Skip to content
Blog

Valdykite savo Mikrotik su WireGuard

Santrauka
Praktinis WireGuard vadovas: nustatykite VPS serverį, sukonfigūruokite MikroTik klientą, skelbkite potinklio maršrutus ir taikykite saugos principus patikimam nuotoliniam prisijungimui.

Nuotolinis MikroTik valdymas naudojant WireGuard

WireGuard yra modernus, minimalus VPN, kuris atrodo kaip našumo stebuklas.

Jis yra lengvas. Greitas. Saugus.

Idealus VPS ir MikroTik sujungimui arba tinklų sujungimui per internetą.

Šis vadovas pateikia komandų kopijavimą, konfigūracijų pavyzdžius ir naudingus patarimus.

Kas yra WireGuard?

WireGuard yra lengvas 3 lygmens VPN, kurį sukūrė Jason Donenfeld.

Jis naudoja modernią kriptografiją: Curve25519 raktų susitarimui ir ChaCha20-Poly1305 duomenų šifravimui.

Nereikia sertifikatų. Paprastos raktų poros. Mažas kodo tūris.

Tokia paprastumas reiškia mažiau netikėtumų ir geresnį pralaidumą.

Kaip veikia WireGuard — esmė

Kiekvienas mazgas turi privatų ir viešąjį raktą.

Viešieji raktai susiejami su leidžiamais IP adresais ir galiniais taškais (IP:portas).

Srautas yra UDP pagrindu ir tiesioginė peer-to-peer struktūra.

Centrinis serveris neprivalomas — bet VPS dažnai veikia kaip pastovus susitikimo taškas.

Privalumai apžvalgoje

  • Aukštas pralaidumas ir mažas CPU naudojimas.
  • Minimalus, tikrinamas kodo bazė.
  • Paprasti konfigūracijos failai kiekvienam mazgui.
  • Gerai veikia su NAT ir CGNAT.
  • Kryžminė platforma: Linux, Windows, macOS, Android, iOS, MikroTik.

Serveris: WireGuard VPS (Ubuntu) serveryje

Šie veiksmai nustato bazinį serverį, prie kurio gali jungtis mazgai.

1) Įdiekite WireGuard

Terminal window
apt update && apt install -y wireguard

2) Sugeneruokite serverio raktus

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Sukurkite /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# pavyzdinis mazgas (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Įjunkite ir paleiskite

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Ugniasienė

Terminal window
ufw allow 51820/udp
# arba naudokite nftables/iptables pagal poreikį

Patarimas: Naudokite nestandartinį UDP prievadą, jei norite išvengti automatinių nuskaitymų.

MikroTik: konfigūruokite kaip WireGuard mazgą

RouterOS turi integruotą WireGuard palaikymą (RouterOS 7.x+).

1) Pridėkite WireGuard sąsają

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Pridėkite serverį kaip mazgą

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Patikrinkite būseną

/interface/wireguard/print
/interface/wireguard/peers/print

Kai rodoma handshake veikla ir neseniai įvykęs latest-handshake, tunelis veikia.

Maršrutizavimas ir LAN įrenginių pasiekiamumas už MikroTik

Iš VPS: maršrutizavimas į MikroTik LAN

Jei norite, kad VPS (ar kiti mazgai) pasiektų 192.168.88.0/24 už MikroTik:

VPS pridėkite maršrutą:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

MikroTik įjunkite IP persiuntimą ir, jei reikia, src-NAT supaprastinimui:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Dabar maršrutizatoriaus LAN paslaugos pasiekiamos iš VPS per WireGuard tunelį.

Įspėjimas: Rodikite tik savo valdomus tinklus. Naudokite ugniasienės taisykles, kad apribotumėte prieigą prie prieglobos ar prievadų.

Saugos gerosios praktikos

  • Naudokite unikalius raktų rinkinius kiekvienam įrenginiui.
  • Ribokite AllowedIPs tik iki būtino.
  • Laikykite WireGuard prievadą uždarytą ugniasienėje ir stebėkite.
  • Pašalinkite prarastus įrenginius šalindami jų mazgų sąrašą.
  • Stebėkite handshake ir jungties būklę.

Patarimas: Nuolatinis keepalive padeda išlaikyti NAT žemėlapius vartotojų tinkluose.

Raktų valdymas ir automatizavimas

Periodiškai keiskite raktus.

Automatizuokite mazgų kūrimą skriptais valdant daug maršrutizatorių.

Privatūs raktai turi būti saugomi saugiai — elkitės su jais kaip su slaptažodžiais.

Dideliems tinklams apsvarstykite valdymo sluoksnį ar raktų paskirstymo darbo eigą.

Greita palyginimo lentelė

SprendimasBazėVeikimasPaprastumasGeriausia
WireGuardBranduolio VPNLabai didelisPaprastasModernūs, našūs ryšiai
OpenVPNTLS/OpenSSLVidutinisSudėtingasSenesni įrenginiai, PKI intensyvios konfigūracijos
TailscaleWireGuard + valdymo sluoksnisAukštasLabai paprastasKomandos, identiteto pagrindu veikianti prieiga
ZeroTierNestandartinė tinklelioAukštasLengvasLankstūs tinkleliai

Integracijos ir panaudojimas

WireGuard gerai integruojasi su stebėjimo sistemomis (SNMP), TR‑069, TR‑369 ir orkestravimo sistemomis.

Naudokite nuotoliniam valdymui, tiekėjų tinklų sujungimui ar saugioms jungtims į debesies paslaugas.

Kur MKController padeda:

MKController NATCloud pašalina rankines tunelio konfigūracijas. Jis suteikia centralizuotą prieigą, stebėjimą ir paprastesnį įvedimą – jokių atskirų raktų valdymo vargų.

Išvada

WireGuard pašalina VPN sudėtingumą nesumažindamas saugumo.

Jis yra greitas, nešiojamas ir idealus MikroTik ir VPS porų naudotojams.

Naudokite jį patikimam nuotoliniam prisijungimui, su tvarkinga maršrutizacija ir saugiu valdymu.

Apie MKController

Tikimės, kad pateikta informacija padėjo jums geriau suprasti MikroTik ir interneto universumą! 🚀
Nesvarbu, ar reguliuojate konfigūracijas, ar tiesiog siekiate sutvarkyti tinklo chaosą, MKController padės jums lengviau valdyti.

Su centralizuotu debesies valdymu, automatiniais saugos atnaujinimais ir paprasta valdymo pultu, turime viską, ko reikia jūsų operacijų patobulinimui.

👉 Pradėkite nemokamą 3 dienų bandomąją versiją dabar svetainėje mkcontroller.com — ir pamatykite, kas yra tikras tinklo valdymo paprastumas.