Remote Access
Remote-MikroTik-Verwaltung mit WireGuard
Richte einen WireGuard-Server auf einem VPS ein, verbinde den MikroTik als Peer, route die LAN und härte den Tunnel für sicheren Fernzugriff.
Zusammenfassung WireGuard koppelt einen Linux-VPS als Treffpunkt mit einem oder mehreren MikroTik-Routern als Peers und liefert stabile Fernverwaltung über einen UDP-Tunnel, der CGNAT, dynamische IPs und die meisten Eigenheiten auf Providerseite überlebt. Diese Anleitung konfiguriert den VPS-Server, den MikroTik-Client (RouterOS v7), das Routing, das die LAN hinter dem Router von der VPS-Seite aus erreichbar macht, und das Security-Hardening, das den Tunnel langfristig sicher hält.
Wie ermöglicht WireGuard die Remote-Verwaltung von MikroTik?
WireGuard ist ein modernes Layer-3-VPN, das auf aktueller Kryptographie (Curve25519 für die Schlüsselvereinbarung, ChaCha20-Poly1305 für die Verschlüsselung) und einer winzigen, prüfbaren Codebasis aufbaut. Für die MikroTik-Fernverwaltung ist die typische Topologie ein kleiner Linux-VPS als stets erreichbarer Treffpunkt, zu dem sich ein oder mehrere MikroTik-Router (auf RouterOS v7) als Peers ausgehend verbinden. Da WireGuard auf UDP basiert und die Router den Tunnel ausgehend initiieren, funktioniert die Topologie identisch, egal ob der Router auf einer echten öffentlichen IP, hinter NAT oder hinter CGNAT sitzt.
Sobald der Tunnel steht, hält der VPS die Routen, mit denen man die LAN jedes Routers über dessen WireGuard-IP erreichen kann. Vom Admin-Laptop aus, der mit dem VPS (oder mit dem WireGuard-Netz selbst) verbunden ist, ist jeder Standort erreichbar, als läge er in einem privaten LAN — und auf dem Kunden-Router gibt es weder einen offenen Winbox- noch einen WebFig-Port, den ein Angreifer finden könnte.
Warum WireGuard für den MikroTik-Fernzugriff einsetzen?
WireGuard gewinnt in fünf praktischen Dimensionen, die für Flottenmanagement entscheidend sind: hoher Durchsatz bei geringer CPU-Last selbst auf kleinen Routern, eine minimale, prüfbare Codebasis mit weit weniger CVEs als OpenVPN, einfache Per-Peer-Konfigurationsdateien, die sauber in Versionskontrolle passen, native Multi-Plattform-Unterstützung (Linux, Windows, macOS, Android, iOS, RouterOS v7+) und sauberes Verhalten unter NAT und CGNAT, weil das Handshake-Design Adresswechsel toleriert. Der Nachteil: WireGuard hat keine Zertifikats-Sperrinfrastruktur im OpenVPN-Stil — Vertrauen wird verwaltet, indem man Peer-Einträge direkt hinzufügt oder entfernt, was bedeutet, dass das Peer-Management im großen Maßstab entweder eine kleine Control Plane oder etwas Scripting erfordert.
Schritt 1: WireGuard auf dem VPS (Ubuntu) installieren
apt update && apt install -y wireguardSchritt 2: Server-Schlüssel erzeugen
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickeyDer Private Key bleibt auf dem VPS. Der Public Key wandert in die MikroTik-Peer-Konfiguration.
Schritt 3: Server-Konfiguration anlegen
/etc/wireguard/wg0.conf:
[Interface]Address = 10.8.0.1/24ListenPort = 51820PrivateKey = <server_private_key>SaveConfig = true
[Peer]PublicKey = <mikrotik_public_key>AllowedIPs = 10.8.0.2/32Pro MikroTik-Router einen [Peer]-Block ergänzen, jeweils mit einer eindeutigen Tunnel-IP unter AllowedIPs.
Schritt 4: Tunnel starten und Firewall öffnen
systemctl enable wg-quick@wg0systemctl start wg-quick@wg0ufw allow 51820/udp(Den Firewall-Befehl je nach VPS-Distribution an nftables oder iptables anpassen.) Verwende einen nicht standardisierten UDP-Port, wenn du automatisierte Internet-Scans umgehen willst.
Schritt 5: MikroTik als WireGuard-Peer konfigurieren
RouterOS v7 bringt native WireGuard-Unterstützung mit — keine Zusatzpakete nötig. Öffne ein Winbox-Terminal:
/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"
/interface wireguard peers add interface=wg-vps \ public-key="<server_public_key>" \ endpoint-address=<VPS_IP> \ endpoint-port=51820 \ allowed-address=10.8.0.2/32 \ persistent-keepalive=25
/ip address add address=10.8.0.2/24 interface=wg-vpspersistent-keepalive=25 ist das kleine, aber entscheidende Detail — es hält NAT-Mappings auf dem WAN-seitigen Router am Leben, damit der Tunnel nach ein paar Minuten Leerlauf nicht stillschweigend abbricht.
