WireGuard сервер на Linux + клиент MikroTik

#MikroTik #Network

1 мин чтения 2 просмотров

WireGuard — современный VPN-протокол. Простой конфиг, быстрое подключение, встроен в ядро Linux. MikroTik добавил нативную поддержку WireGuard начиная с RouterOS 7. В этой статье поднимем сервер на Linux и подключим MikroTik как клиент.

Что понадобится

VPS или сервер с Linux (Debian/Ubuntu)
MikroTik с RouterOS 7.x
Открытый UDP порт 51820 на сервере

1. Установка WireGuard на сервер

apt update && apt install wireguard -y

2. Генерация ключей сервера

wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key
chmod 600 /etc/wireguard/server_private.key
cat /etc/wireguard/server_private.key
cat /etc/wireguard/server_public.key

3. Генерация ключей клиента (MikroTik)

wg genkey | tee /etc/wireguard/client_private.key | wg pubkey > /etc/wireguard/client_public.key
cat /etc/wireguard/client_private.key
cat /etc/wireguard/client_public.key

4. Конфиг сервера

Создаём файл /etc/wireguard/wg0.conf:

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <server_private.key>

[Peer]
# MikroTik
PublicKey = <client_public.key>
AllowedIPs = 10.0.0.2/32

5. Запуск сервера

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
wg show

6. Открываем порт

ufw allow 51820/udp

7. Настройка MikroTik

Подключаемся через WinBox или SSH и вводим команды:

/interface wireguard add name=wg0 private-key="<client_private.key>"

/interface wireguard peers add \
  interface=wg0 \
  public-key="<server_public.key>" \
  endpoint-address=<VPS_IP> \
  endpoint-port=51820 \
  allowed-address=10.0.0.0/24 \
  persistent-keepalive=25

/ip address add address=10.0.0.2/24 interface=wg0

Проверка

На сервере — должен появиться peer с последним хендшейком:

wg show

На MikroTik:

/interface wireguard peers print

Какой ключ куда подставлять

MikroTik interface private-key — client_private.key
MikroTik peer public-key — server_public.key
Сервер [Peer] PublicKey — client_public.key
Сервер [Interface] PrivateKey — server_private.key

После настройки туннель поднимается автоматически при старте MikroTik и сервера.