Pāriet uz saturu
Blog

Kā pārvaldīt Mikrotik ar WireGuard

Kopsavilkums
Praktisks WireGuard ceļvedis: uzstādi VPS serveri, konfigurē MikroTik klientu, paziņo apakštīklu maršrutus un ievēro drošības praksi uzticamai tālvadībai.

Tālvadības MikroTik pārvaldība ar WireGuard

WireGuard ir mūsdienīgs, minimālistisks VPN, kas šķiet kā veiktspējas burvība.

Tas ir viegls. Ātrs. Drošs.

Ideāli piemērots VPS un MikroTik savienošanai vai tīklu apvienošanai internetā.

Šis ceļvedis sniedz komandas kopēšanai, konfigurāciju piemērus un vērtīgus padomus.

Kas ir WireGuard?

WireGuard ir viegls 3. līmeņa VPN, ko izstrādājis Džeisons Donenfelds.

Tas izmanto mūsdienīgu kriptogrāfiju: Curve25519 atslēgu apmaiņai un ChaCha20-Poly1305 šifrēšanai.

Nav nepieciešami sertifikāti. Vienkārši atslēgu pāri. Mazs koda apjoms.

Vienkāršība nodrošina mazāk negaidītu problēmu un labāku caurlaidspēju.

Kā darbojas WireGuard — svarīgākās lietas

Katrai pusei ir privātā un publiskā atslēga.

Puses sasaista publiskās atslēgas ar atļautajām IP un gala punktiem (IP:ports).

Satiksme balstīta uz UDP un darbojas tieši starp pusēm.

Nav obligāts centrālais serveris — bet VPS bieži kalpo kā stabils savienošanās punkts.

Galvenie ieguvumi

  • Augsta caurlaidspēja un zems CPU patēriņš.
  • Minimāls, viegli pārbaudāms koda apjoms.
  • Vienkārši konfigurācijas faili katrai pusei.
  • Strādā labi ar NAT un CGNAT.
  • Daudzplatformu atbalsts: Linux, Windows, macOS, Android, iOS, MikroTik.

Serveris: WireGuard VPS (Ubuntu) vidē

Šie soļi ļaus izveidot vienkāršu serveri, kuram var pieslēgties puses.

1) Instalē WireGuard

Terminal window
apt update && apt install -y wireguard

2) Ģenerē servera atslēgas

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Izveido /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# piemērs pusei (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Iespējo un palaid WireGuard

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Ugunsmūris

Terminal window
ufw allow 51820/udp
# vai izmanto nftables/iptables pēc vajadzības

Padoms: Izmanto nestandarta UDP portu, lai izvairītos no automātiskām skenēšanām.

MikroTik: konfigurē kā WireGuard pusi

RouterOS 7.x+ iebūvēts WireGuard atbalsts.

1) Pievieno WireGuard interfeisu

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Pievieno serveri kā pusi

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Pārbaudi statusu

/interface/wireguard/print
/interface/wireguard/peers/print

Kad pusē ir handshake aktivitāte un latest-handshake ir nesens, tunelis darbojas.

Maršrutēšana un piekļuve LAN ierīcēm aiz MikroTik

No VPS: maršruts uz MikroTik LAN

Ja vēlies, lai VPS (vai citas puses) sasniedz 192.168.88.0/24 aiz MikroTik:

VPS pievieno maršrutu:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

MikroTik ieslēdz IP pārsūtīšanu un pēc izvēles src‑NAT vienkāršībai:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Tagad maršrutētāja LAN pakalpojumi ir pieejami no VPS WireGuard tunelī.

Brīdinājums: Atklāj tikai tās tīklus, ko kontrolē. Ierobežo piekļuvi ar ugunsmūra noteikumiem.

Drošības labākā prakse

  • Izmanto unikālas atslēgas katrai ierīcei.
  • Ierobežo AllowedIPs tikai nepieciešamajam.
  • Aizsargā WireGuard portu ar ugunsmūri un monitorē to.
  • Atcelsi pazudušās ierīces no pusēm.
  • Uzraugi roku satvērienus un savienojumu veselību.

Padoms: Pastāvīga keepalive uztur NAT maršrutus pat mājas tīklos.

Atslēgu pārvaldība un automatizācija

Rotē atslēgas periodiski.

Automatizē pošu izveidi ar skriptiem, pārvaldot daudzus maršrutētājus.

Glabā privātās atslēgas droši — tās ir kā paroles.

Lielākām sistēmām apsver vadības plānu vai atslēgu sadales procesu.

Ātra salīdzināšana

RisinājumsPamatsVeiktspējaVienkāršībaPiemērots priekš
WireGuardKodolā VPNĻoti augstaVienkāršsMūsdienīgi, ātri savienojumi
OpenVPNTLS/OpenSSLVidējaKomplicētsVecākas ierīces un PKI sistēmas
TailscaleWireGuard + vadībaAugstaĻoti viegliKomandas, identitātes piekļuve
ZeroTierPatstāvīgs tīklsAugstaViegliElastīgi tīkli

Integrācijas un pielietojumi

WireGuard labi strādā ar uzraudzību (SNMP), TR‑069, TR‑369 un (orkestrācijas) sistēmām.

Izmanto tālvadībai, pakalpojumu nodrošinātāju savienojumiem vai drošiem tunelēm mākoņpakalpojumiem.

Kur MKController palīdz:

MKController NATCloud atvieglo tunelu izveidi, nodrošina centralizētu piekļuvi, monitoringu un vienkāršāku ieviešanu bez atslēgu manuālas pārvaldības.

Secinājums

WireGuard noņem VPN sarežģītību, nezaudējot drošību.

Tas ir ātrs, pārnēsājams un ideāli piemērots MikroTik un VPS savienojumiem.

Izmanto to uzticamai tālvadības piekļuvei ar saprātīgu maršrutēšanu un labu praksi.

Par MKController

Ceram, ka šie padomi palīdzēs labāk pārvaldīt MikroTik un interneta vidi! 🚀
Neatkarīgi no tā, vai pielāgo konfigurācijas vai kārto tīkla kārtību, MKController padara dzīvi vienkāršāku.

Ar centralizētu mākoņvadību, automātiskām drošības atjauninājumiem un intuitīvu paneli, mums ir viss nepieciešamais, lai uzlabotu tavu tīkla darbību.

👉 Sāc bezmaksas 3 dienu izmēģinājumu tagad vietnē mkcontroller.com — un pārliecinies, cik vienkārša var būt tīkla pārvaldība.