Перейти до вмісту
Blog

Як налаштувати WireGuard VPN клієнт на MikroTik

Резюме > Дізнайтеся, як налаштувати роутер MikroTik як WireGuard клієнт. Цей технічний посібник охоплює створення ключів, налаштування peer та просунуті методики маршрутизації, зокрема Mangle правила для маршрутизації конкретних пристроїв та імплементацію “Kill Switch” для запобігання витоку даних.

Як налаштувати WireGuard VPN клієнт на MikroTik

WireGuard змінив наше уявлення про VPN на маршрутизаторах MikroTik. Відтоді як вийшов RouterOS v7, користувачі отримали доступ до протоколу, що значно швидший та легший для аудиту, ніж застарілі варіанти OpenVPN або L2TP/IPsec. У цьому посібнику ми покроково налаштуємо MikroTik як WireGuard клієнт, зокрема зумовлено контролю локального трафіку.

Отримання облікових даних WireGuard

Перед використанням WinBox вам потрібна конфігурація від вашого VPN-провайдера (наприклад Proton VPN чи NordVPN). WireGuard базується на обміні ключами публічного і приватного типу. Підготуйте такі дані:

  • Приватний ключ: для інтерфейсу MikroTik.
  • Публічний ключ: від VPN сервера.
  • Адреса та порт кінцевої точки: IP або URL сервера.
  • Дозволені IP: зазвичай 0.0.0.0/0 для повного тунелю.
MikroTik WireGuard Interface Configuration

Крок 1: Створення інтерфейсу WireGuard

Спершу потрібно визначити тунельний інтерфейс на роутері MikroTik.

  1. Відкрийте WinBox і перейдіть у меню WireGuard.
  2. Натисніть кнопку +, щоб додати новий інтерфейс.
  3. Назвіть його WG-Client.
  4. Вставте ваш Приватний ключ. MikroTik автоматично згенерує відповідний Публічний ключ.
  5. Натисніть OK.

Далі призначте IP-адресу, що надається вашим VPN сервісом, цьому інтерфейсу через IP > Addresses.

Крок 2: Налаштування Peer

“Peer” – це віддалений сервер, до якого ви підключаєтесь.

  1. У вікні WireGuard перейдіть на вкладку Peers.
  2. Виберіть інтерфейс WG-Client.
  3. Введіть Публічний ключ віддаленого сервера.
  4. Вкажіть Endpoint та Endpoint Port.
  5. У полі Allowed IPs введіть 0.0.0.0/0 (дозволяє проходження трафіку, але не маршрутизує його автоматично повністю).
Adding a WireGuard Peer in WinBox

Крок 3: Політична маршрутизація (PBR)

Зазвичай не хочеться, щоб уся мережа працювала через VPN. Можливо, ви хочете пропускати через тунель лише певний сервер або ПК. Це реалізується за допомогою Mangle правил.

  1. Перейдіть у IP > Firewall > Mangle.
  2. Створіть нове правило: Chain: prerouting.
  3. Src. Address: Введіть локальну IP-адресу пристрою, який потрібно тунелювати (наприклад, 192.168.88.50).
  4. Action: mark routing.
  5. New Routing Mark: Назвіть мітку via-wireguard.
  6. Зніміть галочку з “Pass Through”.
MikroTik Mangle Rule for Routing Marks

Крок 4: Маршрутизація й “Kill Switch”

Тепер потрібно вказати роутеру, що весь трафік із позначкою via-wireguard має йти через тунель.

  1. Перейдіть у IP > Routes.
  2. Додайте новий маршрут: Gateway: WG-Client, Routing Table: via-wireguard.
  3. Kill Switch: Додайте другий маршрут з тим самим Routing Table (via-wireguard), але встановіть Type як blackhole та більшу відстань.

Примітка: Чорнорівнева маршрутна політика (blackhole) гарантує, що якщо тунель WireGuard зникне, трафік пристрою просто відсікається, а не “витікає” через стандартне ISP-з’єднання.

Configuring Blackhole Routes for VPN Kill Switch

Про MKController

Сподіваємось, що наведені поради допомогли вам краще орієнтуватись у світі MikroTik та Інтернету! 🚀
Чи то налагоджуєте конфігурації, чи прагнете навести лад у мережевому хаосі — MKController полегшить ваше життя.

З централізованим хмарним керуванням, автоматичними оновленнями безпеки та панеллю управління, що під силу кожному — ми маємо все, щоб удосконалити вашу мережеву інфраструктуру.

👉 Почніть безкоштовний триденний тест на mkcontroller.com — і відкрийте для себе простоту управління мережею.