Логотип
Старая версия сайта доступна по ссылкеold.mikrotik.group
Знакомимся с WireGuard – быстрая и простая VPN
Дата26/06/24
Знакомимся с WireGuard – быстрая и простая VPN

1. Что такое WireGuard

WireGuard — это современный протокол VPN, который появился как альтернатива старым решениям вроде IPsec и OpenVPN.

Он отличается:

  • простотой настройки;
  • высокой скоростью шифрования;
  • безопасностью благодаря современным криптографическим алгоритмам;
  • минимальной нагрузкой на процессор роутера.
ul>

WireGuard появился в RouterOS начиная с версии 7.1, и уже стал стандартом для современных MikroTik.

2. Как работает WireGuard

В отличие от IPsec, WireGuard не использует сложные фазы обмена ключами (IKE).

Вместо этого — каждая сторона имеет:

  • пару ключей: private и public;
  • и узнаёт ключ собеседника заранее.

Связь устанавливается только между теми устройствами, у которых ключи совпадают в паре «мой public ↔ твой peer public».

3. Пример: соединяем два MikroTik

Шаг 1. Создай интерфейс WireGuard
/interface/wireguard/add name=wg1 listen-port=51820
Шаг 2. Сгенерируй ключи
/interface/wireguard/peers/add generate-key=yes

Или через WinBox:

Interfaces → WireGuard → Peers → Generate Key Pair

Ты получишь:

  • Private Key
    • l
  • Public Key
  • Сохрани Public Key, он понадобится второй стороне.
Шаг 3. Настрой пира (peer)
/interface/wireguard/peers/add interface=wg1 public-key="PUBKEY_PEER" allowed-address=10.0.0.2/32 endpoint-address=192.168.1.2 endpoint-port=51820 persistent-keepalive=25s

allowed-address — какие IP разрешено маршрутизировать через туннель.

persistent-keepalive — помогает держать туннель активным, если NAT закрывает соединение.

Шаг 4. Задай IP для интерфейса
/ip/address/add address=10.0.0.1/24 interface=wg1

На второй стороне:

/ip/address/add address=10.0.0.2/24 interface=wg1
Шаг 5. Разреши маршруты

Если нужно, чтобы через VPN шёл весь трафик:

/ip/route/add dst-address=0.0.0.0/0 gateway=10.0.0.2

Если только определённые подсети:

/ip/route/add dst-address=192.168.10.0/24 gateway=10.0.0.2

4. Проверка соединения

Проверь состояние:

/interface/wireguard/peers/print detail

Видишь поле last-handshake?

Если там есть время — соединение установлено. 🎉

Попробуй пропинговать удалённый адрес:

/ping 10.0.0.2

5. Преимущества WireGuard в MikroTik

  • ✅ Простая настройка — без фаз, сертификатов и множества CLI-команд
  • ✅ Работает даже за NAT (через keepalive)
  • ✅ Минимальные задержки и высокая пропускная способность
  • ✅ Подходит для site-to-site, road-warrior (удалённый доступ) и мобильных клиентов

6. Пример: подключение ноутбука или телефона

Установи WireGuard (Windows, Android, iOS).

Создай новый туннель, вставь public key и адрес сервера MikroTik.

В RouterOS добавь пира с public key клиента.

Пропиши в allowed-address нужные IP для клиента (например, 10.0.0.3/32).

7. Безопасность

Не делись private key — он уникален для каждой стороны.

Открывай UDP-порт 51820 только на доверенных устройствах.

Для повышенной безопасности используй firewall rules на interface=wg1.

🧠 Итого

WireGuard на MikroTik — это:

  • надёжный и быстрый VPN для любого сценария;
  • буквально 5–6 команд в CLI;
  • лучший выбор для современной сетевой инфраструктуры.