Ga naar inhoud
Blog

Beheer uw MikroTik met WireGuard VPN

Samenvatting
Een praktische WireGuard-gids: stel een VPS-server in, configureer een MikroTik-client, adverteer subnetroutes en volg beveiligingsrichtlijnen voor betrouwbare externe toegang.

Extern MikroTik beheer met WireGuard

WireGuard is een moderne, minimalistische VPN die als magische prestatie aanvoelt.

Het is slank. Snel. Veilig.

Perfect om een VPS en MikroTik te verbinden, of netwerken via internet aan elkaar te koppelen.

Deze gids bevat copy-paste commando’s, config voorbeelden en waardevolle tips.

Wat is WireGuard?

WireGuard is een lichte Layer-3 VPN bedacht door Jason Donenfeld.

Het gebruikt moderne cryptografie: Curve25519 voor sleuteluitwisseling en ChaCha20-Poly1305 voor encryptie.

Geen certificaten. Simpele sleutelpaaren. Kleine codebasis.

Die eenvoud zorgt voor minder verrassingen en betere doorvoer.

Hoe WireGuard werkt — de basis

Elke peer heeft een private en publieke sleutel.

Peers koppelen publieke sleutels aan toegestane IPs en endpoints (IP:poort).

Verkeer is UDP-gebaseerd en peer-to-peer van aard.

Een centrale server is niet verplicht — maar een VPS fungeert vaak als stabiel trefpunt.

Voordelen in één oogopslag

  • Hoge doorvoer en laag CPU-gebruik.
  • Minimale, controleerbare codebasis.
  • Eenvoudige configbestanden per peer.
  • Goed te gebruiken met NAT en CGNAT.
  • Cross-platform: Linux, Windows, macOS, Android, iOS, MikroTik.

Server: WireGuard op een VPS (Ubuntu)

Volg deze stappen om een basisserver op te zetten waar peers verbinding mee maken.

1) WireGuard installeren

Terminal window
apt update && apt install -y wireguard

2) Serversleutels genereren

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Maak /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# voorbeeld peer (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Schakel in en start

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Firewall regelen

Terminal window
ufw allow 51820/udp
# of gebruik nftables/iptables afhankelijk van uw setup

Tip: Gebruik een niet-standaard UDP-poort om geautomatiseerde scans te vermijden.

MikroTik: configureren als WireGuard-peer

RouterOS heeft ingebouwde WireGuard-ondersteuning (RouterOS 7.x+).

1) Voeg de WireGuard-interface toe

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Voeg de server toe als peer

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Controleer de status

/interface/wireguard/print
/interface/wireguard/peers/print

Wanneer de peer handshake activiteit toont en latest-handshake recent is, is de tunnel actief.

Routing en toegang tot LAN-apparaten achter MikroTik

Vanaf de VPS: route naar het MikroTik LAN toevoegen

Wil je dat de VPS (of andere peers) 192.168.88.0/24 achter de MikroTik bereiken:

Voeg op de VPS een route toe:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

Schakel op de MikroTik IP-forwarding in en optioneel src-NAT voor eenvoud:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Nu worden services op het LAN van de router bereikbaar vanaf de VPS via de WireGuard-tunnel.

Waarschuwing: Stel alleen netwerken bloot die je beheert. Gebruik firewallregels om hosts of poorten te beperken.

Veiligheidsrichtlijnen

  • Gebruik unieke sleutelpaaren per apparaat.
  • Beperk AllowedIPs tot het strikt noodzakelijke.
  • Houd de WireGuard-poort achter een firewall en monitor deze.
  • Verwijder verloren apparaten door hun peer-entry te verwijderen.
  • Monitor handshakes en verbindingsstatus.

Tip: Persistent keepalive helpt NAT-mapping behouden op consumentenverbindingen.

Sleutelbeheer en automatisering

Roteer sleutels regelmatig.

Automatiseer peer-creatie met scripts bij beheer van vele routers.

Bewaar private sleutels veilig — behandel als wachtwoorden.

Voor grotere fleets overweeg een kleine control-plane of sleuteluitdelingsproces.

Korte vergelijking

OplossingBasisPrestatiesGebruiksgemakBeste voor
WireGuardKernel VPNZeer hoogSimpelModerne, snelle verbindingen
OpenVPNTLS/OpenSSLGemiddeldComplexLegacy-apparaten en PKI-intensief
TailscaleWireGuard + control-planeHoogErg makkelijkTeams, identiteitsgebaseerde toegang
ZeroTierEigen meshHoogMakkelijkFlexibele mesh-netwerken

Integraties en toepassingen

WireGuard werkt goed met monitoring (SNMP), TR-069, TR-369 en orkestratiesystemen.

Gebruik het voor extern beheer, provider backhauls of veilige tunnels naar clouddiensten.

Waar MKController helpt:

MKController’s NATCloud verwijdert handmatig tunnelbeheer. Het biedt gecentraliseerde toegang, monitoring en eenvoudigere onboarding — geen per-apparaat sleutelbeheer.

Conclusie

WireGuard vereenvoudigt VPN zonder in te leveren op veiligheid.

Het is snel, draagbaar en ideaal voor MikroTik-VPS koppelingen.

Gebruik het voor betrouwbare externe toegang, met nette routing en goede hygiëne.

Over MKController

Hopelijk hebben de inzichten hierboven u geholpen uw MikroTik en internetomgeving beter te doorgronden! 🚀
Of u nu configs verfijnt of orde schept in netwerkwanorde, MKController maakt het u makkelijk.

Met gecentraliseerd cloudbeheer, automatische beveiligingsupdates en een dashboard dat iedereen onder de knie krijgt, hebben wij wat nodig is om uw netwerk te upgraden.

👉 Start nu uw gratis proefperiode van 3 dagen op mkcontroller.com — en ervaar moeiteloze netwerkbesturing.