Gestire il tuo Mikrotik con WireGuard

Sommario
Guida pratica a WireGuard: configura un server VPS, un client MikroTik, pubblica rotte di subnet e segui le migliori pratiche per un accesso remoto affidabile.

Gestione remota di MikroTik con WireGuard

WireGuard è una VPN moderna e minimalista che sembra magia per le prestazioni.

È snella. Veloce. Sicura.

Perfetta per collegare un VPS a MikroTik o per unire reti su Internet.

Questa guida offre comandi da copiare, esempi di configurazioni e consigli preziosi.

Cos’è WireGuard?

WireGuard è una VPN Layer‑3 leggera creata da Jason Donenfeld.

Utilizza crittografia moderna: Curve25519 per l’accordo chiavi e ChaCha20-Poly1305 per la cifratura.

Niente certificati. Coppie di chiavi semplici. Codice minimale.

Questa semplicità si traduce in meno imprevisti e maggiore velocità.

Come funziona WireGuard — le basi

Ogni peer ha una chiave privata e una pubblica.

I peer associano chiavi pubbliche a allowed IPs e endpoint (IP:porta).

Il traffico è UDP e peer‑to‑peer per natura.

Non serve un server centrale — ma spesso un VPS funge da punto di incontro stabile.

Vantaggi principali

Alto throughput e basso uso CPU.
Codice minimale e auditabile.
File di configurazione semplici per peer.
Funziona bene con NAT e CGNAT.
Multi-piattaforma: Linux, Windows, macOS, Android, iOS, MikroTik.

Server: WireGuard su VPS (Ubuntu)

Questi passaggi configurano un server base a cui i peer si collegano.

1) Installa WireGuard

apt update && apt install -y wireguard

2) Genera le chiavi server

wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Crea `/etc/wireguard/wg0.conf`

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true

# esempio peer (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Abilita e avvia

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Firewall

ufw allow 51820/udp
# oppure usa nftables/iptables a seconda dei casi

Suggerimento: Usa una porta UDP non standard per evitare scansioni automatiche.

MikroTik: configura come peer WireGuard

RouterOS supporta WireGuard nativamente (RouterOS 7.x+).

1) Aggiungi l’interfaccia WireGuard

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Aggiungi il server come peer

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25

/ip address add address=10.8.0.2/24 interface=wg-vps

3) Controlla lo stato

/interface/wireguard/print
/interface/wireguard/peers/print

Quando il peer mostra attività handshake e latest-handshake recente, il tunnel è attivo.

Routing e accesso ai dispositivi LAN dietro MikroTik

Dal VPS: instrada verso la LAN MikroTik

Per consentire al VPS (o altri peer) di raggiungere 192.168.88.0/24 dietro MikroTik:

Sul VPS aggiungi una rotta:

ip route add 192.168.88.0/24 via 10.8.0.2

Sul MikroTik, abilita IP forwarding e opzionalmente src‑NAT per comodità:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Ora i servizi nella LAN del router sono raggiungibili dal VPS tramite il tunnel WireGuard.

Attenzione: Espandi solo reti di tua proprietà. Usa regole firewall per limitare host o porte accessibili.

Best practice di sicurezza

Usa coppie di chiavi uniche per dispositivo.
Limita AllowedIPs a quanto strettamente necessario.
Proteggi la porta WireGuard con firewall e monitoraggio.
Revoca dispositivi persi rimuovendo il peer.
Monitora handshake e salute della connessione.

Suggerimento: Il keepalive persistente mantiene le mappature NAT su connessioni consumer.

Gestione chiavi e automazione

Ruota le chiavi periodicamente.

Automatizza la creazione di peer con script per molteplici router.

Conserva le chiavi private in sicurezza — trattale come password.

Per fleet numerosi, considera un piano di controllo o un workflow di distribuzione chiavi.

Rapida comparazione

Soluzione	Base	Prestazioni	Facilità	Ideale per
WireGuard	VPN Kernel	Molto alta	Semplice	Collegamenti moderni ad alte prestazioni
OpenVPN	TLS/OpenSSL	Media	Complessa	Dispositivi legacy e setup PKI complessi
Tailscale	WireGuard + control plane	Alta	Molto facile	Team, accessi basati su identità
ZeroTier	Rete mesh personalizzata	Alta	Facile	Reti mesh flessibili

Integrazioni e usi

WireGuard si integra con monitoraggio (SNMP), TR‑069, TR‑369 e sistemi di orchestrazione.

Usalo per gestione remota, backhaul provider o tunnel sicuri verso servizi cloud.

Dove MKController aiuta:

NATCloud di MKController elimina la gestione manuale dei tunnel. Offre accesso centralizzato, monitoraggio e onboarding semplificato — senza la complessità delle chiavi per dispositivo.

Conclusione

WireGuard elimina la complessità VPN senza compromettere la sicurezza.

È veloce, portabile e ideale per abbinamenti MikroTik e VPS.

Usalo per costruire accessi remoti affidabili, con routing logico e buona igiene di rete.

Informazioni su MKController

Speriamo che queste informazioni ti abbiano aiutato a gestire meglio il tuo universo MikroTik e Internet! 🚀
Che tu stia affinando configurazioni o cercando di mettere ordine nel caos di rete, MKController è qui per semplificarti la vita.

Con gestione cloud centralizzata, aggiornamenti di sicurezza automatici e una dashboard facile da usare, abbiamo ciò che serve per migliorare la tua operatività.

👉 Inizia subito la prova gratuita di 3 giorni su mkcontroller.com — e scopri cosa significa davvero controllo di rete senza sforzo.