การใช้งาน WireGuard ใน MikroTik RouterOS

การปรับใช้ WireGuard บน MikroTik RouterOS ผ่านทางอินเทอร์เฟซบรรทัดคำสั่ง (CLI) สามารถทำได้โดยทำตามขั้นตอนพื้นฐานเหล่านี้

ตัวอย่างนี้มีการกำหนดค่าอย่างง่ายเพื่อสร้างอุโมงค์ VPN ระหว่างเซิร์ฟเวอร์ WireGuard บน MikroTik และไคลเอนต์ระยะไกล อย่าลืมปรับการตั้งค่าเฉพาะ เช่น ที่อยู่ IP และคีย์ ให้เข้ากับสภาพแวดล้อมของคุณเอง

1. อัพเดตระบบปฏิบัติการเราเตอร์

ตรวจสอบให้แน่ใจว่าอุปกรณ์ MikroTik ของคุณได้รับการอัพเดตและรองรับ WireGuard ในการดำเนินการนี้คุณสามารถตรวจสอบและอัปเดตเวอร์ชัน RouterOS ของคุณได้จากเมนู "ระบบ" และ "แพ็คเกจ" ใน WinBox หรือผ่าน CLI ด้วยคำสั่ง / การตรวจสอบการอัปเดตแพ็คเกจระบบ แล้ว /การติดตั้งการอัปเดตแพ็คเกจระบบ.

2. การสร้างคีย์

สร้างคู่คีย์ (สาธารณะและส่วนตัว) สำหรับเซิร์ฟเวอร์และไคลเอนต์ บนอุปกรณ์ MikroTik (เซิร์ฟเวอร์) ให้ใช้คำสั่งต่อไปนี้เพื่อสร้างคีย์:

/tool ​​​​wireguard สร้างคีย์

/tool ​​​​wireguard พิมพ์คีย์

3. การกำหนดค่าอินเทอร์เฟซ WireGuard

กำหนดค่าอินเทอร์เฟซ WireGuard บนเซิร์ฟเวอร์ MikroTik ด้วยคีย์ส่วนตัวที่สร้างขึ้นและกำหนดพอร์ตการฟัง แทนที่ สร้างคีย์ส่วนตัว ด้วยรหัสส่วนตัวที่แท้จริงของคุณ

/interface wireguard เพิ่ม name=wg0 Listen-port=51820 private-key=GENERATED-PRIVATE-KEY

4. การกำหนดค่าเพียร์

เพิ่มอุปกรณ์ไคลเอ็นต์เป็นเพียร์บนเซิร์ฟเวอร์ โดยระบุคีย์สาธารณะของไคลเอ็นต์และที่อยู่ IP ที่จะกำหนดให้กับไคลเอ็นต์ภายในอุโมงค์ VPN แทนที่ ลูกค้า-สาธารณะ-คีย์ ด้วยรหัสสาธารณะจริงของลูกค้าและ ไคลเอนต์-IP ด้วยที่อยู่ IP ที่ต้องการสำหรับไคลเอนต์ภายใน VPN

/interface wireguard peers เพิ่ม interface=wg0 public-key=CLIENT-PUBLIC-KEY อนุญาตที่อยู่=CLIENT-IP/32

5. การกำหนดที่อยู่ IP และเส้นทาง

กำหนดที่อยู่ IP ให้กับอินเทอร์เฟซ WireGuard บนเซิร์ฟเวอร์และกำหนดค่าเส้นทางที่จำเป็น ตัวอย่างเช่น หากคุณต้องการให้เซิร์ฟเวอร์มีที่อยู่ 10.0.0.1 ภายในอุโมงค์ VPN:

/ที่อยู่ IP เพิ่มที่อยู่=10.0.0.1/24 อินเทอร์เฟซ=wg0

กำหนดค่าเส้นทางหากจำเป็น ขึ้นอยู่กับเครือข่ายของคุณและวิธีที่คุณต้องการให้การรับส่งข้อมูลผ่านอุโมงค์ VPN

6. การกำหนดค่าไฟร์วอลล์

ตรวจสอบให้แน่ใจว่าได้อนุญาตการรับส่งข้อมูล UDP สำหรับพอร์ต WireGuard (ค่าเริ่มต้น 51820) บนไฟร์วอลล์ MikroTik:

/ip ตัวกรองไฟร์วอลล์เพิ่มการกระทำ = ยอมรับเชน = โปรโตคอลอินพุต = พอร์ต udp = 51820

7. การกำหนดค่าไคลเอ็นต์

บนอุปกรณ์ไคลเอ็นต์ คุณจะต้องดำเนินการกำหนดค่าที่คล้ายกัน รวมถึงการสร้างอินเทอร์เฟซ WireGuard การสร้างคีย์ (หากยังไม่ได้ดำเนินการ) และการกำหนดค่าอินเทอร์เฟซนี้ด้วยคีย์ส่วนตัวของไคลเอ็นต์ และระบุเซิร์ฟเวอร์ MikroTik เป็นเพียร์ของคุณกับสาธารณะของเซิร์ฟเวอร์ สำคัญ.

โปรดจำไว้ว่าแต่ละสภาพแวดล้อมมีเอกลักษณ์เฉพาะตัว และอาจต้องมีการปรับเปลี่ยนขั้นตอนเหล่านี้ นอกจากนี้ การพิจารณาความปลอดภัยและความเป็นส่วนตัวเป็นสิ่งสำคัญเสมอเมื่อตั้งค่า VPN เพื่อให้มั่นใจว่าเฉพาะอุปกรณ์ที่ได้รับอนุญาตเท่านั้นที่สามารถเชื่อมต่อได้