Remote Access

Віддалене керування MikroTik по WireGuard

Налаштуйте сервер WireGuard на VPS, підключіть MikroTik як peer, маршрутизуйте LAN та зміцніть тунель для надійного віддаленого доступу.

MKController12 лютого 2025 р.5 min read

Стисло WireGuard поєднує Linux-VPS як точку зустрічі з одним або кількома маршрутизаторами MikroTik у ролі peer-вузлів, забезпечуючи стабільне віддалене керування через UDP-тунель, який витримує CGNAT, динамічні IP та більшість дивацтв провайдера. Цей посібник налаштовує сервер на VPS, клієнт MikroTik (RouterOS v7), маршрутизацію, що дозволяє дістатися до LAN за маршрутизатором з боку VPS, та посилення безпеки, яке тримає тунель захищеним у часі.

Як WireGuard уможливлює віддалене керування MikroTik?

WireGuard — це сучасна VPN рівня L3, побудована на актуальній криптографії (Curve25519 для узгодження ключів, ChaCha20-Poly1305 для шифрування) і крихітній кодовій базі, яку легко аудитувати. Для віддаленого керування MikroTik типовою топологією є невеликий Linux-VPS у ролі завжди-онлайн точки зустрічі, до якої вихідним з’єднанням як peer-вузли підключаються один чи кілька маршрутизаторів MikroTik (на RouterOS v7). Оскільки WireGuard працює через UDP і саме маршрутизатори ініціюють тунель назовні, топологія поводиться однаково — байдуже, чи маршрутизатор має реальну публічну IP, перебуває за NAT чи за CGNAT.

Коли тунель піднято, VPS тримає маршрути, що дозволяють дістатися до LAN кожного маршрутизатора через його WireGuard-адресу. З адмін-ноутбука, підключеного до VPS (або до самої мережі WireGuard), кожен майданчик доступний так, ніби він у приватній локальній мережі — і при цьому на клієнтському маршрутизаторі немає відкритого порту Winbox чи WebFig, який міг би знайти зловмисник.

Чому варто обрати WireGuard для віддаленого доступу до MikroTik?

WireGuard виграє за п’ятьма практичними вимірами, важливими для керування парком: висока пропускна здатність за низького завантаження CPU навіть на малих маршрутизаторах; мінімальна кодова база, що піддається аудиту, з істотно меншою кількістю CVE порівняно з OpenVPN; прості per-peer конфігураційні файли, що чисто лягають у систему контролю версій; нативна крос-платформна підтримка (Linux, Windows, macOS, Android, iOS, RouterOS v7+); коректна поведінка під NAT і CGNAT завдяки дизайну handshake, який терпимо ставиться до змін адреси. Мінус — у WireGuard немає інфраструктури відкликання сертифікатів у стилі OpenVPN: довіру керують, додаючи та видаляючи записи peer напряму, тож управління peer-ами в масштабі вимагає невеликого control plane або сценаріїв автоматизації.

Крок 1: Встановіть WireGuard на VPS (Ubuntu)

apt update && apt install -y wireguard

Крок 2: Згенеруйте ключі сервера

wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

Приватний ключ залишається на VPS. Публічний ключ вставляється в конфігурацію peer на MikroTik.

Крок 3: Створіть конфігурацію сервера

/etc/wireguard/wg0.conf:

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true

[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

Додавайте по одному блоку [Peer] на кожен MikroTik, кожен зі своєю унікальною IP тунелю в AllowedIPs.

Крок 4: Підніміть тунель та відкрийте фаєрвол

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
ufw allow 51820/udp

(Адаптуйте команду фаєрвола до nftables або iptables залежно від дистрибутиву VPS.) Використовуйте нестандартний UDP-порт, якщо хочете уникнути автоматичних сканувань інтернету.

Крок 5: Налаштуйте MikroTik як peer WireGuard

RouterOS v7 має вбудовану підтримку WireGuard — додаткові пакети не потрібні. Відкрийте термінал у Winbox:

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

/interface wireguard peers add interface=wg-vps \
    public-key="<server_public_key>" \
    endpoint-address=<VPS_IP> \
    endpoint-port=51820 \
    allowed-address=10.8.0.2/32 \
    persistent-keepalive=25

/ip address add address=10.8.0.2/24 interface=wg-vps

persistent-keepalive=25 — маленька, але критично важлива деталь: вона тримає NAT-мапінги живими на WAN-стороні маршрутизатора, щоб тунель не впав мовчки після кількох хвилин простою.

