Aller au contenu
MKController Blog
InstagramYouTubeFacebook

Tutorial

Configurer un VPN WireGuard sur MikroTik

Configurez un routeur MikroTik en client WireGuard avec routage par politique et kill switch en cinq étapes sur RouterOS v7.

MKController6 min read

Résumé WireGuard fonctionne nativement sur les routeurs MikroTik à partir de RouterOS v7 et constitue la méthode la plus rapide et la plus simple pour faire passer certains équipements du LAN par un tunnel VPN. Ce guide configure le MikroTik en client WireGuard, ajoute un routage par politique pour que seuls les équipements choisis empruntent le tunnel et installe une route blackhole en guise de kill switch qui coupe le trafic en cas de chute du tunnel au lieu de le laisser fuir par le FAI.

Comment fonctionne WireGuard sur MikroTik ?

WireGuard est un protocole VPN moderne livré nativement avec RouterOS v7 — pas de paquet additionnel, pas de container, pas de module noyau à compiler. Sur un routeur MikroTik, vous configurez une interface WireGuard, vous lui assignez une IP de tunnel fournie par votre fournisseur VPN, vous ajoutez un peer (le serveur distant) avec sa clé publique et son endpoint, puis vous décidez quel trafic local emprunte réellement le tunnel à l’aide du routage par politique.

Le résultat est un tunnel cryptographique rapide et audité, nettement plus performant qu’OpenVPN ou L2TP/IPsec sur le même matériel. Le protocole a été conçu pour ne compter que quelques milliers de lignes de code au lieu de dizaines de milliers, ce qui explique qu’il tourne plus vite et soit plus facile à vérifier pour les chercheurs en sécurité.

Récupérez vos identifiants WireGuard

Avant d’ouvrir Winbox, rassemblez la configuration auprès de votre fournisseur VPN (Proton VPN, Mullvad, NordVPN ou un serveur WireGuard auto-hébergé). Vous avez besoin de quatre informations :

  • Private Key : attribuée à l’interface de votre MikroTik. Le portail du fournisseur livre habituellement un fichier de configuration qui la contient.
  • Public Key : appartient au serveur distant. Le MikroTik l’utilise pour authentifier le peer.
  • Adresse et port de l’Endpoint : l’IP ou le nom d’hôte du serveur et le port UDP sur lequel il écoute (généralement 51820).
  • Allowed IPs : généralement 0.0.0.0/0 pour un tunnel complet qui prend en charge tout le trafic. Restreignez ce champ si vous ne voulez faire passer que des sous-réseaux spécifiques.
Configuration de l'interface WireGuard MikroTik dans Winbox

Étape 1 : Créez l’interface WireGuard

Dans Winbox, ouvrez le menu WireGuard et cliquez sur + pour ajouter une nouvelle interface. Nommez-la WG-Client, collez la Private Key fournie par le fournisseur et cliquez sur OK — le MikroTik dérive automatiquement la clé publique correspondante. Sous IP → Addresses, ajoutez l’IP que le fournisseur a attribuée à votre tunnel (du type 10.66.66.2/32).

Étape 2 : Configurez le peer

Le peer est le serveur distant auquel vous vous connectez. Dans la fenêtre WireGuard, passez à l’onglet Peers et ajoutez un peer pointant vers l’interface WG-Client :

  • Public Key : la clé publique du serveur.
  • Endpoint et Endpoint Port : l’IP et le port UDP du serveur.
  • Allowed IPs : 0.0.0.0/0. Cela autorise tout le trafic à passer par le tunnel — mais ne route encore rien. Le routage intervient à l’étape 4.
Ajout d'un peer WireGuard dans Winbox

Étape 3 : Routage par politique (PBR)

D’ordinaire, vous ne voulez pas faire passer tout le LAN par le VPN — seulement certains équipements, comme un poste de travail qui doit atteindre un service géo-restreint ou un serveur multimédia qui traite du trafic sensible. MikroTik résout cela avec des règles Mangle qui marquent les paquets et des tables de routage qui agissent en fonction de ces marques.

  1. Ouvrez IP → Firewall → Mangle.
  2. Ajoutez une nouvelle règle avec Chain: prerouting.
  3. Définissez Src. Address sur l’IP locale de l’équipement à tunneliser (par exemple 192.168.88.50).
  4. Définissez Action sur mark routing.
  5. Définissez New Routing Mark sur via-wireguard.
  6. Décochez « Pass Through » — sans cela, des règles ultérieures peuvent écraser la marque et vous perdrez le tunnel.
Règle Mangle MikroTik marquant le trafic pour le routage WireGuard

Étape 4 : Routage et kill switch

Indiquez maintenant au routeur que tout paquet marqué via-wireguard doit passer par le tunnel.

  1. Ouvrez IP → Routes.
  2. Ajoutez une nouvelle route : Gateway: WG-Client, Routing Table: via-wireguard, Distance: 1.
  3. Ajoutez le kill switch — ajoutez une seconde route avec la même Routing Table (via-wireguard), définissez Type sur blackhole et donnez-lui une Distance plus élevée (par exemple 10).

La route blackhole est l’élément critique. Si le tunnel WireGuard tombe, la route normale disparaît, la blackhole prend le relais et les paquets qui correspondent à la règle Mangle sont silencieusement écartés au lieu de basculer sur le FAI — pas de fuite DNS, pas de fuite d’IP, pas de trafic non chiffré sortant par le WAN.

Table de routage MikroTik avec blackhole kill switch pour WireGuard

Vérifiez le tunnel

Depuis l’équipement que vous avez marqué pour le tunnel, ouvrez un site comme ifconfig.me ou whatismyip.com. Il doit indiquer l’IP du serveur VPN, pas celle de votre FAI. Sur le MikroTik, exécutez ensuite :

/interface/wireguard/peers print stats

Un peer en fonctionnement affiche des compteurs d’octets rx et tx récents qui augmentent à mesure que vous générez du trafic. S’ils restent à zéro, la cause la plus fréquente est un port d’endpoint manquant ou erroné, ou un pare-feu sur le WAN qui jette l’UDP sortant.

Conseils

  • Gardez la distance du kill switch supérieure à celle de la route active — si vous les inversez par mégarde, la blackhole devient prioritaire et tout le trafic tunnelisé est coupé, même tunnel debout.
  • Si vous administrez plusieurs équipements MikroTik à distance par le même tunnel, consultez notre guide de gestion à distance via SSTP pour un protocole complémentaire, ou WireGuard pour la gestion à distance MikroTik pour le schéma d’administration distant complet.
  • WireGuard ne réessaie pas agressivement les handshakes lorsque l’endpoint est injoignable ; si votre fournisseur VPN fait tourner ses serveurs, prévoyez de faire tourner aussi la configuration de l’endpoint.

Passez à l’étape suivante

WireGuard sur un MikroTik prend vingt minutes. Maintenir la même configuration — mêmes clés tournées dans les temps, même règle de kill switch, mêmes marques Mangle — sur une flotte de sites, voilà où la discipline opérationnelle compte. La dérive s’installe : un ingénieur change une règle Mangle pour un client, un routeur est réinitialisé et le kill switch disparaît, une rotation de clés saute un équipement.

MKController pousse la même configuration WireGuard, Mangle et routage sur chaque MikroTik de votre inventaire et fait remonter les équipements qui dérivent du modèle. Quand un tunnel tombe ou qu’un kill switch manque chez un client, le tableau de bord le signale avant que le client ne s’en aperçoive.

Commencez votre essai gratuit MKController