Triển khai WireGuard trong MikroTik RouterOS

Việc triển khai WireGuard trên MikroTik RouterOS thông qua giao diện dòng lệnh (CLI) có thể được thực hiện bằng cách làm theo các bước cơ bản sau.

Ví dụ này cung cấp cấu hình đơn giản để thiết lập đường hầm VPN giữa máy chủ WireGuard trên MikroTik và máy khách từ xa. Hãy nhớ điều chỉnh các cài đặt cụ thể, chẳng hạn như địa chỉ IP và khóa, cho phù hợp với môi trường của riêng bạn.

1. Cập nhật bộ định tuyến

Đảm bảo thiết bị MikroTik của bạn được cập nhật và hỗ trợ WireGuard. Để thực hiện việc này, bạn có thể kiểm tra và cập nhật phiên bản RouterOS của mình từ menu “Hệ thống” và “Gói” trong WinBox hoặc thông qua CLI bằng lệnh /kiểm tra cập nhật gói hệ thống và sau đó /cài đặt cập nhật gói hệ thống.

2. Tạo khóa

Tạo cặp khóa (công khai và riêng tư) cho máy chủ và máy khách. Trên thiết bị MikroTik (máy chủ), sử dụng lệnh sau để tạo khóa:

/công cụ tạo khóa wireguard

/công cụ in khóa wireguard

3. Cấu hình giao diện WireGuard

Định cấu hình giao diện WireGuard trên máy chủ MikroTik bằng khóa riêng được tạo và xác định cổng nghe. Thay thế TẠO-RIÊNG-KEY bằng khóa riêng thực sự của bạn.

/interface wireguard thêm tên=wg0 listen-port=51820 Private-key=GENERATED-PRIVATE-KEY

4. Cấu hình ngang hàng

Thêm thiết bị khách làm thiết bị ngang hàng trên máy chủ, chỉ định khóa chung của máy khách và địa chỉ IP sẽ được gán cho máy khách trong đường hầm VPN. Thay thế KHÁCH HÀNG-PUBLIC-KEY với khóa công khai thực sự của khách hàng và KHÁCH HÀNG-IP với địa chỉ IP mong muốn cho máy khách trong VPN.

/giao diện wireguard ngang hàng thêm giao diện=wg0 public-key=CLIENT-PUBLIC-KEY allow-address=CLIENT-IP/32

5. Gán địa chỉ IP và tuyến đường

Gán địa chỉ IP cho giao diện WireGuard trên máy chủ và định cấu hình các tuyến cần thiết. Ví dụ: nếu bạn muốn máy chủ có địa chỉ 10.0.0.1 bên trong đường hầm VPN:

/địa chỉ ip thêm địa chỉ=10.0.0.1/24 giao diện=wg0

Định cấu hình các tuyến nếu cần, tùy thuộc vào mạng của bạn và cách bạn muốn lưu lượng truy cập đi qua đường hầm VPN.

6. Cấu hình tường lửa

Đảm bảo cho phép lưu lượng UDP cho cổng WireGuard (mặc định, 51820) trên tường lửa MikroTik:

/bộ lọc tường lửa ip thêm hành động=chấp nhận chuỗi=giao thức đầu vào=udp port=51820

7. Cấu hình máy khách

Trên thiết bị khách, bạn sẽ cần thực hiện cấu hình tương tự, bao gồm tạo giao diện WireGuard, tạo khóa (nếu chưa được thực hiện) và định cấu hình giao diện này bằng khóa riêng của máy khách và chỉ định máy chủ MikroTik là máy ngang hàng của bạn với máy chủ công khai chìa khóa.

Hãy nhớ rằng mỗi môi trường là duy nhất và các bước này có thể yêu cầu điều chỉnh. Ngoài ra, điều quan trọng là phải xem xét tính bảo mật và quyền riêng tư khi thiết lập VPN, đảm bảo chỉ những thiết bị được ủy quyền mới có thể kết nối.