Перейти до вмісту
Blog

Керування вашим MikroTik через WireGuard

Коротко
Практичний посібник WireGuard: налаштуйте VPS-сервер, клієнт MikroTik, рекламуйте маршрути підмереж, дотримуйтесь рекомендацій з безпеки для стабільного віддаленого доступу.

Віддалене керування MikroTik через WireGuard

WireGuard — сучасний, мінімалістичний VPN з відчуттям магії продуктивності.

Він легкий. Швидкий. Безпечний.

Ідеальний для з’єднання VPS і MikroTik або об’єднання мереж через інтернет.

У цьому посібнику — команди для копіювання, приклади конфігурацій і корисні поради.

Що таке WireGuard?

WireGuard — це легкий VPN рівня 3, створений Джейсоном Доненфельдом.

Використовує сучасну криптографію: Curve25519 для узгодження ключів і ChaCha20-Poly1305 для шифрування.

Без сертифікатів. Прості ключові пари. Малий обсяг коду.

Ця простота означає менше несподіванок і кращу пропускну здатність.

Основи роботи WireGuard

У кожного учасника є приватний і публічний ключ.

Учасники зв’язують публічні ключі з Allowed IPs та endpoint (IP:порт).

Трафік працює по UDP, напряму peer-to-peer.

Центральний сервер не обов’язковий — зазвичай VPS служить стабільною точкою збору.

Переваги в огляді

  • Висока пропускна здатність при низькому навантаженні CPU.
  • Мінімальний, перевірений код.
  • Прості конфігураційні файли по кожному учаснику.
  • Добре працює з NAT і CGNAT.
  • Кросплатформене: Linux, Windows, macOS, Android, iOS, MikroTik.

Сервер: WireGuard на VPS (Ubuntu)

Ці кроки налаштовують базовий сервер для підключення клієнтів.

1) Встановіть WireGuard

Terminal window
apt update && apt install -y wireguard

2) Згенеруйте ключі сервера

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Створіть /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# приклад пір (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Увімкніть і запустіть

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Брандмауер

Terminal window
ufw allow 51820/udp
# або використовуйте nftables/iptables за потребою

Порада: Використовуйте нестандартний UDP-порт, щоб уникнути автоматичних сканувань.

MikroTik: налаштування як пір WireGuard

RouterOS підтримує WireGuard з версії 7.x+.

1) Додайте інтерфейс WireGuard

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Додайте сервер як пір

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Перевірте статус

/interface/wireguard/print
/interface/wireguard/peers/print

Якщо виводиться активність handshake, а latest-handshake недавній — тунель активний.

Маршрутизація і доступ до пристроїв LAN за MikroTik

З VPS: маршрутизація до LAN MikroTik

Якщо VPS (або інші піри) мають доступатися до мережі 192.168.88.0/24 за MikroTik:

На VPS додайте маршрут:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

На MikroTik увімкніть пересилання IP та за потребою src-NAT для простоти:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Тепер сервіси LAN роутера доступні з VPS через тунель WireGuard.

Увага: Відкривайте лише контрольовані мережі. Використовуйте правила брандмауера для обмеження доступу до хостів і портів.

Рекомендації з безпеки

  • Використовуйте унікальні ключові пари для кожного пристрою.
  • Обмежуйте AllowedIPs мінімально необхідним.
  • Слідкуйте за доступністю порту WireGuard через брандмауер.
  • Видаляйте пірів із втраченими пристроями.
  • Моніторте handshakes і стабільність з’єднання.

Порада: Persistent keepalive допомагає підтримувати NAT-мапінг на користувацьких каналах.

Керування ключами та автоматизація

Регулярно оновлюйте ключі.

Автоматизуйте додавання пірів, якщо керуєте численними роутерами.

Зберігайте приватні ключі в безпеці — як паролі.

Для великих мереж розгляньте централізоване управління ключами чи спеціальні workflow.

Швидке порівняння

РішенняОсноваПродуктивністьПростотаОптимально для
WireGuardVPN на рівні ядраДуже високаПростаСучасні високошвидкісні канали
OpenVPNTLS/OpenSSLСередняСкладнаСтарі пристрої, складні PKI-системи
TailscaleWireGuard + контролерВисокаДуже простаКоманди, доступ за ідентифікацією
ZeroTierВласна mesh-системаВисокаЛегкаГнучкі mesh-мережі

Інтеграції та сфери застосування

WireGuard добре інтегрується зі SNMP, TR-069, TR-369 та оркестраційними системами.

Його використовують для віддаленого управління, зворотних магістралей провайдерів та захищених тунелів до хмарних сервісів.

Як допомагає MKController:

NATCloud від MKController усуває ручне налаштування тунелів. Забезпечує централізований доступ, моніторинг та спрощене підключення — без необхідності керувати ключами для кожного пристрою.

Висновок

WireGuard усуває складність VPN без шкоди для безпеки.

Він швидкий, мобільний і чудово підходить для пар VPS і MikroTik.

Використовуйте його для надійного віддаленого доступу, розумної маршрутизації та правильної організації.

Про MKController

Сподіваємось, вищенаведені поради допомогли краще орієнтуватися у світі MikroTik та Інтернет! 🚀
Чи то тонке налаштування, чи наведення ладу у мережевому хаосі — MKController допоможе зробити це простіше.

З централізованим хмарним управлінням, автоматичними оновленнями безпеки та зручним дашбордом, у нас є все, щоб оновити вашу мережу.

👉 Почніть безкоштовний 3-дневний тест на mkcontroller.com — і переконайтесь, як виглядає просте керування мережею.