Status prüfen:
/interface/wireguard/print/interface/wireguard/peers/printWenn der Peer Handshake-Aktivität zeigt und latest-handshake aktuell ist (innerhalb des Keepalive-Intervalls), steht der Tunnel.
Schritt 6: Zu LAN-Geräten hinter dem MikroTik routen
Um die LAN hinter dem MikroTik (etwa 192.168.88.0/24) vom VPS aus zu erreichen:
Auf dem VPS:
ip route add 192.168.88.0/24 via 10.8.0.2Auf dem MikroTik eine srcnat-Masquerade-Regel ergänzen, damit der Rückverkehr seinen Weg durch den Tunnel zurückfindet:
/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 \ out-interface=wg-vps action=masqueradeJetzt sind LAN-Dienste hinter dem MikroTik vom VPS und von jedem weiteren dem VPS bekannten Peer aus über den WireGuard-Tunnel erreichbar. Exponiere nur Netze, die du kontrollierst, und beschränke per Firewall-Regeln, welche Hosts und Ports über den Tunnel ansprechbar sind. Für die Client-Variante dieses Szenarios (der MikroTik als VPN-Client zu einem kommerziellen Anbieter statt als Peer deines eigenen VPS) siehe unser WireGuard-Client-Tutorial.
Security-Hardening
- Eindeutiges Schlüsselpaar pro Gerät. Nie Schlüssel über mehrere MikroTiks wiederverwenden. Ein neues Paar zu erzeugen dauert Sekunden und vereinfacht die Sperrung erheblich.
- Enge
AllowedIPs. SetzeAllowedIPsauf das nötige Minimum (10.8.0.2/32für einen einzelnen Router, plus die LAN, falls geroutet wird). Breitere Bereiche öffnen die Tür zu Peer-to-Peer-Traffic zwischen Standorten, der vielleicht nicht erwünscht ist. - Firewall am WireGuard-Port. Auch wenn WireGuard ungültigen Traffic stillschweigend verwirft, ist es unnötig,
51820/udpfür das gesamte Internet offen zu lassen. Beschränke nach Quell-IP, wenn dein Admin-Workflow das zulässt. - Verlorene Geräte sperren. Entferne den
[Peer]-Eintrag aus der VPS-Konfiguration und starte den Tunnel neu. Der Router kann sich nicht mehr verbinden. - Handshakes überwachen. Ein Tunnel ohne Handshake in den letzten 24 Stunden ist defekt — meistens eine Schlüsselrotations-Desynchronisation oder eine Routing-Änderung.
Rotiere Schlüssel regelmäßig als Teil deiner standardmäßigen Credential-Rotation. Speichere Private Keys mit derselben Disziplin wie SSH-Host-Schlüssel. Für Flotten von mehr als 10–20 Routern plane einen kleinen Control-Plane-Workflow für die Peer-Erstellung ein, statt die VPS-Konfiguration von Hand zu pflegen.
Vergleich mit anderen VPN-Optionen
| Lösung | Basis | Performance | Einrichtung | Am besten für |
|---|---|---|---|---|
| WireGuard | Kernel-VPN | Sehr hoch | Einfach | Moderne, leistungsstarke Verwaltung |
| OpenVPN | TLS/OpenSSL | Mittel | Komplex | Altgeräte, PKI-lastige Umgebungen |
| Tailscale | WireGuard + Control Plane | Hoch | Sehr einfach | Teams, identitätsbasierter Zugang |
| ZeroTier | Eigenes Mesh | Hoch | Einfach | Flexible Mesh-Topologien |
Für eine breitere Übersicht zu Optionen der Fernverwaltung siehe unsere Anleitungen zu MikroTik-Verwaltung per VPS und Fernverwaltung per SSTP.
Mach den nächsten Schritt
Ein einzelner WireGuard-Tunnel zwischen einem VPS und einem MikroTik ist überschaubar. Schlüssel, Peer-Einträge und Routing-Tabellen über Dutzende oder Hunderte von Routern zu verwalten — mit der unvermeidlichen Bewegung bei Schlüsselrotationen und Kundenwechseln — ist die Stelle, an der die operativen Kosten anwachsen.
NATCloud von MKController nimmt dir das gesamte manuelle Tunnel-Werkeln ab. Jeder MikroTik kommt über einen ausgehenden Tunnel zur Control Plane online — ohne Schlüsselbabysitten pro Gerät, ohne VPS-Config-Editieren und ohne Skripte, die gepflegt werden müssen. Du bekommst zentrales Monitoring, sicheren Fernzugriff und einen deutlich einfacheren Onboarding-Flow als beim Bau einer eigenen WireGuard-Infrastruktur.