Saltar al contingut
Blog

Com Configurar un Client VPN WireGuard a MikroTik

Resum > Apreneu a configurar un router MikroTik com a client WireGuard. Aquesta guia tècnica cobreix generació de claus, configuració de peers i tècniques avançades com regles Mangle per rutatge específic i implementar un ‘Kill Switch’ per evitar filtracions de dades.

Com Configurar un Client VPN WireGuard a MikroTik

WireGuard ha revolucionat la manera de concebre les VPN en routers MikroTik. Des del llançament de RouterOS v7, els usuaris disposen d’un protocol molt més ràpid i fàcil d’auditar que les opcions antigues com OpenVPN o L2TP/IPsec. En aquesta guia, recorrerem el procés tècnic per configurar el MikroTik com a client WireGuard, amb un enfocament especial en el control detallat del trànsit local.

Obtenir les Credencials WireGuard

Abans d’entrar a WinBox, necessiteu una configuració del vostre proveïdor VPN (com Proton VPN o NordVPN). WireGuard es basa en l’intercanvi de claus públiques i privades. Assegureu-vos de tenir a mà:

  • Clau Privada: Per a la interfície MikroTik.
  • Clau Pública: Del servidor VPN.
  • Adreça i Port de l’Endpoint: IP o URL del servidor.
  • IPs Permeses: Normalment 0.0.0.0/0 per a túnel complet.
MikroTik WireGuard Interface Configuration

Pas 1: Crear la Interfície WireGuard

Primer, definim la interfície del túnel al router MikroTik.

  1. Obriu WinBox i aneu al menú WireGuard.
  2. Cliqueu el botó + per afegir una nova interfície.
  3. Poseu-li el nom WG-Client.
  4. Enganxeu la vostra Clau Privada. MikroTik generarà automàticament la Clau Pública corresponent.
  5. Cliqueu OK.

Després, assigneu l’adreça IP que us ha facilitat el servei VPN a aquesta nova interfície a IP > Addresses.

Pas 2: Configurar el Peer

El “Peer” és el servidor remot al qual us connecteu.

  1. A la finestra WireGuard, aneu a la pestanya Peers.
  2. Seleccioneu la interfície WG-Client.
  3. Introduïu la Clau Pública del servidor remot.
  4. Configureu l’Endpoint i el Port de l’Endpoint.
  5. A IPs Permeses, escriviu 0.0.0.0/0 (això permet el trànsit, però encara no rutejarà tot automàticament).
Adding a WireGuard Peer in WinBox

Pas 3: Rutatge Basat en Polítiques (PBR)

Normalment, no voleu que tota la vostra xarxa vagi per la VPN. Potser només voleu que un servidor o PC específic faci servir el túnel. Ho fem amb regles Mangle.

  1. Aneu a IP > Firewall > Mangle.
  2. Creeu una regla nova: Cadena: prerouting.
  3. Adreça Origen: Poseu la IP local del dispositiu que voleu enviar pel túnel (p. ex. 192.168.88.50).
  4. Acció: mark routing.
  5. Marca de Ruta Nova: Poseu-li el nom via-wireguard.
  6. Desmarqueu l’opció “Pass Through”.
MikroTik Mangle Rule for Routing Marks

Pas 4: Rutatge i ‘Kill Switch’

Ara, diguem al router que qualsevol trànsit marcat via-wireguard ha d’anar pel túnel.

  1. Aneu a IP > Routes.
  2. Afegiu una ruta nova: Gateway: WG-Client, Taula de Rutes: via-wireguard.
  3. El Kill Switch: Afegiu una segona ruta amb la mateixa Taula de Rutes (via-wireguard), però poseu el Tipus a blackhole i una distància superior.

Nota: La ruta blackhole garanteix que si el túnel WireGuard cau, el trànsit del dispositiu es descarti en lloc de filtrar-se per la vostra connexió ISP habitual.

Configuring Blackhole Routes for VPN Kill Switch

Sobre MKController

Esperem que els detalls anteriors us ajudin a dominar el vostre univers MikroTik i Internet! 🚀
Ja sigui afinant configuracions o posant ordre a la bogeria de la xarxa, MKController és aquí per simplificar-vos la vida.

Amb gestió centralitzada i al núvol, actualitzacions de seguretat automàtiques i un tauler que qualsevol pot dominar, tenim tot el necessari per millorar la vostra operació.

👉 Comenceu la vostra prova gratuïta de 3 dies a mkcontroller.com — i descobriu com és el control de xarxa realment senzill.