Implementación de WireGuard en MikroTik RouterOS

La implementación de WireGuard en MikroTik RouterOS a través de la interfaz de línea de comandos (CLI) se puede realizar siguiendo estos pasos básicos.

Este ejemplo proporciona una configuración simple para establecer un túnel VPN entre un servidor WireGuard en MikroTik y un cliente remoto. Recuerda que debes adaptar la configuración específica, como direcciones IP y claves, a tu propio entorno.

1. Actualización de RouterOS

Asegúrate de que tu dispositivo MikroTik esté actualizado y soporte WireGuard. Para ello, puedes verificar y actualizar tu versión de RouterOS desde el menú “System” y “Packages” en WinBox o a través de CLI con el comando /system package update check-for-updates y luego /system package update install.

2. Generación de Claves

Genera un par de claves (pública y privada) para el servidor y el cliente. En el dispositivo MikroTik (servidor), utiliza el siguiente comando para generar las claves:

/tool wireguard key generate

/tool wireguard key print

3. Configuración de la Interfaz WireGuard

Configura la interfaz WireGuard en el servidor MikroTik con la clave privada generada y define un puerto de escucha. Reemplaza GENERATED-PRIVATE-KEY con tu clave privada real.

/interface wireguard add name=wg0 listen-port=51820 private-key=GENERATED-PRIVATE-KEY

4. Configuración de Peers (Pares)

Agrega el dispositivo cliente como un peer en el servidor, especificando la clave pública del cliente y la dirección IP que se asignará al cliente dentro del túnel VPN. Reemplaza CLIENT-PUBLIC-KEY con la clave pública real del cliente y CLIENT-IP con la dirección IP deseada para el cliente dentro de la VPN.

/interface wireguard peers add interface=wg0 public-key=CLIENT-PUBLIC-KEY allowed-address=CLIENT-IP/32

5. Asignación de Direcciones IP y Rutas

Asigna una dirección IP a la interfaz WireGuard en el servidor y configura las rutas necesarias. Por ejemplo, si quieres que el servidor tenga la dirección 10.0.0.1 dentro del túnel VPN:

/ip address add address=10.0.0.1/24 interface=wg0

Configura rutas si es necesario, dependiendo de tu red y de cómo quieras que fluya el tráfico a través del túnel VPN.

6. Configuración del Firewall

Asegúrate de permitir el tráfico UDP para el puerto de WireGuard (por defecto, 51820) en el firewall del MikroTik:

/ip firewall filter add action=accept chain=input protocol=udp port=51820

7. Configuración del Cliente

En el dispositivo cliente, necesitarás realizar una configuración similar, incluyendo la creación de una interfaz WireGuard, la generación de claves (si aún no se ha hecho), y la configuración de esta interfaz con la clave privada del cliente y especificando el servidor MikroTik como su peer con la clave pública del servidor.

Recuerda que cada entorno es único, y estos pasos pueden requerir adaptaciones. Además, siempre es importante considerar la seguridad y la privacidad al configurar VPNs, asegurándote de que solo los dispositivos autorizados puedan conectarse.