Aller au contenu
Blog

Gérer votre Mikrotik avec WireGuard

Résumé
Un guide pratique WireGuard : configurer un serveur VPS, un client MikroTik, annoncer des routes de sous-réseaux et appliquer les meilleures pratiques de sécurité pour un accès distant fiable.

Gestion distante de MikroTik avec WireGuard

WireGuard est un VPN moderne et minimaliste offrant presque une magie de performance.

Il est léger. Rapide. Sécurisé.

Parfait pour connecter un VPS et un MikroTik ou relier des réseaux via Internet.

Ce guide fournit des commandes prêtes à copier, des exemples de configuration et des conseils éprouvés.

Qu’est-ce que WireGuard ?

WireGuard est un VPN léger de couche 3 créé par Jason Donenfeld.

Il utilise une cryptographie moderne : Curve25519 pour l’accord de clés et ChaCha20-Poly1305 pour le chiffrement.

Pas de certificats. Des paires de clés simples. Une base de code réduite.

Cette simplicité signifie moins de surprises et un meilleur débit.

Fonctionnement essentiel de WireGuard

Chaque pair a une clé privée et une clé publique.

Les pairs associent des clés publiques à des IP autorisées et des points de terminaison (IP:port).

Le trafic est basé sur UDP et peer-to-peer par conception.

Il n’y a pas besoin d’un serveur central — un VPS sert souvent de point stable de rendez-vous.

Avantages principaux

  • Haut débit et faible utilisation CPU.
  • Base de code minimale et auditable.
  • Configurations simples par pair.
  • Fonctionne bien avec NAT et CGNAT.
  • Multi-plateforme : Linux, Windows, macOS, Android, iOS, MikroTik.

Serveur : WireGuard sur un VPS (Ubuntu)

Ces étapes configurent un serveur basique auquel les pairs peuvent se connecter.

1) Installer WireGuard

Terminal window
apt update && apt install -y wireguard

2) Générer les clés du serveur

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Créer /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# exemple de pair (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Activer et démarrer

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Pare-feu

Terminal window
ufw allow 51820/udp
# ou utilisez nftables/iptables selon le cas

Astuce : Utilisez un port UDP non standard pour éviter les scans automatisés.

MikroTik : configurer en pair WireGuard

RouterOS intègre WireGuard nativement (RouterOS 7.x+).

1) Ajouter l’interface WireGuard

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Ajouter le serveur comme pair

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Vérifier le statut

/interface/wireguard/print
/interface/wireguard/peers/print

Quand le pair présente une activité handshake récente, le tunnel est actif.

Routage et accès aux appareils LAN derrière MikroTik

Depuis le VPS : router vers le LAN MikroTik

Pour que le VPS (ou d’autres pairs) atteignent 192.168.88.0/24 derrière MikroTik :

Sur le VPS, ajoutez une route :

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

Sur MikroTik, activez le routage IP et éventuellement le src-NAT pour simplifier :

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Les services du LAN du routeur deviennent alors accessibles depuis le VPS via le tunnel WireGuard.

Attention : N’exposez que des réseaux que vous contrôlez. Limitez l’accès via des règles de pare-feu.

Bonnes pratiques de sécurité

  • Utilisez des paires de clés uniques par appareil.
  • Restreignez les AllowedIPs au strict nécessaire.
  • Protégez et surveillez le port WireGuard via le pare-feu.
  • Révoquez un appareil perdu en supprimant son entrée pair.
  • Surveillez les handshakes et la santé des connexions.

Astuce : Le keepalive persistant maintient les mappages NAT sur les liens consommateurs.

Gestion des clés et automatisation

Faites tourner les clés régulièrement.

Automatisez la création des pairs via scripts pour de nombreux routeurs.

Stockez les clés privées en sécurité — comme des mots de passe.

Pour les flottes, envisagez un petit plan de contrôle ou un workflow de distribution des clés.

Comparaison rapide

SolutionBasePerformanceFacilitéUsage recommandé
WireGuardVPN noyauTrès élevéeSimpleLiaisons modernes haute-perf.
OpenVPNTLS/OpenSSLMoyenneComplexeÉquipements anciens et PKI lourd.
TailscaleWireGuard + CMÉlevéeTrès facileÉquipes, accès basé sur identités
ZeroTierMaillage persoÉlevéeFacileRéseaux maillés flexibles

Intégrations et usages

WireGuard s’intègre bien avec la surveillance (SNMP), TR-069, TR-369 et les systèmes d’orchestration.

Utilisez-le pour la gestion distante, les backhauls fournisseurs ou les tunnels sécurisés vers le cloud.

Où MKController intervient :

NATCloud de MKController élimine la complexité manuelle des tunnels. Accès centralisé, surveillance et intégration simplifiée — sans gérer les clés par appareil.

Conclusion

WireGuard simplifie le VPN sans compromettre la sécurité.

Rapide, portable, idéal pour MikroTik et VPS.

Construisez un accès distant fiable avec routage cohérent et bonnes pratiques.

À propos de MKController

Nous espérons que ces infos vous ont aidé à mieux gérer votre MikroTik et votre univers Internet ! 🚀
Que vous ajustiez des configs ou cherchiez à organiser votre réseau, MKController facilite la vie.

Avec gestion centralisée cloud, mises à jour automatiques de sécurité et tableau de bord accessible, nous avons tout pour améliorer votre exploitation.

👉 Essayez gratuitement 3 jours sur mkcontroller.com — découvrez le vrai contrôle réseau sans effort.