Implementacja WireGuard w MikroTik RouterOS

Wdrożenie WireGuard na MikroTik RouterOS za pośrednictwem interfejsu wiersza poleceń (CLI) można wykonać, wykonując poniższe podstawowe kroki.

Ten przykład przedstawia prostą konfigurację ustanawiającą tunel VPN pomiędzy serwerem WireGuard na MikroTiku a zdalnym klientem. Pamiętaj, aby dostosować określone ustawienia, takie jak adresy IP i klucze, do własnego środowiska.

1. Aktualizacja RouterOS

Upewnij się, że Twoje urządzenie MikroTik jest zaktualizowane i obsługuje WireGuard. Aby to zrobić, możesz sprawdzić i zaktualizować swoją wersję RouterOS z menu „System” i „Pakiety” w WinBoxie lub poprzez CLI za pomocą polecenia /system aktualizacja pakietu sprawdza dostępność aktualizacji a następnie /instalacja aktualizacji pakietu systemowego.

2. Generowanie klucza

Generuje parę kluczy (publiczny i prywatny) dla serwera i klienta. Na urządzeniu MikroTik (serwerze) użyj następującego polecenia, aby wygenerować klucze:

/tool ​​​​wireguard klucz generuje

/tool ​​​​wireguard klucz wydruku

3. Konfiguracja interfejsu WireGuard

Skonfiguruj interfejs WireGuard na serwerze MikroTik za pomocą wygenerowanego klucza prywatnego i zdefiniuj port nasłuchiwania. Zastępuje WYGENEROWANY KLUCZ PRYWATNY swoim prawdziwym kluczem prywatnym.

/interface wireguard dodaj nazwę=wg0 port-słuchania=51820 klucz prywatny=WYGENEROWANY-KLUCZ PRYWATNY

4. Konfiguracja równorzędna

Dodaje urządzenie klienckie jako peer na serwerze, określając klucz publiczny klienta i adres IP, który ma zostać przypisany klientowi w tunelu VPN. Zastępuje KLIENT-KLUCZ PUBLICZNY z prawdziwym kluczem publicznym klienta i IP KLIENTA z żądanym adresem IP klienta w ramach VPN.

/interface wireguard peers dodaj interfejs=wg0 klucz-publiczny=KLUCZ-PUBLICZNY-KLIENTA dozwolony-adres=IP KLIENTA/32

5. Przydzielanie adresów IP i tras

Przypisz adres IP do interfejsu WireGuard na serwerze i skonfiguruj niezbędne trasy. Na przykład, jeśli chcesz, aby serwer miał adres 10.0.0.1 wewnątrz tunelu VPN:

/adres IP dodaj adres=10.0.0.1/24 interfejs=wg0

W razie potrzeby skonfiguruj trasy, w zależności od sieci i sposobu, w jaki chcesz przepływać ruch przez tunel VPN.

6. Konfiguracja zapory sieciowej

Upewnij się, że zezwoliłeś na ruch UDP dla portu WireGuard (domyślnie 51820) na zaporze MikroTik:

/ip filtr zapory sieciowej dodaj akcję=zaakceptuj łańcuch=protokół wejściowy=port udp=51820

7. Konfiguracja Klienta

Na urządzeniu klienckim będziesz musiał przeprowadzić podobną konfigurację, obejmującą utworzenie interfejsu WireGuard, wygenerowanie kluczy (jeśli jeszcze tego nie zrobiono) i skonfigurowanie tego interfejsu za pomocą klucza prywatnego klienta oraz określenie serwera MikroTik jako swojego równorzędnego z publicznym serwerem klucz.

Pamiętaj, że każde środowisko jest wyjątkowe i te kroki mogą wymagać dostosowań. Ponadto podczas konfigurowania sieci VPN zawsze należy wziąć pod uwagę bezpieczeństwo i prywatność, upewniając się, że tylko autoryzowane urządzenia będą mogły się łączyć.