Skip to content
Blog

MikroTiku haldamine WireGuardiga

Kokkuvõte
Praktiline WireGuardi juhend: häälesta VPS-server, konfigureeri MikroTik klient, reklaami alamvõrgu marsruute ning järgi turvapraktikaid usaldusväärseks kaugjuurdepääsuks.

Kaugjuhtimine MikroTikuga WireGuardiga

WireGuard on kaasaegne, lihtne VPN, mis annab mulje võimsast kiirendusest.

See on kerge. Kiire. Turvaline.

Täiuslik VPS-i ja MikroTiku ühendamiseks või võrkude sidumiseks üle interneti.

See juhend sisaldab käsukäske, konfiguratsiooninäiteid ja väärt nippe.

Mis on WireGuard?

WireGuard on kerge Layer-3 VPN, mille lõi Jason Donenfeld.

See kasutab kaasaegset krüptot: Curve25519 võtmelepinguks ja ChaCha20-Poly1305 krüpteerimiseks.

Ilma sertifikaatideta. Lihtsad võtmeparid. Väike koodibaas.

Selline lihtsus tähendab vähem üllatusi ja paremat läbilaskevõimet.

Kuidas WireGuard töötab – põhitõed

Igal osalisel on privaatne ja avalik võti.

Osalised omistavad avalikele võtmetele lubatud IP-d ja lõpp-punktid (IP:port).

Liiklus on UDP-põhine ja omavahel otse suhtlev.

Keskne server pole kohustuslik – kuid VPS tihti toimib stabiilsena kokkusaamiskohana.

Kasu lühidalt

  • Kõrge läbilaskevõime ja madal CPU kasutus.
  • Väike, kontrollitav koodibaas.
  • Lihtsad konfiguratsioonifailid iga osalise jaoks.
  • Toetab hästi NAT-i ja CGNAT-i.
  • Töötav platvormidel: Linux, Windows, macOS, Android, iOS, MikroTik.

Server: WireGuard VPS-il (Ubuntu)

Need sammud loovad baastaseme serveri, millega osalised saavad ühendada.

1) Paigalda WireGuard

Terminal window
apt update && apt install -y wireguard

2) Loo serveri võtmeparid

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Loo /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# näidisosaline (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Luba ja käivita

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Tulemüür

Terminal window
ufw allow 51820/udp
# või kasuta nftables/iptables vastavalt vajadusele

Nipp: Kasuta mitte-standardsest UDP porti, et vältida automaatseid skaneeringuid.

MikroTik: seadista WireGuard osaliseks

RouterOS toetab sisseehitatud WireGuardi (RouterOS 7.x+).

1) Lisa WireGuardi liides

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Lisa server osalisena

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Kontrolli olekut

/interface/wireguard/print
/interface/wireguard/peers/print

Kui osalisel on handshake tegevus ja latest-handshake on värske, on tunnel aktiivne.

Marsruutimine ja pääs LAN seadmetele MikroTiku taga

VPS-ist: marsruut MikroTiku LAN-ile

Kui soovid, et VPS (või teised osalised) jõuaksid MikroTiku taga oleva 192.168.88.0/24-ni:

Loo VPS-il marsruut:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

MikroTikul lülita sisse IP edasi suunamine ja vajadusel lihtsusta src-NAT-iga:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Nüüd on teenused ruuteri LAN-is VPS-i kaudu WireGuardi tunneli kaudu kättesaadavad.

Hoiatus: Ava vaid enda kontrolli all olevad võrgud. Kasuta tulemüüri reegleid ühenduste ja portide piiramiseks.

Turvalisuse head tavad

  • Kasuta igal seadmel unikaalseid võtmepars.
  • Piira AllowedIPs vaid vajaliku peale.
  • Hoia WireGuardi port tulemüüris ja jälgimisel.
  • Kui seadmed kaovad, eemalda nende osaline.
  • Jälgi käepigistusi ja ühenduse tervist.

Nipp: Püsiv keepalive aitab hoida NAT-kaarte tarbijaliinidel.

Võtmete haldus ja automatiseerimine

Võtmed keera regulaarselt.

Automatiseeri osaliste loomine skriptidega suurte võrkude korral.

Hoia privaatvõtmed turvaliselt – käsitle neid nagu paroole.

Suurte seadmestike puhul kaalu väikest juhtimistasandit või võtmepõhist levitust.

Kiire võrdlus

LahendusAlusTulemusedLihtsusParim kasutus
WireGuardKernel VPNVäga kõrgeLihtneKaasaegsed ja kiire ühendus
OpenVPNTLS/OpenSSLKeskmineKeerulinePärandseadmed ja PKI-taristu
TailscaleWireGuard + juhtimistasandKõrgeVäga lihtneMeeskonnad, identiteedipõhine
ZeroTierKohandatud meshKõrgeLihtnePaindlikud võrgud

Integratsioonid ja kasutusalad

WireGuard ühildub hästi monitooringu (SNMP), TR-069, TR-369 ja orkestreerimissüsteemidega.

Kasuta selleks, et hallata kaugsaid seadmeid, tagada teenusepakkujate ühendused või luua turvalisi pilvetunnelid.

Kuidas MKController aitab:

MKControlleri NATCloud eemaldab käsitsi toetuste seadistuse. See pakub tsentraliseeritud juurdepääsu, monitooringut ja lihtsamat kasutuselevõttu – ilma et peaks iga seadme võtmepariga vaeva nägema.

Kokkuvõte

WireGuard eemaldab VPN-i keerukuse, säilitades samal ajal turvalisuse.

See on kiire, kaasaskantav ja ideaalne MikroTiku ja VPS-i paaride jaoks.

Kasuta seda usaldusväärse kaugjuurdepääsu loomisel, mõistliku marsruutimise ja heade tavadega.

Teave MKControlleri kohta

Loodame, et ülaltoodud juhised aitasid Sul MikroTikust ja Interneti maailmast paremini aru saada! 🚀
Olgu Sul eesmärgiks konfiguratsioonide lihvimine või võrgukaose korrastamine — MKController teeb elu lihtsamaks.

Tsentraliseeritud pilvehalduse, automaatsete turvavärskenduste ja igaühele arusaadava juhtpaneeliga on meil oskused, et Sinu tööprotsess sujuvamaks muuta.

👉 Alusta tasuta 3-päevast prooviperioodi kohe aadressil mkcontroller.com — ja vaata, kuidas tõeline võrgukontroll välja näeb.