Skip to content
Blog

WireGuard-asiakas-VPN:n asetukset MikroTikillä

Yhteenveto > Opi konfiguroimaan MikroTik-reititin WireGuard-asiakkaaksi. Tämä tekninen opas kattaa avainten generoinnin, vertaisjärjestelmän asetukset ja edistyneet reititysmenetelmät kuten Mangle-säännöt laitekohtaiselle tunneloinnille sekä ‘Kill Switchin’ tietovuotojen estämiseen.

WireGuard-asiakas-VPN:n asetukset MikroTikillä

WireGuard on mullistanut VPN-ajattelun MikroTik-reitittimissä. RouterOS v7:n julkaisun jälkeen käyttäjillä on käytössään protokolla, joka on huomattavasti nopeampi ja helpompi auditoida kuin perinteiset vaihtoehdot kuten OpenVPN tai L2TP/IPsec. Tässä oppaassa käymme läpi teknisen prosessin, jolla asetat MikroTikisi WireGuard-asiakkaaksi keskittyen erityisesti paikallisen liikenteen tarkkaan hallintaan.

WireGuard-tunnistetietojen hankkiminen

Ennen WinBoxin avaamista tarvitset VPN-palveluntarjoajaltasi (esim. Proton VPN tai NordVPN) konfiguraatiotiedoston. WireGuard perustuu julkisen ja yksityisen avaimen vaihtoon. Varmista, että sinulla on seuraavat tiedot valmiina:

  • Yksityinen avain: MikroTik-liitännällesi.
  • Julkinen avain: VPN-palvelimelta.
  • Päätepisteen osoite ja portti: Palvelimen IP tai URL.
  • Sallitut IP:t: Tavallisesti 0.0.0.0/0 koko tunnelille.
MikroTik WireGuard Interface Configuration

Vaihe 1: Luo WireGuard-liitäntä

Ensiksi määritellään tunneliliitäntä MikroTik-reitittimelle.

  1. Avaa WinBox ja siirry WireGuard-valikkoon.
  2. Klikkaa + lisätäksesi uuden liitännän.
  3. Nimeä se WG-Client.
  4. Liitä Yksityinen avain. MikroTik luo automaattisesti vastaavan julkisen avaimen.
  5. Klikkaa OK.

Seuraavaksi määritä VPN-palveluntarjoajalta saamasi IP-osoite tälle liitännälle kohdassa IP > Addresses.

Vaihe 2: Vertaasen konfigurointi

“Peer” tarkoittaa etäpalvelinta, johon yhdistät.

  1. WireGuard-ikkunassa siirry Peers-välilehdelle.
  2. Valitse WG-Client -liitäntä.
  3. Syötä etäpalvelimen Julkinen avain.
  4. Aseta Endpoint ja Endpoint Port.
  5. Sallitut IP:t -kenttään syötä 0.0.0.0/0 (salli liikenne, muttei vielä automaattisesti reititä kaikkea).
Adding a WireGuard Peer in WinBox

Vaihe 3: Politiikkapohjainen reititys (PBR)

Yleensä et halua koko verkkoasi VPN:n läpi. Haluat ehkä vain tietyn palvelimen tai tietokoneen käyttävän tunnelia. Tämä toteutetaan Mangle-säännöillä.

  1. Siirry kohtaan IP > Firewall > Mangle.
  2. Luo uusi sääntö: Chain: prerouting.
  3. Lähde-osoite: Syötä laitteen paikallinen IP (esim. 192.168.88.50).
  4. Toiminto: mark routing.
  5. Uuden reititystunnuksen nimi: via-wireguard.
  6. Poista valinta “Pass Through” -kohdasta.
MikroTik Mangle Rule for Routing Marks

Vaihe 4: Reititys ja “Kill Switch”

Ilmoita nyt reitittimelle, että kaikki via-wireguard-merkitty liikenne kulkee tunnelin kautta.

  1. Mene kohtaan IP > Routes.
  2. Lisää uusi reitti: Gateway: WG-Client, Routing Table: via-wireguard.
  3. Kill Switch: Lisää toinen reitti samalla reititystaululla (via-wireguard), mutta määritä Tyyppi arvoksi blackhole ja etäisyys suuremmaksi.

Huom: Blackhole-reitti varmistaa, että jos WireGuard-tunneli katkeaa, laitteen liikenne hylätään eikä pääse “vuotamaan” normaalia ISP-yhteyttä pitkin.

Configuring Blackhole Routes for VPN Kill Switch

Tietoa MKControllerista

Toivottavasti nämä vinkit auttoivat sinua hallitsemaan MikroTik- ja internet-maailmaasi paremmin! 🚀
Olitpa sitten hienosäätämässä asetuksia tai tuomassa järjestystä verkon kaaokseen, MKController tekee elämästäsi helpompaa.

Keskitetyn pilvihallinnan, automaattisten tietoturvapäivitysten ja käyttäjäystävällisen hallintapaneelin ansiosta meillä on kaikki tarvitsemasi työkalut toimintasi parantamiseen.

👉 Aloita ilmainen 3 päivän kokeilusi nyt osoitteessa mkcontroller.com – ja näe, kuinka vaivaton verkon hallinta todellisuudessa toimii.