Saltar al contingut
MKController Blog
InstagramYouTubeFacebook

Tutorial

Com Configurar un Client VPN WireGuard a

Domina WireGuard a MikroTik: Guia pas a pas per configurar un client VPN segur amb rutes basades en polítiques i un 'Kill Switch'.

MKController3 min read

Resum > Apreneu a configurar un router MikroTik com a client WireGuard. Aquesta guia tècnica cobreix generació de claus, configuració de peers i tècniques avançades com regles Mangle per rutatge específic i implementar un ‘Kill Switch’ per evitar filtracions de dades.

WireGuard ha revolucionat la manera de concebre les VPN en routers MikroTik. Des del llançament de RouterOS v7, els usuaris disposen d’un protocol molt més ràpid i fàcil d’auditar que les opcions antigues com OpenVPN o L2TP/IPsec. En aquesta guia, recorrerem el procés tècnic per configurar el MikroTik com a client WireGuard, amb un enfocament especial en el control detallat del trànsit local.

Obtenir les Credencials WireGuard

Abans d’entrar a WinBox, necessiteu una configuració del vostre proveïdor VPN (com Proton VPN o NordVPN). WireGuard es basa en l’intercanvi de claus públiques i privades. Assegureu-vos de tenir a mà:

  • Clau Privada: Per a la interfície MikroTik.
  • Clau Pública: Del servidor VPN.
  • Adreça i Port de l’Endpoint: IP o URL del servidor.
  • IPs Permeses: Normalment 0.0.0.0/0 per a túnel complet.
MikroTik WireGuard Interface Configuration

Pas 1: Crear la Interfície WireGuard

Primer, definim la interfície del túnel al router MikroTik.

  1. Obriu WinBox i aneu al menú WireGuard.
  2. Cliqueu el botó + per afegir una nova interfície.
  3. Poseu-li el nom WG-Client.
  4. Enganxeu la vostra Clau Privada. MikroTik generarà automàticament la Clau Pública corresponent.
  5. Cliqueu OK.

Després, assigneu l’adreça IP que us ha facilitat el servei VPN a aquesta nova interfície a IP > Addresses.

Pas 2: Configurar el Peer

El “Peer” és el servidor remot al qual us connecteu.

  1. A la finestra WireGuard, aneu a la pestanya Peers.
  2. Seleccioneu la interfície WG-Client.
  3. Introduïu la Clau Pública del servidor remot.
  4. Configureu l’Endpoint i el Port de l’Endpoint.
  5. A IPs Permeses, escriviu 0.0.0.0/0 (això permet el trànsit, però encara no rutejarà tot automàticament).
Adding a WireGuard Peer in WinBox

Pas 3: Rutatge Basat en Polítiques (PBR)

Normalment, no voleu que tota la vostra xarxa vagi per la VPN. Potser només voleu que un servidor o PC específic faci servir el túnel. Ho fem amb regles Mangle.

  1. Aneu a IP > Firewall > Mangle.
  2. Creeu una regla nova: Cadena: prerouting.
  3. Adreça Origen: Poseu la IP local del dispositiu que voleu enviar pel túnel (p. ex. 192.168.88.50).
  4. Acció: mark routing.
  5. Marca de Ruta Nova: Poseu-li el nom via-wireguard.
  6. Desmarqueu l’opció “Pass Through”.
MikroTik Mangle Rule for Routing Marks

Pas 4: Rutatge i ‘Kill Switch’

Ara, diguem al router que qualsevol trànsit marcat via-wireguard ha d’anar pel túnel.

  1. Aneu a IP > Routes.
  2. Afegiu una ruta nova: Gateway: WG-Client, Taula de Rutes: via-wireguard.
  3. El Kill Switch: Afegiu una segona ruta amb la mateixa Taula de Rutes (via-wireguard), però poseu el Tipus a blackhole i una distància superior.

Nota: La ruta blackhole garanteix que si el túnel WireGuard cau, el trànsit del dispositiu es descarti en lloc de filtrar-se per la vostra connexió ISP habitual.

Configuring Blackhole Routes for VPN Kill Switch

Sobre MKController

Esperem que els detalls anteriors us ajudin a dominar el vostre univers MikroTik i Internet! 🚀
Ja sigui afinant configuracions o posant ordre a la bogeria de la xarxa, MKController és aquí per simplificar-vos la vida.

Amb gestió centralitzada i al núvol, actualitzacions de seguretat automàtiques i un tauler que qualsevol pot dominar, tenim tot el necessari per millorar la vostra operació.

👉 Comenceu la vostra prova gratuïta de 3 dies a mkcontroller.com — i descobriu com és el control de xarxa realment senzill.