Przejdź do głównej zawartości
Blog

Jak Skonfigurować WireGuard VPN jako klient MikroTik

Podsumowanie > Dowiedz się, jak skonfigurować router MikroTik jako klienta WireGuard. Ten poradnik techniczny obejmuje generowanie kluczy, konfigurację peerów i zaawansowane techniki routingu jak reguły Mangle oraz implementację ‘Kill Switch’, by zapobiec wyciekom danych.

Jak Skonfigurować WireGuard VPN jako klient MikroTik

WireGuard zrewolucjonizował sposób myślenia o VPN na routerach MikroTik. Od wersji RouterOS v7 użytkownicy mają dostęp do protokołu, który jest zauważalnie szybszy i łatwiejszy do audytu niż starsze opcje jak OpenVPN czy L2TP/IPsec. W tym przewodniku przeprowadzimy cię przez proces techniczny skonfigurowania MikroTik jako klienta WireGuard, skupiając się na precyzyjnej kontroli lokalnego ruchu.

Uzyskanie danych uwierzytelniających WireGuard

Zanim otworzysz WinBox, potrzebujesz konfiguracji od swojego dostawcy VPN (np. Proton VPN lub NordVPN). WireGuard opiera się na wymianie par kluczy publiczny/prywatny. Upewnij się, że masz przygotowane następujące informacje:

  • Klucz prywatny: Dla interfejsu MikroTik.
  • Klucz publiczny: Z serwera VPN.
  • Adres i port endpointu: IP lub URL serwera.
  • Dopuszczalne IP: Zazwyczaj 0.0.0.0/0 dla pełnego tunelu.
MikroTik WireGuard Interface Configuration

Krok 1: Utwórz interfejs WireGuard

Najpierw zdefiniuj interfejs tunelowy na routerze MikroTik.

  1. Otwórz WinBox i przejdź do menu WireGuard.
  2. Kliknij przycisk +, aby dodać nowy interfejs.
  3. Nazwij go WG-Client.
  4. Wklej swój Klucz prywatny. MikroTik automatycznie wygeneruje odpowiadający klucz publiczny.
  5. Kliknij OK.

Następnie przypisz adres IP dostarczony przez usługę VPN do nowego interfejsu w IP > Addresses.

Krok 2: Skonfiguruj Peera

“Peer” to zdalny serwer, z którym się łączysz.

  1. W oknie WireGuard przejdź do zakładki Peers.
  2. Wybierz interfejs WG-Client.
  3. Wprowadź klucz publiczny zdalnego serwera.
  4. Ustaw Endpoint i Port endpointu.
  5. W polu Dopuszczalne IP wpisz 0.0.0.0/0 (to pozwala na ruch, ale nie ustawia automatycznie routingu dla wszystkiego).
Adding a WireGuard Peer in WinBox

Krok 3: Trasowanie oparte na polityce (PBR)

Zwykle nie chcesz, żeby cała sieć korzystała z VPN. Może chcesz, by tylko konkretny serwer lub komputer używał tunelu. Używamy do tego reguł Mangle.

  1. Przejdź do IP > Firewall > Mangle.
  2. Utwórz nową regułę: Chain: prerouting.
  3. Adres źródłowy: Podaj lokalny adres IP urządzenia, które chcesz tunelować (np. 192.168.88.50).
  4. Akcja: mark routing.
  5. Nowa etykieta routingu: Nazwij ją via-wireguard.
  6. Odznacz opcję “Pass Through”.
MikroTik Mangle Rule for Routing Marks

Krok 4: Routing i “Kill Switch”

Teraz powiedz routerowi, że cały ruch oznaczony via-wireguard musi iść przez tunel.

  1. Przejdź do IP > Routes.
  2. Dodaj nową trasę: Gateway: WG-Client, Routing Table: via-wireguard.
  3. Kill Switch: Dodaj drugą trasę z tym samym Routing Table (via-wireguard), ale ustaw Typ na blackhole i wyższą odległość.

Uwaga: trasa blackhole gwarantuje, że jeśli tunel WireGuard przestanie działać, ruch urządzenia będzie odrzucany, zamiast przeciekać przez standardowego ISP.

Configuring Blackhole Routes for VPN Kill Switch

O MKController

Mamy nadzieję, że powyższe wskazówki pomogły lepiej zarządzać twoim MikroTik i światem Internetu! 🚀
Niezależnie czy optymalizujesz konfiguracje, czy porządkujesz chaos sieci, MKController jest tu, by uprościć twoją pracę.

Dzięki centralnemu zarządzaniu w chmurze, automatycznym aktualizacjom bezpieczeństwa i panelowi, który opanuje każdy, mamy narzędzia do modernizacji twojej infrastruktury.

👉 Rozpocznij darmowy 3-dniowy trial na mkcontroller.com — i zobacz, jak wygląda prawdziwie prosta kontrola sieci.