Zum Inhalt springen
MKController Blog
InstagramYouTubeFacebook

Tutorial

MikroTik WireGuard-VPN einrichten

Konfigurieren Sie einen MikroTik-Router als WireGuard-Client mit Policy-Routing und Kill Switch in fünf Schritten auf RouterOS v7.

MKController5 min read

Zusammenfassung WireGuard läuft auf MikroTik-Routern ab RouterOS v7 nativ und ist der schnellste und einfachste Weg, einzelne LAN-Geräte durch einen VPN-Tunnel zu schicken. Diese Anleitung richtet den MikroTik als WireGuard-Client ein, ergänzt Policy-Routing, sodass nur die ausgewählten Geräte den Tunnel nutzen, und installiert eine Blackhole-Route als Kill Switch, der den Verkehr verwirft, wenn der Tunnel abbricht, statt ihn über den ISP ausleiten zu lassen.

Wie funktioniert WireGuard auf MikroTik?

WireGuard ist ein modernes VPN-Protokoll, das mit RouterOS v7 nativ mitgeliefert wird — kein zusätzliches Paket, kein Container, kein Kernelmodul zum Kompilieren. Auf einem MikroTik-Router konfigurieren Sie ein WireGuard-Interface, weisen ihm eine Tunnel-IP Ihres VPN-Anbieters zu, fügen einen Peer (den entfernten Server) mit dessen öffentlichem Schlüssel und Endpoint hinzu und entscheiden dann über Policy-Routing, welcher lokale Verkehr tatsächlich den Tunnel durchquert.

Das Ergebnis ist ein schneller, geprüfter kryptografischer Tunnel, der auf derselben Hardware deutlich besser läuft als OpenVPN oder L2TP/IPsec. Das Protokoll wurde mit nur einigen tausend statt zehntausenden Zeilen Code entworfen — deshalb läuft es schneller und lässt sich leichter von Sicherheitsforschern verifizieren.

Holen Sie sich Ihre WireGuard-Zugangsdaten

Bevor Sie Winbox öffnen, holen Sie die Konfiguration von Ihrem VPN-Anbieter (Proton VPN, Mullvad, NordVPN oder einem selbst gehosteten WireGuard-Server). Sie benötigen vier Informationen:

  • Private Key: dem Interface Ihres MikroTik zugewiesen. Das Portal des Anbieters liefert üblicherweise eine Konfigurationsdatei, die diesen Schlüssel enthält.
  • Public Key: gehört zum entfernten Server. Der MikroTik nutzt ihn, um den Peer zu authentifizieren.
  • Endpoint-Adresse und -Port: IP oder Hostname des Servers und der UDP-Port, auf dem er lauscht (üblich 51820).
  • Allowed IPs: in der Regel 0.0.0.0/0 für einen Full-Tunnel, der den gesamten Verkehr abdeckt. Engen Sie das ein, wenn nur bestimmte Subnetze den Tunnel nutzen sollen.
MikroTik-WireGuard-Interface-Konfiguration in Winbox

Schritt 1: WireGuard-Interface anlegen

Öffnen Sie in Winbox das Menü WireGuard und klicken Sie auf +, um ein neues Interface anzulegen. Nennen Sie es WG-Client, fügen Sie den vom Anbieter gelieferten Private Key ein und klicken Sie auf OK — der MikroTik leitet den passenden öffentlichen Schlüssel automatisch ab. Fügen Sie unter IP → Addresses die IP hinzu, die der Anbieter Ihrem Tunnel zugewiesen hat (etwa 10.66.66.2/32).

Schritt 2: Peer konfigurieren

Der Peer ist der entfernte Server, zu dem Sie sich verbinden. Wechseln Sie im WireGuard-Fenster zur Registerkarte Peers und fügen Sie einen Peer hinzu, der auf das Interface WG-Client zeigt:

  • Public Key: der öffentliche Schlüssel des Servers.
  • Endpoint und Endpoint Port: IP und UDP-Port des Servers.
  • Allowed IPs: 0.0.0.0/0. Damit darf jeglicher Verkehr durch den Tunnel laufen — geroutet wird aber noch nichts. Das Routing erfolgt in Schritt 4.
Hinzufügen eines WireGuard-Peers in Winbox

Schritt 3: Policy-Routing (PBR)

Normalerweise möchten Sie nicht das gesamte LAN über die VPN schicken — nur bestimmte Geräte, etwa eine Workstation, die auf einen geoblockierten Dienst zugreifen muss, oder einen Medienserver mit datenschutzrelevantem Verkehr. MikroTik löst das mit Mangle-Regeln, die Pakete markieren, und Routing-Tabellen, die auf diese Markierungen reagieren.

