Skip to content
Blog

MikroTikin hallinta WireGuardilla

Yhteenveto
Käytännön WireGuard-opas: asenna VPS-palvelin, määritä MikroTik-asiakas, mainosta aliverkon reitit ja noudata turvallisia etäyhteyksien käytäntöjä.

MikroTikin etähallinta WireGuardilla

WireGuard on nykyaikainen, kevyt VPN, joka tuntuu suorituskyvyn taikuudelta.

Se on kevyt. Nopea. Turvallinen.

Täydellinen VPS:n ja MikroTikin yhdistämiseen tai verkkojen liittämiseen internetin yli.

Tässä oppaassa on kopioi-liitä -komentoja, konfiguraatioesimerkkejä ja kovasti ansaittuja vinkkejä.

Mikä on WireGuard?

WireGuard on kevyt Layer-3 VPN, jonka on kehittänyt Jason Donenfeld.

Se käyttää moderneja kryptomenetelmiä: Curve25519 avaintenvaihtoon ja ChaCha20-Poly1305 salaamiseen.

Ei sertifikaatteja. Yksinkertaiset avainparit. Pieni koodipohja.

Tämä yksinkertaisuus tarkoittaa vähemmän yllätyksiä ja parempaa läpivirtausta.

Miten WireGuard toimii — perusperiaatteet

Jokaisella osapuolella on oma yksityinen ja julkinen avain.

Osapuolet yhdistävät julkiset avaimet sallituihin IP-osoitteisiin ja päätepisteisiin (IP:portti).

Liikenne on UDP-pohjaista ja vertaisverkkomaista.

Keskuspalvelinta ei vaadita — mutta VPS toimii usein vakaana kokoontumispaikkana.

Hyödyt nopeasti

  • Korkea läpivirtaus ja alhainen CPU-käyttö.
  • Kevyt, auditoitava koodipohja.
  • Yksinkertaiset konfiguraatiot per osapuoli.
  • Toimii hyvin NAT:n ja CGNAT:n kanssa.
  • Monialustainen: Linux, Windows, macOS, Android, iOS, MikroTik.

Palvelin: WireGuard VPS:llä (Ubuntu)

Nämä vaiheet perustavat yksinkertaisen palvelimen, johon osapuolet voivat yhdistää.

1) Asenna WireGuard

Terminal window
apt update && apt install -y wireguard

2) Luo palvelimen avaimet

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Luo /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# esimerkki osapuolesta (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Ota käyttöön ja käynnistä

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Palomuuri

Terminal window
ufw allow 51820/udp
# tai käytä nftables/iptables tarpeen mukaan

Vinkki: Käytä ei-standardi UDP-porttia, jos haluat välttää automaattisia skannauksia.

MikroTik: määritä WireGuard-osapuoleksi

RouterOS tukee WireGuardia (RouterOS 7.x+).

1) Lisää WireGuard-liitäntä

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Lisää palvelin osapuoleksi

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Tarkista tila

/interface/wireguard/print
/interface/wireguard/peers/print

Kun osapuolella näkyy handshake-toimintaa ja latest-handshake on tuore, tunneli on aktiivinen.

Reititys ja LAN-laitteiden käyttö MikroTikin takana

VPS:ltä: reititys MikroTikin LAN-verkkoon

Jos haluat VPS:n (tai muiden osapuolten) saavuttavan 192.168.88.0/24 MikroTikin takaa:

Lisää VPS:llä reitti:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

MikroTikillä ota IP-reititys käyttöön ja tarvittaessa src-NAT yksinkertaisuuden vuoksi:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Nyt reitittimen LANin palvelut ovat saatavilla VPS:ltä WireGuard-tunnelin kautta.

Varoitus: Altista vain omat verkot. Käytä palomuurisääntöjä rajoittaaksesi saavutettavia isäntiä tai portteja.

Turvallisuuden parhaat käytännöt

  • Käytä laitekohtaisia yksilöllisiä avainpareja.
  • Rajoita AllowedIPs vain tarvittaviin osoitteisiin.
  • Pidä WireGuard-portti suljettuna palomuurilla ja valvottuna.
  • Peruuta kadonneet laitteet poistamalla niiden osapuolimerkintä.
  • Seuraa allekirjoituskättelyjä ja yhteyden tilaa.

Vinkki: Persistent keepalive auttaa ylläpitämään NAT-kartoituksia kuluttajalinkeillä.

Avainten hallinta ja automaatio

Vaihda avaimia säännöllisesti.

Automatisoi osapuolten luonti skripteillä, kun hallinnoit monia reitittimiä.

Säilytä yksityiset avaimet turvallisesti — käsittele niitä kuin salasanoja.

Suurissa käyttöympäristöissä harkitse pientä ohjaustasoa tai avainten jakeluprosessia.

Pikavertailu

RatkaisuPerustaSuorituskykyHelppousParas käyttöön
WireGuardKernel VPNErittäin korkeaYksinkertainenNykyaikaiset, suorituskykyiset yhteydet
OpenVPNTLS/OpenSSLKeskitasoMonimutkainenVanhemmat laitteet ja PKI-painotteiset järjestelmät
TailscaleWireGuard + ohjaustasoKorkeaErittäin helppoTiimit, identiteettipohjaiset pääsyt
ZeroTierRäätälöity meshKorkeaHelppoJoustavat mesh-verkkoratkaisut

Integraatiot ja käyttötarkoitukset

WireGuard toimii hyvin valvonnan (SNMP), TR‑069, TR‑369 ja orkestrointijärjestelmien kanssa.

Käytä etähallintaan, palveluntarjoajan takaisinkantoihin tai turvallisiin pilvipalveluiden tunneleihin.

Miten MKController auttaa:

MKControllerin NATCloud poistaa manuaalisen tunnelin hallinnan. Se tarjoaa keskitetyn pääsyn, valvonnan ja helpottaa laitehallintaa — ei tarvitse huolehtia avaimista erikseen.

Yhteenveto

WireGuard karsii VPN:n monimutkaisuuden tinkimättä turvallisuudesta.

Se on nopea, kannettava ja ihanteellinen MikroTik- ja VPS-parin yhdistämiseen.

Käytä sitä luodaksesi luotettavat etäyhteydet, järkevän reitityksen ja hyvän käytön.

Tietoa MKControllerista

Toivottavasti yllä olevat näkemykset auttoivat sinua hallitsemaan MikroTik-verkkoasi ja internetympäristöäsi paremmin! 🚀
Olitpa sitten hienosäätämässä asetuksia tai järjestämässä verkon kaaosta, MKController tekee elämästäsi helpompaa.

Keskitetyn pilvihallinnan, automaattisten tietoturvapäivitysten ja helppokäyttöisen hallintapaneelin avulla meillä on työkalut operaatiosi uudistamiseen.

👉 Aloita ilmainen 3 päivän kokeilujakso osoitteessa mkcontroller.com — ja näe, millaista vaivaton verkkohallinta oikeasti on.