Добавить в корзинуПозвонить
Найти в Дзене

MikroTik + WireGuard: настройка за 15 минут с нуля

Нужен надёжный VPN для удалённого доступа к офису или домашней сети. L2TP нестабилен, OpenVPN грузит слабые роутеры. WireGuard быстрее обоих и работает на MikroTik из коробки — начиная с RouterOS 7. Вот пошаговая настройка. Занимает 15 минут, если всё есть под рукой. Winbox → System → RouterBoard. Версия RouterOS должна быть 7.x. Если стоит 6.x — сначала обновите: System → Packages → Check For Updates. Результат: Версия 7.x — идём дальше. Версия 6.x — обновляем, потом возвращаемся. Winbox: WireGuard → кнопка «+» → вкладка WireGuard. Нажмите «OK». Скопируйте Public Key — он понадобится при настройке клиента. Результат: Интерфейс wg0 появился в списке. Public Key скопирован. IP → Addresses → кнопка «+»: Результат: Адрес 10.0.0.1/24 привязан к wg0. Роутер готов принимать клиентов. WireGuard требует, чтобы ключи генерировались на клиенте — не на роутере. Android / iOS: приложение WireGuard → «+» → «Создать с нуля». Ключи сгенерируются автоматически. Скопируйте Public Key. Windows: устано
Оглавление

Нужен надёжный VPN для удалённого доступа к офису или домашней сети. L2TP нестабилен, OpenVPN грузит слабые роутеры. WireGuard быстрее обоих и работает на MikroTik из коробки — начиная с RouterOS 7.

Вот пошаговая настройка. Занимает 15 минут, если всё есть под рукой.

Что понадобится

  • MikroTik с RouterOS 7.1 и выше — WireGuard появился только в 7-й ветке
  • Белый IP на роутере или DynDNS
  • Телефон или ноутбук на стороне клиента с приложением WireGuard

Шаг 1. Проверьте версию RouterOS

Winbox → System → RouterBoard. Версия RouterOS должна быть 7.x. Если стоит 6.x — сначала обновите: System → Packages → Check For Updates.

Результат: Версия 7.x — идём дальше. Версия 6.x — обновляем, потом возвращаемся.

Шаг 2. Создайте интерфейс WireGuard на роутере

Winbox: WireGuard → кнопка «+» → вкладка WireGuard.

  • Name: wg0
  • Listen Port: 51820
  • Private Key: нажмите «Generate» — ключ сгенерируется автоматически

Нажмите «OK». Скопируйте Public Key — он понадобится при настройке клиента.

Результат: Интерфейс wg0 появился в списке. Public Key скопирован.

Шаг 3. Назначьте IP-адрес интерфейсу

IP → Addresses → кнопка «+»:

  • Address: 10.0.0.1/24 — это IP роутера в VPN-сети
  • Interface: wg0

Результат: Адрес 10.0.0.1/24 привязан к wg0. Роутер готов принимать клиентов.

-2

Шаг 4. Сгенерируйте ключи на стороне клиента

WireGuard требует, чтобы ключи генерировались на клиенте — не на роутере.

Android / iOS: приложение WireGuard → «+» → «Создать с нуля». Ключи сгенерируются автоматически. Скопируйте Public Key.

Windows: установите WireGuard с официального сайта, нажмите «Добавить туннель» → «Создать пустой туннель». Скопируйте Public Key.

Результат: Public Key клиента у вас на руках. Переходим к роутеру.

Шаг 5. Добавьте клиента на роутере

WireGuard → вкладка Peers → кнопка «+»:

  • Interface: wg0
  • Public Key: вставьте Public Key клиента
  • Allowed Address: 10.0.0.2/32 — IP, который получит этот клиент
  • Persistent Keepalive: 25 — чтобы соединение не разрывалось за NAT

Результат: Peer появился в списке. Роутер знает о клиенте.

Шаг 6. Настройте клиент

Android — в приложении, раздел «Интерфейс»:

  • Addresses: 10.0.0.2/24
  • DNS: 8.8.8.8

Нажмите «Добавить пира»:

  • Публичный ключ: Public Key вашего MikroTik (Winbox → WireGuard → поле Public Key)
  • Адрес узла: ваш_внешний_ip:51820
  • Разрешённые IP-адреса: 0.0.0.0/0

Windows — конфиг-файл wg0.conf:

[Interface]
PrivateKey = <приватный ключ клиента>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <публичный ключ MikroTik>
AllowedIPs = 0.0.0.0/0
Endpoint = ваш_ip:51820
PersistentKeepalive = 25

В приложении: «Добавить туннель» → «Импортировать из файла».

Результат: Конфиг заполнен, туннель готов к подключению.

Шаг 7. Откройте порт в файерволе

IP → Firewall → вкладка Filter Rules → «+»:

  • Chain: input
  • Protocol: UDP
  • Dst. Port: 51820
  • Action: accept

Поставьте правило выше строки «drop» в списке — иначе не сработает.

Результат: Правило accept добавлено и стоит до drop. Порт открыт.

Шаг 8. Проверьте подключение

Включите VPN на клиенте. Через 5–10 секунд в Winbox → WireGuard → Peers появится строка с вашим клиентом — в колонке «Last Handshake» будет время последнего соединения.

Проверьте внешний IP на клиенте — он должен стать IP вашего MikroTik.

Результат: Handshake есть, IP сменился — VPN работает.

-3

Если не подключается

  • Нет handshake: проверьте, что порт 51820 открыт на MikroTik и у провайдера
  • Handshake есть, трафик не идёт: добавьте маскарадинг — IP → Firewall → NAT → правило srcnat с masquerade для интерфейса wg0
  • Только локальная сеть, не весь трафик: проверьте AllowedIPs на клиенте — должно быть 0.0.0.0/0
  • Туннель работает, сайты не открываются: проблема в DNS. В конфиге клиента должен быть DNS 8.8.8.8. Если не помогает — читайте про решение проблем с DNS в браузере

У вас уже стоит MikroTik с WireGuard — или только планируете поднять? Напишите в комментариях, если застряли на каком-то шаге — разберём.

Читайте также