Remote Access
Gestion à distance MikroTik avec WireGuard
Configurez un serveur WireGuard sur VPS, connectez le MikroTik en peer, routez le LAN et durcissez le tunnel pour un accès distant fiable.
Résumé WireGuard associe un VPS Linux comme point de rendez-vous à un ou plusieurs routeurs MikroTik en tant que peers, ce qui offre une gestion distante stable via un tunnel UDP qui survit au CGNAT, aux IP dynamiques et à la plupart des bizarreries côté FAI. Ce guide configure le serveur sur le VPS, le client MikroTik (RouterOS v7), le routage qui permet d’atteindre le LAN derrière le routeur depuis le côté VPS, et le durcissement de sécurité qui garde le tunnel sain dans la durée.
Comment WireGuard permet-il la gestion distante d’un MikroTik ?
WireGuard est un VPN moderne de Couche 3 construit sur de la cryptographie actuelle (Curve25519 pour l’accord de clés, ChaCha20-Poly1305 pour le chiffrement) et une base de code minuscule et auditable. Pour la gestion distante de MikroTik, la topologie habituelle consiste en un petit VPS Linux qui sert de point de rendez-vous toujours en ligne, avec un ou plusieurs routeurs MikroTik (sous RouterOS v7) qui se connectent en sortie vers le VPS en tant que peers. Comme WireGuard est en UDP et que ce sont les routeurs qui initient le tunnel vers l’extérieur, la topologie fonctionne de la même façon que le routeur soit sur une vraie IP publique, derrière du NAT ou derrière du CGNAT.
Une fois le tunnel monté, le VPS détient les routes qui permettent d’atteindre le LAN de chaque routeur via son IP WireGuard. Depuis un ordinateur portable d’administration connecté au VPS (ou au réseau WireGuard lui-même), chaque site est joignable comme s’il était sur un LAN privé — et il n’y a ni port Winbox ni port WebFig exposé sur le routeur client pour qu’un attaquant le trouve.
Pourquoi utiliser WireGuard pour l’accès distant aux MikroTik ?
WireGuard gagne sur cinq dimensions pratiques qui comptent pour la gestion de parc : haut débit avec une faible charge CPU même sur de petits routeurs, base de code minimale et auditable avec beaucoup moins de CVE qu’OpenVPN, fichiers de configuration par peer simples qui passent proprement en contrôle de version, support multiplateforme natif (Linux, Windows, macOS, Android, iOS, RouterOS v7+) et comportement très correct sous NAT et CGNAT grâce à la conception de son handshake, qui tolère les changements d’adresse. Le bémol : WireGuard ne dispose pas d’une infrastructure de révocation de certificats à la OpenVPN — la confiance se gère en ajoutant et en supprimant directement des entrées de peer, ce qui signifie qu’à l’échelle la gestion des peers demande un petit plan de contrôle ou un peu de scripting.
Étape 1 : Installez WireGuard sur le VPS (Ubuntu)
apt update && apt install -y wireguardÉtape 2 : Générez les clés du serveur
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickeyLa clé privée reste sur le VPS. La clé publique est collée dans la configuration du peer sur le MikroTik.
Étape 3 : Créez la configuration du serveur
/etc/wireguard/wg0.conf :
[Interface]Address = 10.8.0.1/24ListenPort = 51820PrivateKey = <server_private_key>SaveConfig = true
[Peer]PublicKey = <mikrotik_public_key>AllowedIPs = 10.8.0.2/32Ajoutez un bloc [Peer] par routeur MikroTik, chacun avec une IP de tunnel unique dans AllowedIPs.
Étape 4 : Démarrez le tunnel et ouvrez le pare-feu
systemctl enable wg-quick@wg0systemctl start wg-quick@wg0ufw allow 51820/udp(Adaptez la commande pare-feu à nftables ou iptables selon la distribution du VPS.) Utilisez un port UDP non standard si vous souhaitez esquiver les scans automatisés d’Internet.
Étape 5 : Configurez le MikroTik en peer WireGuard
RouterOS v7 embarque WireGuard nativement — aucun paquet additionnel n’est nécessaire. Ouvrez un terminal Winbox :
/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"
/interface wireguard peers add interface=wg-vps \ public-key="<server_public_key>" \ endpoint-address=<VPS_IP> \ endpoint-port=51820 \ allowed-address=10.8.0.2/32 \ persistent-keepalive=25
/ip address add address=10.8.0.2/24 interface=wg-vpspersistent-keepalive=25 est le petit détail qui compte : il maintient en vie les mappings NAT sur le routeur côté WAN pour que le tunnel ne tombe pas silencieusement après quelques minutes d’inactivité.
