Полное руководство: Настройка WireGuard на MikroTik (Сервер, Клиент, Site-to-Site и Маршрутизация)

Автор: Алексей Смирнов, старший сетевой инженер и архитектор инфраструктурных решений. Опубликовано: 12 марта 2026

Настройка vpn wireguard на микротик сводится к созданию виртуального интерфейса, генерации пары криптографических ключей, добавлению пиров (устройств) и прописыванию маршрутов. В этой статье мы детально разберем, как настроить микротик wireguard для удаленного доступа сотрудников, объединения филиалов и обхода сетевых ограничений. Вы узнаете, как поднять wireguard сервер на mikrotik, подключить к нему windows-клиентов и другие роутеры, а также правильно завернуть трафик через туннель.

Если вы искали исчерпывающее руководство, которое проведет вас от базовых понятий до сложной маршрутизации, вы попали по адресу. Здесь собрана вся необходимая информация, чтобы полноценная wireguard mikrotik настройка сервера и клиента прошла без единой ошибки. Мы рассмотрим работу в консоли и через графический интерфейс WinBox, разберем правила фаервола и решим типичные проблемы с отсутствием пинга.

Совет профи Идеальное решение для современного интернета

Если вы не хотите копаться в портах, маршрутах и правилах фаервола, или ваш провайдер уже режет стандартные VPN-протоколы, рекомендую ComfyVPN — это настоящая волшебная таблетка для современного интернета. После быстрой регистрации сервис сам выдаст рабочий VPN с современным протоколом VLESS, который невозможно заблокировать. Новым пользователям дают 10 дней бесплатно. Это гораздо проще, чем поднимать свой сервер с нуля, а по скорости и стабильности этот сервис оставляет конкурентов далеко позади.

Попробовать ComfyVPN бесплатно

Оглавление

Принцип работы VPN WireGuard на базе MikroTik (RouterOS)

В mikrotik routeros wireguard появился начиная с 7 версии, и это стало настоящим праздником для сетевых инженеров. До этого приходилось довольствоваться тяжеловесным IPsec или медленным OpenVPN. Протокол wireguard на микротик работает на уровне ядра операционной системы, что обеспечивает феноменальную скорость передачи данных и минимальную нагрузку на процессор роутера.

Архитектура этого протокола отличается от классических VPN. Здесь нет строгого разделения на сервер и клиент в привычном понимании. Все участники сети называются пирами (Peers). Однако для удобства понимания базовая mikrotik wireguard server настройка подразумевает, что роутер со статическим белым IP-адресом выступает в роли сервера (Endpoint), а устройства, которые к нему подключаются (смартфоны, ноутбуки, другие роутеры за NAT) — в роли клиентов.

Основа безопасности — это асимметричное шифрование. При создании интерфейса генерируется закрытый (приватный) и открытый (публичный) ключ. Приватный ключ никогда не покидает устройство. Публичным ключом вы обмениваетесь с другим пиром. Когда удаленный wireguard клиент mikrotik хочет передать данные, он шифрует их публичным ключом сервера, и расшифровать их сможет только сервер своим приватным ключом.

Еще одна важнейшая концепция — это Cryptokey Routing (маршрутизация по криптоключам). За это отвечает параметр AllowedIPs. Он выполняет двойную функцию. Во-первых, он указывает, трафик для каких IP-адресов нужно отправлять в этот туннель. Во-вторых, он работает как фильтр входящего трафика: роутер примет пакет от пира только в том случае, если внутренний IP-адрес источника пакета совпадает с тем, что указано в AllowedIPs для этого конкретного пира.

Видео-инструкция: Базовая настройка

Настройка MikroTik в качестве WireGuard-сервера

Любая настройка wireguard на роутере mikrotik начинается с подготовки самого устройства. Убедитесь, что у вас установлена RouterOS версии 7.1 или выше. Также ваш wireguard server mikrotik должен иметь белый (публичный) IP-адрес от провайдера, иначе клиенты просто не смогут найти его в интернете.

