Přeskočit na obsah
Blog

Správa vášho MikroTik s WireGuardem

Shrnutí
Praktický průvodce WireGuardem: nastavte VPS server, nakonfigurujte MikroTik klienta, inzerujte podsítě a dodržujte bezpečnostní postupy pro spolehlivý vzdálený přístup.

Vzdálená správa MikroTik pomocí WireGuardu

WireGuard je moderní, minimalistické VPN, které působí téměř jako kouzlo výkonu.

Je štíhlý. Rychlý. Bezpečný.

Ideální pro připojení VPS a MikroTiku nebo propojení sítí přes internet.

Tento průvodce obsahuje příkazy pro kopírování, konfigurační příklady a cenné tipy.

Co je WireGuard?

WireGuard je lehké VPN třetí vrstvy vytvořené Jasonem Donenfeldem.

Používá moderní kryptografii: Curve25519 pro dohodu o klíči a ChaCha20-Poly1305 pro šifrování.

Žádné certifikáty. Jednoduché klíčové páry. Malý kód.

Tato jednoduchost znamená méně nečekaných problémů a vyšší propustnost.

Jak WireGuard funguje – základy

Každý peer má soukromý i veřejný klíč.

Peerové mapují veřejné klíče na povolené IP adresy a endpointy (IP:port).

Komunikace je založena na UDP a peer-to-peer designu.

Centrální server není nutný – VPS ale často slouží jako stabilní setkávací bod.

Výhody na první pohled

  • Vysoká propustnost a nízké zatížení CPU.
  • Minimalistický, auditovatelný kód.
  • Jednoduché konfigurační soubory pro každého peera.
  • Funguje dobře s NAT a CGNAT.
  • Multiplatformní: Linux, Windows, macOS, Android, iOS, MikroTik.

Server: WireGuard na VPS (Ubuntu)

Tyto kroky nastaví základní server, ke kterému se peerové připojí.

1) Instalace WireGuardu

Terminal window
apt update && apt install -y wireguard

2) Generování klíčů serveru

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Vytvoření souboru /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# příklad peeru (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Povolení a spuštění

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Firewall

Terminal window
ufw allow 51820/udp
# nebo použijte nftables/iptables dle potřeby

Tip: Použijte nestandardní UDP port, pokud chcete vyhnout se automatickým skenům.

MikroTik: konfigurace jako WireGuard peer

RouterOS má vestavěnou podporu WireGuardu (RouterOS 7.x+).

1) Přidání WireGuard rozhraní

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Přidání serveru jako peer

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Kontrola stavu

/interface/wireguard/print
/interface/wireguard/peers/print

Když peer ukazuje aktivitu handshake a latest-handshake je aktuální, tunel je funkční.

Směrování a přístup k LAN za MikroTikem

Ze strany VPS: směrování do LAN MikroTiku

Pokud chcete, aby VPS (nebo ostatní peeri) dosáhli 192.168.88.0/24 za MikroTikem:

Na VPS přidejte trasu:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

Na MikroTiku povolte IP forwarding a případně src-NAT pro jednoduchost:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Nyní jsou služby v LAN routeru dostupné z VPS přes WireGuard tunel.

Upozornění: Otevírejte pouze sítě, které kontrolujete. Použijte firewall pravidla k omezení přístupu na konkrétní hosty nebo porty.

Bezpečnostní doporučení

  • Používejte unikátní klíčové páry pro každé zařízení.
  • Omezte AllowedIPs jen na nezbytné adresy.
  • Udržujte WireGuard port chráněný firewallem a monitorovaný.
  • Odstraňujte ztracená zařízení vymazáním peeru.
  • Sledujte handshaky a stav spojení.

Tip: Persistent keepalive pomáhá udržet NAT mapování na spotřebních linkách.

Správa klíčů a automatizace

Pravidelně obměňujte klíče.

Automatizujte tvorbu peerů skripty při správě mnoha routerů.

Soukromé klíče ukládejte bezpečně — zacházejte s nimi jako s hesly.

Pro větší množiny zařízení zvažte malý kontrolní systém nebo workflow distribuce klíčů.

Rychlé srovnání

ŘešeníZákladVýkonJednoduchostVhodné pro
WireGuardJádro VPNVelmi vysokýJednoduchéModerní, výkonná spojení
OpenVPNTLS/OpenSSLStředníSložitějšíStarší zařízení a PKI konfigurace
TailscaleWireGuard + kontrolní rovinaVysokýVelmi snadnéTýmy, přístup založený na identitě
ZeroTierVlastní meshVysokýSnadnéFlexibilní mesh sítě

Integrace a využití

WireGuard dobře spolupracuje s monitoringem (SNMP), TR‑069, TR‑369 a orchestrací.

Používejte ho pro vzdálenou správu, zpětné spoje poskytovatelů nebo bezpečné tunely do cloudových služeb.

Kde pomáhá MKController:

MKController NATCloud odstraňuje ruční nastavování tunelů. Nabízí centralizovaný přístup, monitorování a jednodušší onboarding — bez potřeby spravovat klíče pro každé zařízení zvlášť.

Závěr

WireGuard odstraňuje složitost VPN bez kompromisů v bezpečnosti.

Je rychlý, přenosný a ideální pro párování MikroTik a VPS.

Použijte ho pro spolehlivý vzdálený přístup, s přehledným směrováním a dobrými bezpečnostními návyky.

O MKControlleru

Doufáme, že vám tyto informace pomohly lépe se orientovat ve vašem MikroTik a internetovém světě! 🚀
Ať už ladíte konfigurace nebo jen chcete dát síti trochu řádu, MKController je tu, aby vám usnadnil život.

S centralizovanou cloudovou správou, automatickými bezpečnostními aktualizacemi a přehlednou řídicí plochou zvládne ovládání sítí opravdu každý.

👉 Vyzkoušejte bezplatnou 3denní zkušební verzi na mkcontroller.com — a přesvědčte se, jak snadná je správa sítí.