Перевірте статус:

/interface/wireguard/print
/interface/wireguard/peers/print

Коли у peer з’являється активність handshake, а latest-handshake свіжий (у межах інтервалу keepalive), тунель піднято.

Крок 6: Маршрутизація до пристроїв LAN за MikroTik

Щоб дістатися до LAN за MikroTik (наприклад, 192.168.88.0/24) з боку VPS:

На VPS:

ip route add 192.168.88.0/24 via 10.8.0.2

На MikroTik додайте правило srcnat masquerade, щоб зворотний трафік знайшов шлях назад через тунель:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 \
    out-interface=wg-vps action=masquerade

Тепер сервіси LAN за MikroTik доступні з VPS і від будь-якого іншого peer, відомого VPS, через тунель WireGuard. Виставляйте назовні лише ті мережі, якими ви керуєте, і використовуйте правила фаєрвола, щоб обмежити, які хости та порти доступні через тунель. Для клієнтського варіанта цього сценарію (MikroTik як VPN-клієнт комерційного провайдера, а не peer власної VPS) дивіться наш туторіал з клієнта WireGuard.

Посилення безпеки

Унікальна пара ключів на кожен пристрій. Ніколи не використовуйте повторно ключі між MikroTik-ами. Генерація нової пари займає секунди й значно спрощує відкликання.
Вузький AllowedIPs. Задавайте AllowedIPs мінімально необхідним (10.8.0.2/32 для одного маршрутизатора плюс LAN, якщо йде маршрутизація). Ширші діапазони відкривають двері для небажаного peer-to-peer трафіку між майданчиками.
Фаєрвол на порту WireGuard. Навіть якщо WireGuard мовчки відкидає невалідний трафік, тримати 51820/udp відкритим усьому інтернету необов’язково. Обмежте за IP-джерелом, якщо ваш адмін-процес це дозволяє.
Відкликайте втрачені пристрої. Видаліть запис [Peer] з конфігурації VPS і перезапустіть тунель. Маршрутизатор більше не зможе підключитися.
Слідкуйте за handshake. Тунель, що не робив handshake більше доби, зламаний — зазвичай це розсинхронізація ротації ключів або зміна маршрутизації.

Регулярно ротуйте ключі в межах стандартної ротації облікових даних. Зберігайте приватні ключі з тією ж дисципліною, що й SSH host keys. Для парку понад 10–20 маршрутизаторів заплануйте невеликий workflow control plane для створення peer-ів замість ручного редагування конфігу VPS.

Порівняння з іншими опціями VPN

Рішення	Основа	Продуктивність	Простота налаштування	Найкраще для
WireGuard	VPN у ядрі	Дуже висока	Просто	Сучасне високопродуктивне керування
OpenVPN	TLS/OpenSSL	Середня	Складно	Застарілі пристрої, середовища з PKI
Tailscale	WireGuard + control plane	Висока	Дуже просто	Команди, доступ за ідентичністю
ZeroTier	Власний mesh	Висока	Просто	Гнучкі mesh-топології

Для ширшого огляду опцій віддаленого керування дивіться наші посібники з керування MikroTik через VPS та віддаленого керування через SSTP.

Зробіть наступний крок

Один тунель WireGuard між VPS та одним MikroTik — це просто. Керування ключами, записами peer і таблицями маршрутизації на десятках чи сотнях маршрутизаторів — з неминучою ротацією ключів і змінами клієнтів — це місце, де операційні витрати накопичуються.

NATCloud від MKController повністю усуває ручну обв’язку тунелів. Кожен MikroTik виходить онлайн вихідним тунелем до control plane без піклування про ключі по пристроях, без правок конфігу VPS і без скриптів на підтримці. Ви отримуєте централізований моніторинг, безпечний віддалений доступ і значно простіший онбординг, ніж розгортання власної інфраструктури WireGuard.

Розпочніть безкоштовний пробний період MKController