  1. Gehen Sie zu IP → Firewall → Mangle.
  2. Fügen Sie eine neue Regel mit Chain: prerouting hinzu.
  3. Setzen Sie Src. Address auf die lokale IP des Geräts, das getunnelt werden soll (z. B. 192.168.88.50).
  4. Setzen Sie Action auf mark routing.
  5. Setzen Sie New Routing Mark auf via-wireguard.
  6. Deaktivieren Sie „Pass Through” — ohne diesen Schritt können nachgelagerte Regeln die Markierung überschreiben und der Tunnel geht verloren.
MikroTik-Mangle-Regel, die Verkehr für WireGuard-Routing markiert

Schritt 4: Routing und der Kill Switch

Sagen Sie dem Router jetzt, dass jedes Paket mit der Markierung via-wireguard durch den Tunnel gehen muss.

  1. Gehen Sie zu IP → Routes.
  2. Fügen Sie eine neue Route hinzu: Gateway: WG-Client, Routing Table: via-wireguard, Distance: 1.
  3. Fügen Sie den Kill Switch hinzu — legen Sie eine zweite Route mit derselben Routing Table (via-wireguard) an, setzen Sie Type auf blackhole und vergeben Sie eine höhere Distance (z. B. 10).

Die Blackhole-Route ist das entscheidende Stück. Bricht der WireGuard-Tunnel weg, verschwindet die normale Route, die Blackhole-Route übernimmt, und Pakete, die der Mangle-Regel entsprechen, werden stillschweigend verworfen, statt auf den ISP zurückzufallen — kein DNS-Leak, kein IP-Leak, kein unverschlüsselter Verkehr aus dem WAN.

MikroTik-Routing-Tabelle mit Blackhole-Kill-Switch für WireGuard

Tunnel überprüfen

Rufen Sie vom Gerät, das Sie für den Tunnel markiert haben, eine Seite wie ifconfig.me oder whatismyip.com auf. Dort sollte die IP des VPN-Servers stehen, nicht die Ihres ISPs. Führen Sie anschließend auf dem MikroTik aus:

/interface/wireguard/peers print stats

Ein funktionierender Peer zeigt aktuelle rx- und tx-Byte-Zähler, die steigen, sobald Sie Verkehr erzeugen. Bleiben die Zähler bei null, ist die häufigste Ursache ein fehlender oder falscher Endpoint-Port oder eine WAN-Firewall, die ausgehendes UDP verwirft.

Tipps

  • Halten Sie die Distanz des Kill Switch höher als die der aktiven Route — vertauschen Sie sie versehentlich, wird die Blackhole zur Hauptroute und jeglicher getunnelter Verkehr fällt aus, selbst wenn der Tunnel steht.
  • Wenn Sie mehrere MikroTik-Geräte remote über denselben Tunnel verwalten, sehen Sie sich unseren SSTP-Remote-Management-Leitfaden für ein ergänzendes Protokoll an oder WireGuard für MikroTik-Remote-Management für das vollständige Remote-Admin-Muster.
  • WireGuard versucht Handshakes nicht aggressiv neu, wenn der Endpoint nicht erreichbar ist; rotiert Ihr VPN-Anbieter Server, planen Sie auch die Rotation der Endpoint-Konfiguration ein.

Machen Sie den nächsten Schritt

WireGuard auf einem MikroTik braucht zwanzig Minuten. Dieselbe Konfiguration — dieselben planmäßig rotierten Schlüssel, dieselbe Kill-Switch-Regel, dieselben Mangle-Markierungen — über eine Flotte von Standorten zu halten, ist die eigentliche Disziplinarbeit. Drift schleicht sich ein: Ein Techniker ändert für einen Kunden eine Mangle-Regel, ein Router wird zurückgesetzt und der Kill Switch fehlt, eine Schlüsselrotation überspringt ein Gerät.

MKController spielt dieselbe WireGuard-, Mangle- und Routing-Konfiguration auf jeden MikroTik in Ihrem Inventar und hebt Geräte hervor, die vom Template abweichen. Wenn ein Tunnel ausfällt oder beim Kunden der Kill Switch fehlt, meldet das Dashboard das, bevor der Kunde es bemerkt.

Starten Sie Ihre kostenlose MKController-Testphase