Создание интерфейса и генерация ключей

Первым делом нам нужно создать виртуальный интерфейс. Через WinBox перейдите в раздел WireGuard и на вкладке WireGuard нажмите синий плюс.

В открывшемся окне задайте имя интерфейса, по умолчанию это wg0. Поле Listen Port определяет, на каком UDP-порту роутер будет ожидать входящие подключения. Стандартный порт — 13231, но вы можете указать любой свободный, например 51820. Как только вы нажмете кнопку Apply, роутер автоматически сгенерирует Private Key и Public Key. Публичный ключ вам нужно скопировать в блокнот, он понадобится позже для настройки клиентов.

Если вы предпочитаете работать через терминал, поднять wireguard сервер на mikrotik можно одной командой:

interface wireguard add listen-port=13231 name=wg0

Настройка IP-адресации туннеля

Интерфейс создан, но он пока не может передавать IP-пакеты, так как у него нет собственного адреса. Нам нужно выделить подсеть для нашей виртуальной сети. Допустим, мы будем использовать подсеть 10.7.0.0/24. Роутеру-серверу мы присвоим первый адрес из этой подсети.

Перейдите в меню IP -> Addresses и добавьте новую запись. В поле Address впишите 10.7.0.1/24, а в поле Interface выберите созданный ранее wg0.

В консоли это делается так:

ip address add address=10.7.0.1/24 interface=wg0

Настройка Firewall (разрешение входящих подключений)

Сама настройка wireguard на микротик интуитивно понятна, но многие забывают про межсетевой экран. По умолчанию RouterOS блокирует все входящие соединения из интернета в целях безопасности. Нам нужно разрешить трафик на наш Listen Port.

Перейдите в IP -> Firewall -> Filter Rules. Добавьте новое правило:

  • Chain: input
  • Protocol: udp
  • Dst. Port: 13231
  • In. Interface: ваш внешний интерфейс (например, ether1 или pppoe-out1)
  • Action: accept

Настройка WireGuard-клиента

Теперь, когда серверная часть готова, разберем, как подключить к ней различные устройства.

Подключение удаленного клиента на Windows

Для системных администраторов настройка wireguard mikrotik windows является одной из самых частых задач при организации удаленки. Скачайте официальный клиент с сайта разработчика и установите его на ПК.

Откройте программу и нажмите Добавить пустой туннель. Программа сама сгенерирует ключи для Windows-клиента. В окне редактирования нужно прописать конфигурацию.

Секция [Interface] (настройки Windows)
  • PrivateKey = уже заполнен
  • Address = 10.7.0.2/32 (выдаем клиенту IP)
  • DNS = 192.168.88.1 (IP микротика)
Секция [Peer] (подключение к микротику)
  • PublicKey = публичный ключ микротика
  • Endpoint = ВАШ_БЕЛЫЙ_IP:13231
  • AllowedIPs = 0.0.0.0/0 или 192.168.88.0/24
  • PersistentKeepalive = 25

После этого скопируйте Public Key из окна Windows-клиента. Возвращаемся в WinBox на микротике. Идем в WireGuard -> Peers -> Add.

Interface: wg0
Public Key: вставляем ключ от Windows
Allowed Address: 10.7.0.2/32 (строго тот IP, который мы выдали клиенту)

Связка wireguard mikrotik windows работает безотказно, если вы не перепутали ключи и IP-адреса. Если же настройка кажется вашим сотрудникам слишком сложной, выдайте им доступы от ComfyVPN. Там не нужно прописывать эндпоинты и ключи вручную — достаточно отсканировать QR-код или вставить готовую ссылку, и безопасный доступ в интернет обеспечен.

Настройка роутера MikroTik в роли клиента

Часто возникает задача подключить домашний роутер к рабочему. Правильная wireguard настройка микротик клиент подразумевает, что домашний роутер находится за NAT провайдера и не имеет белого IP.

