Gå til innholdet
Blog

Administrere Mikrotik med WireGuard enkelt

Sammendrag
En praktisk WireGuard-guide: sett opp en VPS-server, konfigurer en MikroTik-klient, annonser subnettruter, og følg sikkerhetsrutiner for pålitelig ekstern tilgang.

Fjernstyring av MikroTik med WireGuard

WireGuard er en moderne, minimal VPN som føles som magisk ytelse.

Den er slank. Rask. Sikker.

Perfekt for å koble en VPS og MikroTik, eller sy sammen nettverk over internett.

Denne guiden gir kopierbare kommandoer, konfigeksempler og gjennomprøvde tips.

Hva er WireGuard?

WireGuard er en lettvekts Layer-3 VPN utviklet av Jason Donenfeld.

Den bruker moderne kryptografi: Curve25519 for nøkkelutveksling og ChaCha20-Poly1305 for kryptering.

Ingen sertifikater. Enkle nøkkelpar. Liten kodebase.

Denne enkelheten gir færre overraskelser og bedre ytelse.

Hvordan WireGuard fungerer — det grunnleggende

Hver deltaker har en privat og en offentlig nøkkel.

Deltakere kobler offentlige nøkler til tillatte IP-er og endepunkter (IP:port).

Trafikken er UDP-basert og peer-to-peer av natur.

Ingen sentral server er påkrevd — men en VPS fungerer ofte som et stabilt møtested.

Fordeler ved første øyekast

  • Høy gjennomstrømming og lav CPU-bruk.
  • Minimal, reviderbar kodebase.
  • Enkle konfigurasjonsfiler per deltaker.
  • Fungerer godt med NAT og CGNAT.
  • Plattformuavhengig: Linux, Windows, macOS, Android, iOS, MikroTik.

Server: WireGuard på en VPS (Ubuntu)

Disse trinnene setter opp en enkel server som deltakere kan koble til.

1) Installer WireGuard

Terminal window
apt update && apt install -y wireguard

2) Generer servernøkler

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Lag /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# eksempel på deltaker (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Aktiver og start

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Brannmur

Terminal window
ufw allow 51820/udp
# eller bruk nftables/iptables etter behov

Tips: Bruk en uvanlig UDP-port om du vil unngå automatiske søk.

MikroTik: konfigurer som WireGuard-deltaker

RouterOS har innebygd WireGuard-støtte (RouterOS 7.x+).

1) Legg til WireGuard-grensesnittet

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Legg til serveren som deltaker

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Sjekk status

/interface/wireguard/print
/interface/wireguard/peers/print

Når deltaker viser handshake-aktivitet og latest-handshake er nylig, er tunnelen oppe.

Ruting og tilgang til LAN-enheter bak MikroTik

Fra VPS: rute til MikroTik LAN

Hvis du vil at VPS (eller andre deltakere) skal nå 192.168.88.0/24 bak MikroTik:

På VPS, legg til rute:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

På MikroTik, aktiver IP-forwarding og eventuelt src-NAT for enklere oppsett:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Nå blir tjenester på ruterenes LAN tilgjengelig fra VPS via WireGuard-tunnelen.

Advarsel: Eksponer kun nettverk du kontrollerer. Bruk brannmurregler for å begrense hvilke verter eller porter som er tilgjengelige.

Beste sikkerhetspraksis

  • Bruk unike nøkkelpar per enhet.
  • Begrens AllowedIPs til det som er nødvendig.
  • Hold WireGuard-porten bak brannmur og overvåk.
  • Fjern tapt enhet ved å slette dens deltakeroppføring.
  • Overvåk handshakes og forbindelsesstatus.

Tips: Persistent keepalive hjelper å opprettholde NAT-mappinger på forbrukerlinjer.

Nøkkelhåndtering og automatisering

Bytt nøkler jevnlig.

Automatiser deltakerskapning med skript når du administrerer mange routere.

Oppbevar private nøkler sikkert — behandle dem som passord.

For større installasjoner kan du vurdere en kontrollplan eller nøkkeldistribusjonsprosess.

Rask sammenligning

LøsningBasisYtelseEnkelhetBest for
WireGuardKernel VPNVeldig høyEnkelModerne, høytytende forbindelser
OpenVPNTLS/OpenSSLMiddelsKompleksEldre enheter og PKI-tunge oppsett
TailscaleWireGuard + kontrollplanHøyVeldig enkelTeam, identitetsbasert tilgang
ZeroTierTilpasset meshHøyEnkelFleksible meshnetteverk

Integrasjoner og bruksområder

WireGuard fungerer godt med overvåking (SNMP), TR-069, TR-369 og orkestreringssystemer.

Bruk det for fjernstyring, provider-backhaul eller sikre tunneler til skyløsninger.

Hvor MKController hjelper:

MKControllers NATCloud fjerner manuell tunnelkonfigurering. Gir sentralisert tilgang, overvåking og enklere onboarding — ingen nøkkelhåndtering per enhet.

Konklusjon

WireGuard fjerner VPN-kompleksitet uten å ofre sikkerhet.

Den er rask, bærbar og ideell for MikroTik og VPS.

Bruk den til å bygge pålitelig ekstern tilgang med fornuftig ruting og god praksis.

Om MKController

Håper innsikten ovenfor hjalp deg å navigere MikroTik- og Internett-universet ditt bedre! 🚀
Enten du finjusterer konfigurasjoner eller bare prøver å bringe orden i nettverkskaoset, er MKController her for å gjøre livet ditt enklere.

Med sentralisert skyadministrasjon, automatiske sikkerhetsoppdateringer og et dashboard alle kan mestre, har vi det som trengs for å oppgradere driften din.

👉 Start din gratis 3-dagers prøveperiode nåmkcontroller.com — og se hva problemfri nettverkskontroll virkelig betyr.