Preskočiť na obsah
Blog

Správa Mikrotiku pomocou WireGuard

Zhrnutie
Praktický návod na WireGuard: nastavte VPS server, MikroTik klienta, inzerujte subnet routy a dodržiavajte bezpečnostné postupy pre spoľahlivý vzdialený prístup.

Vzdialená správa MikroTiku pomocou WireGuard

WireGuard je moderná, minimalistická VPN, ktorá pôsobí ako kúzlo výkonu.

Je štíhla. Rýchla. Bezpečná.

Ideálna pre prepojenie VPS a MikroTik, alebo na prepojenie sietí cez internet.

Tento návod obsahuje príkazy na kopírovanie, príklady konfigurácie a cenné tipy.

Čo je WireGuard?

WireGuard je ľahká VPN na vrstve 3, ktorú predstavil Jason Donenfeld.

Používa modernú kryptografiu: Curve25519 pre dohodu kľúčov a ChaCha20-Poly1305 na šifrovanie.

Bez certifikátov. Jednoduché kľúčové páry. Malý kód.

Táto jednoduchosť znamená menej prekvapení a lepšiu priepustnosť.

Ako WireGuard funguje – základné princípy

Každý peer má súkromný a verejný kľúč.

Peers mapujú verejné kľúče na povolené IP adresy a endpointy (IP:port).

Prevádzka je UDP a peer-to-peer podľa návrhu.

Centrálny server nie je povinný – no VPS často slúži ako stabilný bod stretnutia.

Výhody na prvý pohľad

  • Vysoká priepustnosť a nízka záťaž CPU.
  • Minimalistický, auditovateľný kód.
  • Jednoduché konfiguračné súbory pre každý peer.
  • Funguje dobre cez NAT a CGNAT.
  • Viac platformový: Linux, Windows, macOS, Android, iOS, MikroTik.

Server: WireGuard na VPS (Ubuntu)

Tieto kroky nastavia základný server pre pripojenie peerov.

1) Inštalácia WireGuard

Terminal window
apt update && apt install -y wireguard

2) Generovanie serverových kľúčov

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Vytvorte /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# príklad peeru (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Povoľte a spustite službu

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Firewall

Terminal window
ufw allow 51820/udp
# alebo použite nftables/iptables podľa potreby

Tip: Použite nestandardný UDP port, ak chcete vyhnúť automatickým skenom.

MikroTik: konfigurácia ako WireGuard peer

RouterOS má zabudovanú podporu WireGuard (RouterOS 7.x+).

1) Pridajte WireGuard rozhranie

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Pridajte server ako peer

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Skontrolujte stav

/interface/wireguard/print
/interface/wireguard/peers/print

Keď peer vykazuje aktivitu handshake a latest-handshake je nedávny, tunel je funkčný.

Routovanie a prístup k zariadeniam LAN za MikroTikom

Z VPS: routovanie do LAN MikroTiku

Ak chcete, aby VPS (alebo iné peers) dosiahli sieť 192.168.88.0/24 za MikroTikom:

Na VPS pridajte routu:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

Na MikroTik povoľte IP forwarding a voliteľne src-NAT pre jednoduchosť:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Teraz sú služby v LAN routera dostupné z VPS cez WireGuard tunel.

Varovanie: Zverejňujte len siete, ktoré vlastníte. Použite firewall pravidlá na obmedzenie prístupnosti hostiteľov a portov.

Bezpečnostné odporúčania

  • Používajte jedinečné kľúčové páry pre každé zariadenie.
  • Obmedzte AllowedIPs len na nevyhnutné.
  • Chráňte WireGuard port firewallom a monitorujte ho.
  • Zablokujte stratené zariadenia odstránením ich peer záznamu.
  • Sledujte handshake a stav spojenia.

Tip: Persistent keepalive pomáha udržať NAT mapovania na spotrebiteľských linkách.

Správa kľúčov a automatizácia

Kľúče pravidelne rotujte.

Automatizujte tvorbu peerov skriptmi pri správe veľkého množstva routerov.

Súkromné kľúče uschovajte bezpečne — zaobchádzajte s nimi ako s heslami.

Pre flotily zvážte malú kontrolnú rovinu alebo workflow distribúcie kľúčov.

Rýchle porovnanie

RiešenieZákladVýkonJednoduchosťNajlepšie pre
WireGuardKernel VPNVeľmi vysokýJednoduchýModerné, výkonné linky
OpenVPNTLS/OpenSSLStrednýZložitýStaršie zariadenia a PKI nastavenia
TailscaleWireGuard + kontrolná rovinaVysokýVeľmi jednoduchýTímy, prístup založený na identite
ZeroTierVlastná mesh sieťVysokýJednoduchýFlexibilné mesh siete

Integrácie a použitie

WireGuard dobre spolupracuje s monitorovacími systémami (SNMP), TR-069, TR-369 a orchestration systémami.

Používajte ho pre vzdialenú správu, spätné prepojenia poskytovateľov alebo bezpečné tunely do cloudových služieb.

Kde MKController pomáha:

MKController NATCloud eliminuje manuálne nastavenie tunelov. Poskytuje centralizovaný prístup, monitoring a jednoduchšie zavádzanie – bez nutnosti spravovať kľúče pre každé zariadenie.

Záver

WireGuard zjednodušuje VPN bez obetovania bezpečnosti.

Je rýchly, prenosný a ideálny pre kombinácie MikroTik a VPS.

Použite ho na spoľahlivý vzdialený prístup s rozumným routovaním a dobrou praxou.

O MKController

Dúfame, že vám tieto informácie pomohli lepšie sa orientovať vo svete MikroTiku a internetu! 🚀
Či už dolaďujete konfigurácie alebo usporiadavate sieťový chaos, MKController je tu, aby vám život zjednodušil.

S centralizovanou správou v cloude, automatickými bezpečnostnými aktualizáciami a dashboardom pre každého — máme všetko, čo potrebujete na vylepšenie vašej prevádzky.

👉 Začnite si bezplatnú 3-dňovú skúšobnú verziu teraz na mkcontroller.com — a uvidíte, ako vyzerá skutočná jednoduchá kontrola siete.