Добавить в корзинуПозвонить
Найти в Дзене

MikroTik + WireGuard: я сделал генератор конфигов, который работает прямо в браузере — без серверов и без риска утечки ключей

Нужно поднять WireGuard для 10 сотрудников. Это значит: 10 приватных ключей, 10 публичных ключей, 10 preshared-ключей, 10 .conf-файлов для клиентов — и один RouterOS-скрипт для роутера. Всё вручную, не перепутав, чей ключ чей. Занимает сорок минут и несколько итераций. Я администрирую корпоративные сети и несколько лет работаю с MikroTik. WireGuard на RouterOS — мой основной инструмент для VPN. Один и тот же процесс повторялся раз за разом — и я его автоматизировал. Один HTML-файл, который работает полностью в браузере — без серверной части, без интернета в момент использования. Скачиваете, кладёте на флешку, открываете на любом компьютере. Никакие ключи никуда не уходят. Всё генерируется локально, в JavaScript, прямо у вас на машине. WireGuard-ключи — не пароли, которые можно сменить нажатием кнопки. Это криптографические идентификаторы. Если приватный ключ клиента утечёт — злоумышленник может подключиться к вашему VPN, представившись этим клиентом. Когда вы вводите ключи в онлайн-ге
Оглавление

Нужно поднять WireGuard для 10 сотрудников. Это значит: 10 приватных ключей, 10 публичных ключей, 10 preshared-ключей, 10 .conf-файлов для клиентов — и один RouterOS-скрипт для роутера. Всё вручную, не перепутав, чей ключ чей. Занимает сорок минут и несколько итераций.

Я администрирую корпоративные сети и несколько лет работаю с MikroTik. WireGuard на RouterOS — мой основной инструмент для VPN. Один и тот же процесс повторялся раз за разом — и я его автоматизировал.

Что это такое

Один HTML-файл, который работает полностью в браузере — без серверной части, без интернета в момент использования. Скачиваете, кладёте на флешку, открываете на любом компьютере.

Никакие ключи никуда не уходят. Всё генерируется локально, в JavaScript, прямо у вас на машине.

Почему это важно — про безопасность ключей

WireGuard-ключи — не пароли, которые можно сменить нажатием кнопки. Это криптографические идентификаторы. Если приватный ключ клиента утечёт — злоумышленник может подключиться к вашему VPN, представившись этим клиентом.

Когда вы вводите ключи в онлайн-генератор, вы доверяете его оператору, его серверам и его логам. Для домашнего использования — окей. Для корпоративной инфраструктуры — неприемлемо.

Офлайн-инструмент снимает этот вопрос полностью.

Что генерирует инструмент

Заполняете параметры: внешний адрес и порт, имя интерфейса, подсеть, количество клиентов, Allowed IPs, DNS. Получаете:

  • RouterOS .rsc скрипт — запускаете через терминал или Winbox. Создаёт WireGuard-интерфейс, правила файервола, IP-адрес и записи peers для всех клиентов
  • Клиентские .conf-файлы — стандартный формат, совместим с официальным клиентом на Windows, macOS, iOS, Android
  • QR-коды для каждого клиента — сканируете приложением WireGuard на телефоне, туннель готов
  • ZIP-архив со всем сразу: серверный скрипт и папка с конфигами клиентов

Как это выглядит на практике

Нужно было поднять WireGuard для удалённых сотрудников. Подсеть 10.20.0.0/24, интерфейс wg-clients, порт 51821, 8 клиентов.

Открыл генератор → заполнил поля → нажал Generate → скопировал RouterOS-скрипт в терминал роутера → отправил каждому сотруднику его .conf или QR-код. Весь процесс занял пять минут. Без единой ошибки в ключах.

-2

Раньше то же самое занимало полчаса и несколько итераций.

Где взять

Один .html-файл — скачиваете, открываете в браузере, пользуетесь. Без установки, без зависимостей, без интернета в момент использования.

Скачать генератор конфигов → ссылка на генератор.

Если хотите понять, что происходит под капотом, или настроить WireGuard на MikroTik вручную — пошаговая инструкция здесь.

Пользуетесь MikroTik и периодически настраиваете WireGuard? Напишите в комментариях — сколько клиентов поднимаете и вручную или уже автоматизировали. Интересно сравнить подходы.

Читайте также