Salta ai contenuti
Blog

Come Configurare una VPN Client WireGuard su MikroTik

Sommario > Impara a configurare un router MikroTik come client WireGuard. Questa guida tecnica copre generazione chiavi, configurazione peer e tecniche avanzate di routing come regole Mangle e un ‘Kill Switch’ per evitare perdite di dati.

Come Configurare una VPN Client WireGuard su MikroTik

WireGuard ha rivoluzionato il modo in cui pensiamo alle VPN su router MikroTik. Da quando RouterOS v7 è stato rilasciato, gli utenti hanno accesso a un protocollo molto più veloce e semplice da verificare rispetto a opzioni legacy come OpenVPN o L2TP/IPsec. In questa guida, spiegheremo il processo tecnico per configurare il tuo MikroTik come client WireGuard, focalizzandoci soprattutto sul controllo dettagliato del traffico locale.

Ottenere le Credenziali WireGuard

Prima di aprire WinBox, ti serve una configurazione dal tuo provider VPN (es. Proton VPN o NordVPN). WireGuard si basa sullo scambio di una coppia di chiavi pubblica/privata. Assicurati di avere a disposizione:

  • Chiave Privata: Per l’interfaccia MikroTik.
  • Chiave Pubblica: Del server VPN.
  • Indirizzo & Porta Endpoint: IP o URL del server.
  • IP Consentiti: In genere 0.0.0.0/0 per un tunnel completo.
MikroTik WireGuard Interface Configuration

Passo 1: Creare l’Interfaccia WireGuard

Per prima cosa, definiamo l’interfaccia tunnel sul router MikroTik.

  1. Apri WinBox e vai al menu WireGuard.
  2. Clicca il pulsante + per aggiungere una nuova interfaccia.
  3. Nominala WG-Client.
  4. Incolla la tua Chiave Privata. MikroTik genererà automaticamente la Chiave Pubblica corrispondente.
  5. Clicca su OK.

Poi assegna l’indirizzo IP fornito dal servizio VPN a questa interfaccia sotto IP > Indirizzi.

Passo 2: Configurare il Peer

Il “Peer” è il server remoto a cui ti connetti.

  1. Nella finestra WireGuard, vai alla scheda Peers.
  2. Seleziona l’interfaccia WG-Client.
  3. Inserisci la Chiave Pubblica del server remoto.
  4. Imposta Endpoint e Porta Endpoint.
  5. In IP Consentiti, inserisci 0.0.0.0/0 (permette il passaggio di traffico ma non instrada automaticamente tutto).
Adding a WireGuard Peer in WinBox

Passo 3: Routing Policy-Based (PBR)

Di solito non vuoi che tutta la tua rete passi dalla VPN. Potresti voler far transitare solo un server o un PC specifico. Lo otteniamo con le regole Mangle.

  1. Vai su IP > Firewall > Mangle.
  2. Crea una nuova regola: Catena: prerouting.
  3. Indirizzo Sorgente: Inserisci l’IP locale del dispositivo da instradare (es. 192.168.88.50).
  4. Azione: mark routing.
  5. Nuovo Segno di Routing: chiamalo via-wireguard.
  6. Deseleziona “Pass Through”.
MikroTik Mangle Rule for Routing Marks

Passo 4: Instradamento e il “Kill Switch”

Ora indica al router che qualsiasi traffico marcato via-wireguard deve passare attraverso il tunnel.

  1. Vai su IP > Routes.
  2. Aggiungi una nuova rotta: Gateway: WG-Client, Tabella di Routing: via-wireguard.
  3. Il Kill Switch: aggiungi una seconda rotta con la stessa tabella di routing (via-wireguard), ma imposta Tipo su blackhole e una distanza superiore.

Nota: La rotta blackhole garantisce che se il tunnel WireGuard cade, il traffico del dispositivo venga semplicemente bloccato invece di “fuoriuscire” attraverso la normale connessione ISP.

Configuring Blackhole Routes for VPN Kill Switch

Info su MKController

Speriamo che questi suggerimenti ti abbiano aiutato a gestire meglio il tuo MikroTik e il mondo Internet! 🚀
Che tu stia affinando configurazioni o cercando solo ordine nel caos di rete, MKController rende tutto più semplice.

Con gestione cloud centralizzata, aggiornamenti di sicurezza automatici e una dashboard facile da usare, abbiamo quello che serve per migliorare la tua operatività.

👉 Inizia ora la prova gratuita di 3 giorni su mkcontroller.com — scopri cosa significa avere un controllo di rete senza sforzi.