Preskočiť na obsah
Blog

Ako nastaviť WireGuard VPN klienta na MikroTik

Zhrnutie > Naučte sa nastaviť MikroTik router ako WireGuard klienta. Tento technický návod popisuje generovanie kľúčov, konfiguráciu peerov a pokročilé techniky smerovania, ako sú pravidlá Mangle pre tunelovanie konkrétnych zariadení a implementáciu ‘Kill Switch’ na prevenciu únikov dát.

Ako nastaviť WireGuard VPN klienta na MikroTik

WireGuard zmenil spôsob, akým vnímame VPN na MikroTik routeroch. Od vydania RouterOS v7 majú používatelia prístup k protokolu, ktorý je výrazne rýchlejší a ľahšie auditovateľný než staršie riešenia ako OpenVPN alebo L2TP/IPsec. V tomto návode krok za krokom prejdeme technickým procesom nastavenia MikroTik ako WireGuard klienta, so zameraním na detailnú kontrolu lokálnej prevádzky.

Získanie prihlasovacích údajov pre WireGuard

Pred tým, ako použijete WinBox, potrebujete konfiguráciu od svojho VPN poskytovateľa (napr. Proton VPN alebo NordVPN). WireGuard pracuje na výmene páru verejného a súkromného kľúča. Majte pripravené tieto údaje:

  • Súkromný kľúč: Pre váš MikroTik interface.
  • Verejný kľúč: Od VPN servera.
  • Adresa a port end-pointu: IP alebo URL servera.
  • Povolené IP adresy: Zvyčajne 0.0.0.0/0 pre kompletný tunel.
MikroTik WireGuard Interface Configuration

Krok 1: Vytvorenie WireGuard rozhrania

Najskôr musíme definovať tunelové rozhranie na MikroTik routeri.

  1. Otvorte WinBox a prejdite do menu WireGuard.
  2. Kliknite na tlačidlo + pre pridanie nového rozhrania.
  3. Pomenujte ho WG-Client.
  4. Vložte svoj Súkromný kľúč. MikroTik automaticky vygeneruje zodpovedajúci verejný kľúč.
  5. Kliknite na OK.

Následne priraďte IP adresu poskytnutú vaším VPN službou tomuto rozhraniu v IP > Addresses.

Krok 2: Konfigurácia Peera

“Peer” je vzdialený server, ku ktorému sa pripájate.

  1. V okne WireGuard prejdite na záložku Peers.
  2. Vyberte vaše rozhranie WG-Client.
  3. Zadajte Verejný kľúč vzdialeného servera.
  4. Nastavte Endpoint a Port endpointu.
  5. Do Allowed IPs zadajte 0.0.0.0/0 (umožní to prechod prevádzky, ale zatiaľ nesmeruje všetko automaticky).
Adding a WireGuard Peer in WinBox

Krok 3: Politika smerovania (PBR)

Zvyčajne nechcete, aby celá vaša sieť smerovala cez VPN. Môžete chcieť len konkrétny server alebo PC použiť tunel. Toto docielime pomocou pravidiel Mangle.

  1. Prejdite do IP > Firewall > Mangle.
  2. Vytvorte nové pravidlo: Chain: prerouting.
  3. Src. Address: Zadajte lokálnu IP adresu zariadenia, ktoré chcete tunelovať (napr. 192.168.88.50).
  4. Action: mark routing.
  5. New Routing Mark: Pomenujte ju via-wireguard.
  6. Zrušte zaškrtnutie “Pass Through”.
MikroTik Mangle Rule for Routing Marks

Krok 4: Smerovanie a “Kill Switch”

Teraz povedzte routeru, že každá prevádzka označená via-wireguard musí ísť cez tunel.

  1. Prejdite do IP > Routes.
  2. Pridajte novú trasu: Gateway: WG-Client, Routing Table: via-wireguard.
  3. Kill Switch: Pridajte ďalšiu trasu, tiež s Routing Table (via-wireguard), ale nastavte typ na blackhole a vyššiu vzdialenosť.

Poznámka: Blackhole trasa zabezpečí, že ak WireGuard tunel prestane fungovať, prevádzka daného zariadenia sa jednoducho zahodí, namiesto toho, aby „unikla“ cez bežné pripojenie ISP.

Configuring Blackhole Routes for VPN Kill Switch

O MKController

Dúfame, že vám tieto informácie pomohli lepšie sa orientovať vo svete MikroTik a internetu! 🚀
Či už dolaďujete konfigurácie, alebo sa snažíte priniesť poriadok do siete, MKController tu je, aby vám uľahčil život.

S centralizovanou cloud správou, automatickými bezpečnostnými aktualizáciami a dashboardom, ktorému rozumie každý, máme všetko, čo potrebujete na vylepšenie vášho prostredia.

👉 Spustite si teraz bezplatnú 3-dňovú skúšobnú verziu na mkcontroller.com — a presvedčte sa, aké jednoduché môže byť riadenie siete.