Skip to content
Blog

Upravljanje MikroTik z WireGuard

Povzetek
Praktični vodič za WireGuard: nastavite VPS strežnik, konfigurirajte MikroTik odjemalca, oglašajte podomrežne poti ter sledite varnostnim priporočilom za zanesljiv oddaljen dostop.

Oddaljeno upravljanje MikroTik z WireGuard

WireGuard je sodoben, minimalističen VPN, ki deluje kot čarovnija za zmogljivost.

Je tanek. Hiter. Zanesljiv.

Popoln za povezovanje VPS in MikroTik ali združevanje omrežij prek interneta.

Ta vodič vsebuje ukaze za kopiranje, konfiguracijske primere in dragocene nasvete.

Kaj je WireGuard?

WireGuard je lahki VPN tretje plasti, ki ga je razvil Jason Donenfeld.

Uporablja napredno kriptografijo: Curve25519 za izmenjavo ključev in ChaCha20-Poly1305 za šifriranje.

Brez certifikatov. Enostavni ključi. Majhna koda.

Ta preprostost pomeni manj presenečenj in boljšo prepustnost.

Kako deluje WireGuard — osnovno

Vsak udeleženec ima zasebni in javni ključ.

Udeleženci povežejo javne ključe z dovoljenimi IP-ji in ciljnimi točkami (IP:port).

Promet je UDP in zasnovan za povezavo med pares.

Centralni strežnik ni obvezen — VPS pa je pogosto stabilno zbirališče.

Prednosti na hitro

  • Visoka prepustnost in nizka poraba CPU.
  • Minimalna, pregledna koda.
  • Enostavne konfiguracijske datoteke za vsakega udeleženca.
  • Dobro deluje z NAT in CGNAT.
  • Večplatformno: Linux, Windows, macOS, Android, iOS, MikroTik.

Strežnik: WireGuard na VPS (Ubuntu)

Ti koraki nastavijo osnovni strežnik za povezavo udeležencev.

1) Namestite WireGuard

Terminal window
apt update && apt install -y wireguard

2) Generirajte strežniške ključe

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Ustvarite /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# primer udeleženca (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Vklopite in zaženite

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Firewall

Terminal window
ufw allow 51820/udp
# ali uporabite nftables/iptables glede na potrebo

Nasvet: Uporabite nestandardni UDP port, če se želite izogniti avtomatskim skeniranjem.

MikroTik: konfiguracija kot WireGuard udeleženec

RouterOS ima vgrajeno podporo za WireGuard (RouterOS 7.x+).

1) Dodajte WireGuard vmesnik

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Dodajte strežnik kot udeleženca

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Preverite stanje

/interface/wireguard/print
/interface/wireguard/peers/print

Ko udeleženec pokaže aktivnost handshake in je latest-handshake svež, je povezava vzpostavljena.

Usmerjanje in dostop do LAN naprav za MikroTik

Iz VPS: usmerjanje do MikroTik LAN

Če želite, da VPS (ali drugi udeleženci) dosežejo 192.168.88.0/24 za MikroTik:

Na VPS dodajte pot:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

Na MikroTiku vklopite IP posredovanje in po potrebi src-NAT za enostavnost:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Zdaj so storitve na lokalnem omrežju usmerjevalnika dostopne z VPS prek WireGuard tunela.

Opozorilo: Izpostavite samo omrežja, ki jih nadzorujete. Uporabite požarne zidove za omejitev dostopa do gostiteljev ali vrat.

Varnostni nasveti

  • Uporabite unikatne ključe za vsako napravo.
  • Omejite AllowedIPs samo na potrebne naslove.
  • Ohranite WireGuard port zavarovan in nadzorovan.
  • Odstranite udeležence za izgubljene naprave.
  • Spremljajte roke stiskanja in zdravstveno stanje povezave.

Nasvet: Persistent keepalive pomaga vzdrževati NAT povezave na domačih povezavah.

Upravljanje ključev in avtomatizacija

Redno menjajte ključe.

Samodejno ustvarjajte udeležence s skripti pri upravljanju več usmerjevalnikov.

Zasebne ključe shranjujte varno — kot gesla.

Za večje flote premislite o centralnem upravljanju ali sistemu za distribucijo ključev.

Hitro primerjavo

RešitevOsnovaZmogljivostEnostavnostNajprimernejše za
WireGuardJedrni VPNZelo visokaEnostavnoSodobne, zmogljive povezave
OpenVPNTLS/OpenSSLSrednjaKompleksnoStarejše naprave in PKI sistemi
TailscaleWireGuard + nadzorVisokaZelo enostavnoSkupine, identitetno upravljanje
ZeroTierLastna mrežaVisokaEnostavnoPrilagodljiva mrežna topologija

Integracije in uporabe

WireGuard se dobro povezuje z nadzorom (SNMP), TR-069, TR-369 in sistemi za orkestracijo.

Uporabite ga za oddaljeno upravljanje, povezave ponudnikov ali varne tunelske povezave do oblačnih storitev.

Kako pomaga MKController

MKController NATCloud odstrani ročno vzdrževanje tunelov. Omogoča centraliziran dostop, nadzor in enostavnejše vpeljevanje — brez potrebe po ročnem upravljanju ključev na vsaki napravi.

Zaključek

WireGuard poenostavi VPN brez kompromisa pri varnosti.

Je hiter, prenosljiv in idealen za povezavo MikroTik in VPS.

Uporabite ga za zanesljiv oddaljen dostop z urejenim usmerjanjem in dobro higiensko prakso.

O MKController

Upamo, da vam je bilo vodilo v pomoč pri upravljanju vašega MikroTika in internetnega omrežja! 🚀
Ne glede na to, ali izboljšujete nastavitve ali skušate obvladati omrežno zmedo, je MKController tukaj, da vam olajša delo.

S centraliziranim oblačnim upravljanjem, samodejnimi varnostnimi posodobitvami in nadzorno ploščo, ki jo obvlada vsak, imamo vse, kar potrebujete za nadgradnjo vašega delovanja.

👉 Začnite brezplačno preizkusno obdobje 3 dni na mkcontroller.com in izkusite pravi enostaven nadzor omrežja.