Перейти к содержимому
MKController Blog
InstagramYouTubeFacebook

Tutorial

Настройка VPN WireGuard на MikroTik

Настройте маршрутизатор MikroTik как клиент WireGuard с маршрутизацией по политике и Kill Switch за пять шагов в RouterOS v7.

MKController5 min read

Краткое описание WireGuard работает на маршрутизаторах MikroTik нативно начиная с RouterOS v7 и является самым быстрым и простым способом направить отдельные устройства LAN через VPN-туннель. В этом руководстве MikroTik настраивается как клиент WireGuard, добавляется маршрутизация по политике, чтобы туннель использовали только выбранные вами устройства, и устанавливается blackhole-маршрут в роли Kill Switch, который отбрасывает трафик при падении туннеля, а не выпускает его через ISP.

Как WireGuard работает на MikroTik?

WireGuard — это современный VPN-протокол, который поставляется нативно в RouterOS v7: без дополнительных пакетов, без контейнера, без модулей ядра, которые нужно собирать. На маршрутизаторе MikroTik вы создаёте интерфейс WireGuard, назначаете ему IP туннеля от VPN-провайдера, добавляете peer (удалённый сервер) с его публичным ключом и endpoint, а затем с помощью маршрутизации по политике решаете, какой именно локальный трафик пойдёт через туннель.

Результат — быстрый и проверенный криптографический туннель, который заметно опережает OpenVPN или L2TP/IPsec на том же железе. Протокол спроектирован так, чтобы занимать несколько тысяч строк кода, а не десятки тысяч, поэтому он быстрее работает и его легче проверять исследователям безопасности.

Получите ваши учётные данные WireGuard

Прежде чем открывать Winbox, соберите конфигурацию у вашего VPN-провайдера (Proton VPN, Mullvad, NordVPN или собственный сервер WireGuard). Вам понадобятся четыре параметра:

  • Private Key: назначается интерфейсу вашего MikroTik. Портал провайдера обычно выдаёт конфиг-файл, содержащий этот ключ.
  • Public Key: принадлежит удалённому серверу. MikroTik использует его для аутентификации peer.
  • Адрес и порт Endpoint: IP или имя хоста сервера и UDP-порт, на котором он слушает (обычно 51820).
  • Allowed IPs: обычно 0.0.0.0/0 для полного туннеля, через который пойдёт весь трафик. Сузьте, если хотите пропускать только отдельные подсети.
Настройка интерфейса WireGuard MikroTik в Winbox

Шаг 1: Создайте интерфейс WireGuard

В Winbox откройте меню WireGuard и нажмите +, чтобы добавить новый интерфейс. Назовите его WG-Client, вставьте Private Key, полученный от провайдера, и нажмите OK — MikroTik автоматически выведет соответствующий публичный ключ. В IP → Addresses добавьте IP, который провайдер назначил вашему туннелю (например, 10.66.66.2/32).

Шаг 2: Настройте peer

Peer — это удалённый сервер, к которому вы подключаетесь. В окне WireGuard перейдите на вкладку Peers и добавьте peer, указывающий на интерфейс WG-Client:

  • Public Key: публичный ключ сервера.
  • Endpoint и Endpoint Port: IP и UDP-порт сервера.
  • Allowed IPs: 0.0.0.0/0. Это разрешает всему трафику проходить через туннель — но пока ничего не маршрутизирует. Маршрутизация выполняется на Шаге 4.
Добавление peer WireGuard в Winbox

Шаг 3: Маршрутизация по политике (PBR)

Обычно вам не нужно пускать через VPN всю LAN — только отдельные устройства, например рабочую станцию, которой нужен доступ к географически ограниченному сервису, или медиа-сервер, обрабатывающий чувствительный к приватности трафик. MikroTik решает это правилами Mangle, которые маркируют пакеты, и таблицами маршрутизации, действующими по этим меткам.

  1. Перейдите в IP → Firewall → Mangle.
  2. Добавьте новое правило с Chain: prerouting.
  3. Установите Src. Address в локальный IP устройства, которое нужно пустить через туннель (например, 192.168.88.50).
  4. Установите Action в mark routing.
  5. Установите New Routing Mark в via-wireguard.
  6. Снимите галочку “Pass Through” — без этого последующие правила могут перезаписать метку и туннель отвалится.
Правило Mangle MikroTik, маркирующее трафик для маршрутизации WireGuard

Шаг 4: Маршрутизация и Kill Switch

Теперь скажите маршрутизатору, что любой пакет с меткой via-wireguard должен идти через туннель.

  1. Перейдите в IP → Routes.
  2. Добавьте новый маршрут: Gateway: WG-Client, Routing Table: via-wireguard, Distance: 1.
  3. Добавьте Kill Switch — добавьте второй маршрут с той же Routing Table (via-wireguard), установите Type в blackhole и задайте большую Distance (например, 10).

Blackhole-маршрут — это ключевой элемент. Если туннель WireGuard падает, обычный маршрут исчезает, blackhole берёт верх, и пакеты, попавшие под правило Mangle, тихо отбрасываются, а не уходят обратно через ISP — никаких утечек DNS, никаких утечек IP, никакого нешифрованного трафика через WAN.

Таблица маршрутизации MikroTik с blackhole Kill Switch для WireGuard

Проверьте туннель

С устройства, которое вы отметили для прохода через туннель, зайдите на сайт типа ifconfig.me или whatismyip.com. Он должен показать IP VPN-сервера, а не вашего ISP. Затем на MikroTik выполните:

/interface/wireguard/peers print stats

У работающего peer показываются свежие счётчики байт rx и tx, которые растут по мере генерации трафика. Если счётчики остаются на нуле, чаще всего причина — отсутствующий или неверный endpoint port, либо firewall на WAN, отбрасывающий исходящий UDP.

Советы

  • Держите дистанцию Kill Switch выше дистанции рабочего маршрута — если вы случайно поменяете их местами, blackhole станет основным, и весь туннелированный трафик пропадёт, даже когда туннель поднят.
  • Если вы управляете несколькими устройствами MikroTik удалённо через один туннель, посмотрите наше руководство по удалённому управлению через SSTP для дополняющего протокола или WireGuard для удалённого управления MikroTik для полного сценария удалённого администрирования.
  • WireGuard не пытается агрессивно повторять рукопожатия, когда endpoint недоступен; если ваш VPN-провайдер ротирует серверы, планируйте также ротировать конфигурацию endpoint.

Сделайте следующий шаг

WireGuard на одном MikroTik настраивается за двадцать минут. Поддерживать ту же конфигурацию — те же ключи, ротируемые по расписанию, то же правило Kill Switch, те же метки Mangle — на парке площадок уже требует операционной дисциплины. Возникает дрейф: инженер меняет правило Mangle для одного клиента, маршрутизатор сбрасывается и Kill Switch исчезает, ротация ключей пропускает одно устройство.

MKController доставляет одну и ту же конфигурацию WireGuard, Mangle и маршрутизации на каждый MikroTik в вашем инвентаре и выделяет устройства, отклонившиеся от шаблона. Когда туннель падает или Kill Switch отсутствует у клиента, панель сигнализирует об этом раньше, чем заметит клиент.

Начните бесплатную пробную версию MKController