i una clau pública.

Els nodes assignen claus públiques a AllowedIPs i punts finals (IP:port).

El trànsit és UDP i punt a punt per disseny.

No és obligatori un servidor central, però sovint un VPS fa de punt de trobada estable.

Avantatges d’un cop d’ull

Alt rendiment i baix ús de CPU.
Base de codi mínima i auditable.
Fitxers de configuració senzills per a cada node.
Funciona bé amb NAT i CGNAT.
Multiplataforma: Linux, Windows, macOS, Android, iOS, MikroTik.

Servidor: WireGuard en un VPS (Ubuntu)

Aquests passos configuren un servidor bàsic als quals els nodes poden connectar.

1) Instal·lar WireGuard

apt update && apt install -y wireguard

2) Generar claus del servidor

wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Crear `/etc/wireguard/wg0.conf`

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true

# exemple de node (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Activar i iniciar

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Tallafocs

ufw allow 51820/udp
# o usa nftables/iptables segons convingui

Consell: Utilitza un port UDP no estàndard si has d’evitar escanejats automàtics.

MikroTik: configurar com a node WireGuard

RouterOS inclou suport WireGuard nadiu (RouterOS 7.x+).

1) Afegir la interfície WireGuard

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Afegir el servidor com a node

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25

/ip address add address=10.8.0.2/24 interface=wg-vps

3) Comprovar l’estat

/interface/wireguard/print
/interface/wireguard/peers/print

Quan el node mostra activitat handshake i el latest-handshake és recent, el túnel està actiu.

Rutes i accés a dispositius LAN darrere de MikroTik

Des del VPS: ruta cap a la LAN de MikroTik

Si vols que el VPS (o altres nodes) accedeixi a la xarxa 192.168.88.0/24 darrere de MikroTik:

Al VPS afegeix una ruta:

ip route add 192.168.88.0/24 via 10.8.0.2

Al MikroTik, activa el reenviament IP i opcionalment src-NAT per simplificar:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Ara els serveis de la LAN del router es poden accedir des del VPS a través del túnel WireGuard.

Advertència: Exposa només xarxes sota el teu control. Utilitza regles de tallafocs per limitar quins hosts o ports són accesibles.

Bones pràctiques de seguretat

Utilitza claus úniques per dispositiu.
Limita AllowedIPs només al necessari.
Mantén el port de WireGuard protegit i monitoritzat.
Revoca dispositius perduts eliminant la seva entrada de node.
Controla els intercanvis de claus i la salut de la connexió.

Consell: El keepalive persistent ajuda a mantenir els mapatges NAT en enllaços domèstics.

Gestió de claus i automatització

Rota les claus periòdicament.

Automatitza la creació de nodes amb scripts quan gestionis molts routers.

Guarda les claus privades de manera segura — tracta-les com contrasenyes.

Per grans xarxes, considera un pla de control o un flux de distribució de claus.

Comparació ràpida

Solució	Base	Rendiment	Facilitat	Ideal per a
WireGuard	VPN kernel	Molt alt	Simple	Enllaços moderns d’alt rendiment
OpenVPN	TLS/OpenSSL	Mitjà	Complex	Dispositius antics i sistemes amb pes de PKI
Tailscale	WireGuard + pla de control	Alt	Molt fàcil	Equips, accés basat en identitat
ZeroTier	Malla personalitzada	Alt	Fàcil	Xarxes mesh flexibles

Integracions i usos

WireGuard funciona bé amb monitoratge (SNMP), TR-069, TR-369 i sistemes d’orquestració.

Usa’l per a gestió remota, connexions entre proveïdors o túnels segurs cap a serveis al núvol.

On MKController t’ajuda:

NATCloud de MKController elimina la configuració manual de túnels. Ofereix accés centralitzat, monitoratge i un onboarding més senzill — sense necessitat de gestionar claus per dispositiu.

Conclusió

WireGuard redueix la complexitat VPN sense perdre seguretat.

És ràpid, portable i ideal per a conjunts MikroTik i VPS.

Utilitza’l per construir accés remot fiable, amb rutes raonables i bon manteniment.

Sobre MKController

Esperem que els coneixements anteriors t’hagin ajudat a manejar millor el teu MikroTik i el teu univers Internet! 🚀
Sigui afinant configuracions o posant ordre al caos de xarxes, MKController està aquí per fer la teva vida més senzilla.

Amb gestió centralitzada al núvol, actualitzacions automàtiques de seguretat i un panell accessible per a tothom, tenim tot el necessari per millorar la teva operació.

👉 Comença ara la prova gratuïta de 3 dies a mkcontroller.com — i descobreix què és el control de xarxa sense esforç.