WireGuard — рекомендований VPN для сучасних MikroTik на RouterOS 7. Він підходить для віддаленого доступу інженера, мобільних клієнтів і site-to-site між обʼєктами.
Важливі правила
- WireGuard потребує RouterOS 7.
allowed-addressу peers не повинні перетинатися.- UDP-порт WireGuard треба дозволити в input chain до final drop.
- Для доступу в LAN потрібні маршрути і firewall forward правила.
RoadWarrior приклад
/interface wireguard add name=wg-sds listen-port=13231
/ip address add address=10.77.0.1/24 interface=wg-sds
/interface wireguard peers add interface=wg-sds public-key="CLIENT_PUBLIC_KEY" allowed-address=10.77.0.2/32 persistent-keepalive=25 comment="Engineer laptop"
/ip firewall filter add chain=input action=accept protocol=udp dst-port=13231 comment="allow WireGuard"
/ip firewall filter add chain=forward action=accept in-interface=wg-sds dst-address=192.168.88.0/24 comment="WG to LAN"Перевірка
/interface wireguard print detail
/interface wireguard peers print detail
/ip firewall filter print stats where comment~"WireGuard|WG"
/ping 10.77.0.2 count=5Site-to-site логіка
Для двох офісів кожен роутер має свій WireGuard IP, peer public key іншого роутера, allowed-address віддаленої LAN і маршрут до цієї LAN через WireGuard interface.
/ip route add dst-address=10.20.0.0/24 gateway=wg-sds comment="remote office LAN"Типові помилки
- залишити однаковий
allowed-addressу кількох peers; - відкрити UDP port після final drop;
- не додати route до віддаленої підмережі;
- втратити private key клієнта і не мати змоги відновити QR/config.