Přeskočit na obsah
Blog

Jak nastavit WireGuard klienta VPN na MikroTik

Shrnutí > Naučte se, jak nakonfigurovat MikroTik router jako WireGuard klienta. Tento technický průvodce pokrývá generování klíčů, konfiguraci peerů a pokročilé směrování včetně pravidel Mangle pro specifické zařízení a implementaci ‘Kill Switch’ pro prevenci úniku dat.

Jak nastavit WireGuard klienta VPN na MikroTik

WireGuard změnil přístup k VPN na MikroTik routrách. Od verze RouterOS v7 mají uživatelé přístup k protokolu, který je výrazně rychlejší a snadněji auditovatelný než starší možnosti jako OpenVPN nebo L2TP/IPsec. V tomto návodu vás provedeme technickým procesem nastavení MikroTiku jako WireGuard klienta se zaměřením na detailní kontrolu místního provozu.

Jak získat WireGuard přihlašovací údaje

Než začnete s WinBoxem, potřebujete konfiguraci od vašeho VPN poskytovatele (např. Proton VPN nebo NordVPN). WireGuard vyžaduje výměnu veřejného a soukromého klíče. Připravte si tyto informace:

  • Soukromý klíč: Pro vaše MikroTik rozhraní.
  • Veřejný klíč: Z VPN serveru.
  • Adresa a port endpointu: IP adresa nebo URL serveru.
  • Povolené IP: Obvykle 0.0.0.0/0 pro plný tunel.
MikroTik WireGuard Interface Configuration

Krok 1: Vytvoření WireGuard rozhraní

Nejprve musíme definovat tunelové rozhraní na MikroTik routeru.

  1. Otevřete WinBox a přejděte do menu WireGuard.
  2. Klikněte na tlačítko + pro přidání nového rozhraní.
  3. Pojmenujte jej WG-Client.
  4. Vložte svůj Soukromý klíč. MikroTik automaticky vygeneruje odpovídající Veřejný klíč.
  5. Klikněte na OK.

Následně přiřaďte IP adresu poskytnutou VPN službou novému rozhraní v IP > Addresses.

Krok 2: Konfigurace peeru

“Peer” je vzdálený server, ke kterému se připojujete.

  1. V okně WireGuard přejděte na záložku Peers.
  2. Vyberte rozhraní WG-Client.
  3. Zadejte Veřejný klíč vzdáleného serveru.
  4. Nastavte Endpoint a Port Endpointu.
  5. Do pole Povolené IP zadejte 0.0.0.0/0 (tím umožníte průchod provozu, ale zatím nedefinujete směrování všeho provozu).
Adding a WireGuard Peer in WinBox

Krok 3: Politika směrování (PBR)

Obvykle nechcete, aby celá vaše síť používala VPN. Může být potřeba, aby tunel využíval jen konkrétní server nebo PC. Toho dosáhnete pomocí pravidel Mangle.

  1. Přejděte do IP > Firewall > Mangle.
  2. Vytvořte nové pravidlo: Chain: prerouting.
  3. Zdrojová adresa: Zadejte lokální IP zařízení, které chcete směrovat tunelem (např. 192.168.88.50).
  4. Akce: mark routing.
  5. Nová značka směrování: Pojmenujte ji via-wireguard.
  6. Odškrtněte “Pass Through”.
MikroTik Mangle Rule for Routing Marks

Krok 4: Směrování a “Kill Switch”

Nyní řekněte routeru, že každý provoz označený via-wireguard musí jít tunelem.

  1. Přejděte do IP > Routes.
  2. Přidejte novou trasu: Gateway: WG-Client, Routing Table: via-wireguard.
  3. Kill Switch: Přidejte druhou trasu se stejnou směrovací tabulkou (via-wireguard), ale nastavte Typ na blackhole a vyšší vzdálenost.

Poznámka: Blackhole trasa zajistí, že pokud tunel WireGuard přestane fungovat, provoz zařízení bude jednoduše zahozena místo toho, aby “unikal” přes váš standardní ISP.

Configuring Blackhole Routes for VPN Kill Switch

O MKController

Doufáme, že vám uvedené poznatky pomohly lépe ovládnout váš MikroTik a internetový svět! 🚀
Ať už dolaďujete konfigurace, nebo se jen snažíte zorganizovat síťový chaos, MKController je tu, aby vám usnadnil život.

S centralizovanou správou v cloudu, automatickými bezpečnostními aktualizacemi a přehledným dashboardem, který zvládne kdokoli, máme vše, co je potřeba k vylepšení vašeho provozu.

👉 Zahajte svou bezplatnou 3denní zkušební verzi nyní na mkcontroller.com — a zažijte, jak snadná může být správa sítě.