Vérifiez le statut :
/interface/wireguard/print/interface/wireguard/peers/printQuand le peer montre de l’activité de handshake et que latest-handshake est récent (dans l’intervalle keepalive), le tunnel est monté.
Étape 6 : Routez vers les équipements du LAN derrière le MikroTik
Pour atteindre le LAN derrière le MikroTik (par exemple 192.168.88.0/24) depuis le VPS :
Sur le VPS :
ip route add 192.168.88.0/24 via 10.8.0.2Sur le MikroTik, ajoutez une règle srcnat masquerade pour que le trafic retour retrouve son chemin via le tunnel :
/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 \ out-interface=wg-vps action=masqueradeLes services LAN derrière le MikroTik sont désormais accessibles depuis le VPS, et depuis tout autre peer connu du VPS, via le tunnel WireGuard. N’exposez que des réseaux que vous contrôlez, et utilisez des règles de pare-feu pour limiter quels hôtes et ports sont joignables à travers le tunnel. Pour la variante côté client de ce scénario (le MikroTik en client VPN d’un fournisseur commercial plutôt qu’en peer de votre propre VPS), voyez notre tutoriel client WireGuard.
Durcissement de sécurité
- Paire de clés unique par équipement. Ne réutilisez jamais des clés entre MikroTiks. Générer une nouvelle paire prend quelques secondes et simplifie radicalement la révocation.
AllowedIPsresserrés. ConfigurezAllowedIPsau minimum nécessaire (10.8.0.2/32pour un seul routeur, plus le LAN en cas de routage). Des plages plus larges ouvrent la porte à du trafic peer-to-peer entre sites qui peut ne pas être souhaité.- Pare-feu sur le port WireGuard. Même si WireGuard ignore silencieusement le trafic invalide, laisser
51820/udpouvert à tout Internet est inutile. Restreignez par IP source si votre flux d’administration le permet. - Révoquez les équipements perdus. Supprimez l’entrée
[Peer]de la configuration du VPS et redémarrez le tunnel. Le routeur ne peut plus se connecter. - Surveillez les handshakes. Un tunnel sans handshake depuis 24 heures est cassé — c’est généralement une désynchronisation de rotation de clés ou un changement de routage.
Faites tourner les clés périodiquement dans le cadre de votre rotation standard d’identifiants. Stockez les clés privées avec la même rigueur que les clés d’hôte SSH. Pour des parcs de plus de 10 à 20 routeurs, prévoyez un petit workflow de plan de contrôle pour la création de peers plutôt que d’éditer la configuration du VPS à la main.
Comparaison avec d’autres options VPN
| Solution | Base | Performances | Mise en place | Idéal pour |
|---|---|---|---|---|
| WireGuard | VPN dans le noyau | Très élevées | Simple | Gestion moderne et performante |
| OpenVPN | TLS/OpenSSL | Moyennes | Complexe | Équipements anciens, environnements PKI |
| Tailscale | WireGuard + plan de contrôle | Élevées | Très simple | Équipes, accès basé sur l’identité |
| ZeroTier | Mesh propriétaire | Élevées | Simple | Topologies mesh flexibles |
Pour un panorama plus large des options de gestion distante, voyez nos guides sur la gestion MikroTik via VPS et la gestion distante en SSTP.
Passez à la suite
Un seul tunnel WireGuard entre un VPS et un MikroTik est simple. Gérer les clés, les entrées de peer et les tables de routage sur des dizaines ou des centaines de routeurs — avec le ballet inévitable des rotations de clés et des changements de clients — c’est là que le coût opérationnel s’accumule.
NATCloud de MKController supprime entièrement la plomberie manuelle des tunnels. Chaque MikroTik arrive en ligne via un tunnel sortant vers le plan de contrôle, sans baby-sitter de clés par équipement, sans édition de fichier VPS et sans script à maintenir. Vous obtenez une supervision centralisée, un accès distant sécurisé et un onboarding bien plus simple que de monter votre propre infrastructure WireGuard.