Gå til indhold
Blog

Administrer din MikroTik med WireGuard

Resumé
En praktisk WireGuard-guide: opsæt en VPS-server, konfigurer en MikroTik-klient, annoncer subnetruter, og følg sikkerhedspraksis for pålidelig fjernadgang.

Fjernadministration af MikroTik med WireGuard

WireGuard er en moderne, minimalistisk VPN, der føles som ren ydelsesmagi.

Den er slank. Hurtig. Sikker.

Perfekt til at forbinde en VPS og MikroTik eller sammenbinde netværk over internettet.

Denne guide giver copy‑paste-kommandoer, konfigurations-eksempler og hårdtvundne tips.

Hvad er WireGuard?

WireGuard er en letvægts Layer‑3 VPN introduceret af Jason Donenfeld.

Den bruger moderne kryptografi: Curve25519 til nøgleaftale og ChaCha20-Poly1305 til kryptering.

Ingen certifikater. Enkle nøglepar. Lille kodebase.

Den enkelhed betyder færre overraskelser og bedre gennemløb.

Sådan fungerer WireGuard — de væsentlige elementer

Hver peer har en privat nøgle og en offentlig nøgle.

Peers kortlægger offentlige nøgler til tilladte IP’er og endpoints (IP:port).

Trafikken er UDP-baseret og peer-to-peer af design.

Der kræves ikke en central server — men en VPS fungerer ofte som et stabilt mødested.

Fordele kort fortalt

  • Høj gennemløb og lav CPU-belastning.
  • Minimal, reviderbar kodebase.
  • Simple konfigurationsfiler per peer.
  • Fungerer godt med NAT og CGNAT.
  • Krydsplatform: Linux, Windows, macOS, Android, iOS, MikroTik.

Server: WireGuard på en VPS (Ubuntu)

Disse trin opsætter en grundlæggende server, som peers kan forbinde til.

1) Installer WireGuard

Terminal window
apt update && apt install -y wireguard

2) Generer servernøgler

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Opret /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# eksempel peer (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Aktiver og start

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Firewall

Terminal window
ufw allow 51820/udp
# eller brug nftables/iptables efter behov

Tip: Brug en ikke-standard UDP-port hvis du vil undgå automatiske scanninger.

MikroTik: konfigurer som WireGuard-peer

RouterOS har indbygget WireGuard support (RouterOS 7.x+).

1) Tilføj WireGuard interfacet

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Tilføj serveren som peer

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Tjek status

/interface/wireguard/print
/interface/wireguard/peers/print

Når peer’en viser handshake aktivitet og latest-handshake er frisk, er tunnellen oppe.

Routing og adgang til LAN-enheder bag MikroTik

Fra VPS: route til MikroTik LAN

Hvis du vil have VPS’en (eller andre peers) til at nå 192.168.88.0/24 bag MikroTik:

På VPS tilføj en route:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

På MikroTik, aktiver IP forwarding og evt. src‑NAT for enkelhed:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Nu bliver tjenester på routerens LAN tilgængelige fra VPS’en over WireGuard tunnellen.

Advarsel: Udsæt kun netværk du kontrollerer. Brug firewallregler til at begrænse hvilke hosts eller porte, der kan tilgås.

Sikkerhedspraksis

  • Brug unikke nøglepar per enhed.
  • Begræns AllowedIPs til kun det nødvendige.
  • Hold WireGuard-porten bag firewall og overvågning.
  • Ophæv tabte enheder ved at fjerne deres peer-indgang.
  • Overvåg handshakes og forbindelsesstatus.

Tip: Persistent keepalive hjælper med at vedligeholde NAT-mapping på private forbindelser.

Nøglehåndtering og automatisering

Roter nøgler periodisk.

Automatiser peer-oprettelse med scripts, når du håndterer mange routere.

Opbevar private nøgler sikkert — behandl dem som adgangskoder.

For store netværk, overvej en lille kontrolplan eller nøgleuddelingsproces.

Hurtig sammenligning

LøsningBasisYdelseEnkelhedBedst til
WireGuardKernel VPNMeget højSimpelModerne, højtydende forbindelser
OpenVPNTLS/OpenSSLMiddelKompleksÆldre enheder og PKI-tunge setups
TailscaleWireGuard + kontrolplanHøjMeget nemTeams, identitetsbaseret adgang
ZeroTierEget meshHøjLetFleksible mesh-netværk

Integrationer og anvendelser

WireGuard fungerer godt med overvågning (SNMP), TR‑069, TR‑369 og orkestreringssystemer.

Bruges til fjernadministration, leverandør-backhauls eller sikre tunneler til cloud-tjenester.

Hvor MKController hjælper:

MKController’s NATCloud fjerner manuel tunnelopsætning. Det giver central adgang, overvågning og nem onboarding – uden nøglestyring per enhed.

Konklusion

WireGuard fjerner VPN-kompleksitet uden at gå på kompromis med sikkerhed.

Det er hurtigt, portabelt og ideelt til MikroTik og VPS-par.

Brug det til at bygge pålidelig fjernadgang med fornuftig routing og god praksis.

Om MKController

Vi håber, at ovenstående indsigter hjalp dig med bedre at navigere i dit MikroTik og internet-univers! 🚀
Uanset om du finjusterer konfigurationer eller bare ønsker orden i netværkskaosset, så er MKController her for at gøre dit liv lettere.

Med centraliseret cloud-administration, automatiske sikkerhedsopdateringer og et dashboard alle kan mestre, har vi det, der skal til for at opgradere din drift.

👉 Start din gratis 3-dages prøveperiode numkcontroller.com — og oplev hvad ubesværet netværkskontrol virkelig betyder.