Hoppa till innehåll
Blog

Hantera din MikroTik med WireGuard effektivt

Sammanfattning
En praktisk WireGuard-guide: konfigurera en VPS-server, anslut en MikroTik-klient, annonsera subnettsrutter och följ säkerhetsrutiner för pålitlig fjärråtkomst.

Fjärrhantering av MikroTik med WireGuard

WireGuard är en modern, minimalistisk VPN som känns som prestandamagik.

Den är lätt, snabb och säker.

Perfekt för att ansluta en VPS och MikroTik eller länka ihop nätverk över internet.

Den här guiden innehåller copy‑paste-kommandon, konfigexempel och hårt förvärvade tips.

Vad är WireGuard?

WireGuard är en lättviktig Layer‑3 VPN introducerad av Jason Donenfeld.

Den använder modern kryptografi: Curve25519 för nyckelutbyte och ChaCha20-Poly1305 för kryptering.

Inga certifikat. Enkla nyckelpar. Liten kodbas.

Den enkelheten minskar överraskningar och ger bättre genomströmning.

Hur WireGuard fungerar – grunderna

Varje nod har en privat och en publik nyckel.

Noder kopplar publika nycklar till tillåtna IP-adresser och slutpunkter (IP:port).

Trafiken baseras på UDP och är peer‑to‑peer av design.

Ingen central server krävs – men en VPS fungerar ofta som stabil mötesplats.

Fördelar i korthet

  • Hög genomströmning och låg CPU-användning.
  • Minimal och granskbar kodbas.
  • Enkla konfigurationsfiler per nod.
  • Fungerar bra med NAT och CGNAT.
  • Plattformoberoende: Linux, Windows, macOS, Android, iOS, MikroTik.

Server: WireGuard på en VPS (Ubuntu)

Följ dessa steg för att sätta upp en grundläggande server som noder kan ansluta till.

1) Installera WireGuard

Terminal window
apt update && apt install -y wireguard

2) Generera servernycklar

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Skapa /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# exempel på nod (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Aktivera och starta

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Brandvägg

Terminal window
ufw allow 51820/udp
# eller använd nftables/iptables enligt behov

Tips: Använd en icke-standard UDP-port för att undvika automatiska skanningar.

MikroTik: konfigurera som WireGuard-nod

RouterOS har inbyggt wireguard-stöd (RouterOS 7.x+).

1) Lägg till WireGuard-gränssnitt

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Lägg till servern som nod

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Kontrollera status

/interface/wireguard/print
/interface/wireguard/peers/print

När noden visar handshake-aktivitet och latest-handshake är aktuell, är tunneln upprättad.

Routing och åtkomst till LAN bakom MikroTik

Från VPS: ruta till MikroTiks LAN

Om VPS (eller andra noder) ska nå 192.168.88.0/24 bakom MikroTik:

Lägg till en rutt på VPS:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

På MikroTik, aktivera IP-forwarding och ev. src‑NAT för enkelhet:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Nu kan tjänster i routerns LAN nås från VPS över WireGuard-tunneln.

Varning: Exponera endast nätverk du kontrollerar. Använd brandväggsregler för att begränsa vilka värdar eller portar som är åtkomliga.

Säkerhetsrutiner

  • Använd unika nyckelpar per enhet.
  • Begränsa AllowedIPs till det nödvändiga.
  • Håll WireGuard-porten brandväggsskyddad och övervakad.
  • Återkalla förlorade enheter genom att ta bort deras nodpost.
  • Övervaka handskakningar och anslutningsstatus.

Tips: Persistent keepalive hjälper till att bibehålla NAT-mappningar på konsumentlänkar.

Nyckelhantering och automation

Rotera nycklar regelbundet.

Automatisera nodskapande med skript vid hantering av många routrar.

Lagra privata nycklar säkert – behandla dem som lösenord.

För större system, använd ett kontrollplan eller nyckeldistributionsflöde.

Snabb jämförelse

LösningBasPrestandaEnkelhetBäst för
WireGuardKärn-VPNMycket högEnkelModerna, högpresterande länkar
OpenVPNTLS/OpenSSLMedelhögKomplexÄldre enheter och PKI-intensiva miljöer
TailscaleWireGuard + kontrollplanHögMycket enkelTeam, identitetsbaserad åtkomst
ZeroTierEgen meshHögEnkelFlexibla mesh-nätverk

Integrationer och användningsområden

WireGuard fungerar bra med övervakning (SNMP), TR‑069, TR‑369 och orkestreringssystem.

Använd för fjärrhantering, leverantörers backhaul eller säkra kanaler till molntjänster.

Där MKController hjälper:

MKControllers NATCloud eliminerar manuell tunnelhantering. Det ger centraliserad åtkomst, övervakning och enklare onboarding – utan nyckelhantering per enhet.

Slutsats

WireGuard tar bort VPN-komplexitet utan att kompromissa med säkerheten.

Det är snabbt, portabelt och optimalt för MikroTik och VPS-kombinationer.

Använd för pålitlig fjärråtkomst med korrekt routing och god hygien.

Om MKController

Hoppas insikterna ovan hjälpt dig att navigera i ditt MikroTik- och internetuniversum! 🚀
Oavsett om du finjusterar konfigurationer eller bara försöker få ordning på nätverkskaoset, är MKController här för att förenkla din vardag.

Med centraliserad molnhantering, automatiska säkerhetsuppdateringar och en dashboard som alla kan behärska, har vi vad som krävs för att lyfta din drift.

👉 Starta din kostnadsfria 3-dagars provperiod numkcontroller.com — och upplev verklig enkel nätverkskontroll.