WireGuard (WireGuard VPN MikroTik) — сучасний VPN-протокол, який став доступний у MikroTik починаючи з RouterOS v7. Він поєднує простоту, високу швидкість та сучасну криптографію. Це робить його чудовим вибором для з’єднання офісів чи віддалених користувачів.
У цьому гайді ми налаштуємо VPN-тунель між двома роутерами MikroTik:
- Router A (центральний офіс, мережа 192.168.1.0/24)
- Router B (філія, мережа 192.168.2.0/24)
Для кожного кроку будуть показані CLI-команди та налаштування через Winbox.
Крок 1. Створення інтерфейсу WireGuard VPN MikroTik
🔹 CLI
/interface wireguard add name=wg1 listen-port=51820🔹 Winbox
- Відкрий Interfaces → WireGuard.
- Натисни + (Add) → обери WireGuard.
- Вкажи:
- Name: wg1 (Можна вказати своє ім’я)
- Listen Port: 51820 (Можна вказати свій порт)
- Натисни OK.
Крок 2. Перегляд ключів
🔹 CLI
/interface wireguard printСкопіюй Public Key — його треба передати іншому роутеру.
🔹 Winbox
- Відкрий вкладку Interfaces → WireGuard.
- Вибери
wg1. - У полі Public Key скопіюй ключ.
Крок 3. Додавання peer (партнера)
🔹 CLI (Router A)
/interface wireguard peers add interface=wg1 \
public-key="PUBKEY_B" \
allowed-address=10.10.10.2/32 \
endpoint-address=IP_RouterB \
endpoint-port=51820🔹 CLI (Router B)
/interface wireguard peers add interface=wg1 \
public-key="PUBKEY_A" \
allowed-address=10.10.10.1/32 \
endpoint-address=IP_RouterA \
endpoint-port=51820🔹 Winbox (на кожному роутері)
- Перейди в WireGuard → Peers → +.
- Заповни:
- Interface: wg1
- Public Key: публічний ключ іншого роутера
- Allowed Address: 10.10.10.2/32 (або 10.10.10.1/32 на другому)
- Endpoint Address: зовнішня IP іншого роутера
- Endpoint Port: 51820
- Натисни OK.
Крок 4. Призначення IP-адрес тунелю
🔹 CLI (Router A)
/ip address add address=10.10.10.1/30 interface=wg1🔹 CLI (Router B)
/ip address add address=10.10.10.2/30 interface=wg1🔹 Winbox
- Відкрий IP → Addresses → +.
- На Router A:
10.10.10.1/30→ інтерфейсwg1. - На Router B:
10.10.10.2/30→ інтерфейсwg1.
Крок 5. Налаштування маршрутів
🔹 CLI (Router A)
/ip route add dst-address=192.168.2.0/24 gateway=10.10.10.2🔹 CLI (Router B)
/ip route add dst-address=192.168.1.0/24 gateway=10.10.10.1🔹 Winbox
- Відкрий IP → Routes → +.
- На Router A:
- Dst. Address: 192.168.2.0/24
- Gateway: 10.10.10.2
- На Router B:
- Dst. Address: 192.168.1.0/24
- Gateway: 10.10.10.1
Крок 6. Дозвіл порту у Firewall
🔹 CLI
/ip firewall filter add chain=input action=accept protocol=udp dst-port=51820🔹 Winbox
- Відкрий IP → Firewall → Filter Rules → +.
- Вкажи:
- Chain: input
- Protocol: udp
- Dst. Port: 51820
- Action: accept
Перевірка роботи
- Виконай ping з Router A на 10.10.10.2 і навпаки.
- Виконай ping між хостами у мережах 192.168.1.0/24 ↔ 192.168.2.0/24.
- У Winbox → WireGuard → Peers перевір поле Last Handshake — воно покаже, чи є активне з’єднання.
Висновок
WireGuard VPN Mikrotik — це сучасний VPN-протокол, який можна налаштувати буквально за кілька хвилин.
У цій статті ми побудували тунель між двома офісами, використовуючи та CLI, і Winbox, щоб будь-хто міг обрати зручний спосіб роботи.
WireGuard варто розглядати як основний VPN-протокол для RouterOS 7 завдяки його простоті, безпеці й швидкодії
- Схожі статті по MikroTik – https://itorakul.com.ua/category/mikrotik-uk/
- Документація по WireGuard VPN MikroTik – https://help.mikrotik.com/docs/spaces/ROS/pages/69664792/WireGuard