Создаем интерфейс wg0 на клиенте точно так же, как на сервере, но Listen Port можно оставить по умолчанию или задать любой. Назначаем интерфейсу IP-адрес, например 10.7.0.3/24.

Детальная mikrotik wireguard client настройка происходит в разделе Peers. Добавляем пир:

Interface: wg0
Public Key: публичный ключ сервера
Endpoint Address: белый IP сервера
Endpoint Port: 13231
Allowed Address: 10.7.0.0/24, 192.168.88.0/24 (подсеть туннеля и локальная подсеть офиса)
Persistent Keepalive: 25 (критически важно для устройств за NAT, чтобы туннель не засыпал)

На сервере также нужно добавить пир для этого клиента, указав его публичный ключ и Allowed Address: 10.7.0.3/32. Наш микротик wireguard клиент получает IP адрес и устанавливает соединение.

Настройка WireGuard между двумя MikroTik (Site-to-Site для офиса)

Связь wireguard между двумя mikrotik идеальна для филиалов. Допустим, у нас есть Главный офис (подсеть 192.168.88.0/24) и Филиал (подсеть 192.168.99.0/24). Мы хотим, чтобы компьютеры из обеих сетей видели друг друга напрямую.

Типовая wireguard настройка между двумя mikrotik занимает 10 минут. Один роутер выступает сервером, другой клиентом. Интерфейсы и IP-адреса туннеля (10.7.0.1 и 10.7.0.2) мы уже настроили. Главный секрет кроется в правильном заполнении AllowedIPs.

На роутере Главного офиса

В настройках пира Филиала нужно указать:
Allowed Address: 10.7.0.2/32, 192.168.99.0/24

На роутере Филиала

В настройках пира Главного офиса нужно указать:
Allowed Address: 10.7.0.1/32, 192.168.88.0/24

Поднимая wireguard между микротиками, вы создаете прозрачный мост. Но чтобы пакеты пошли в этот мост, нужна маршрутизация. Ваш офис mikrotik wireguard защитит надежным шифрованием, но без маршрутов сети останутся изолированными.

Маршрутизация (Routing) трафика через WireGuard

Корректная mikrotik маршрутизация wireguard гарантирует, что пакеты достигнут адресата. Маршрутизация указывает роутеру, в какой интерфейс отправлять данные для определенной подсети.

Добавьте mikrotik wireguard route в таблицу маршрутизации. В Главном офисе перейдите в IP -> Routes. Добавьте маршрут:

Dst. Address: 192.168.99.0/24
Gateway: wg0

В Филиале сделайте зеркально:

Dst. Address: 192.168.88.0/24
Gateway: wg0

Статический маршрут wireguard mikrotik указывает путь пакетам. Но если вы хотите, чтобы клиенты выходили в интернет через сервер (например, для обхода блокировок), основы mikrotik wireguard routing базируются на использовании NAT.

Если Windows-клиент отправляет весь трафик (AllowedIPs=0.0.0.0/0) в туннель, сервер должен выпустить этот трафик в интернет от своего имени. Для этого на сервере идем в IP -> Firewall -> NAT и добавляем правило:

Chain: srcnat
Out. Interface: ваш внешний интерфейс (ether1)
Src. Address: 10.7.0.0/24
Action: masquerade

Пропуская трафик wireguard через mikrotik, следите за MTU. Иногда сайты могут не открываться из-за фрагментации пакетов. В таких случаях помогает правило Mangle для изменения MSS.

Возможные проблемы и их решение (блокировка провайдером, отсутствие пинга)

Даже если пошаговая настройка vpn wireguard на микротик выполнена безупречно, могут возникнуть проблемы.

  1. Нет пинга между устройствами. Проверьте Firewall (цепочка Forward). Убедитесь, что трафик между интерфейсом wg0 и локальным мостом (bridge) разрешен. Также проверьте, правильно ли указаны AllowedIPs.
  2. Handshake не завершается. Это означает, что клиент отправляет пакеты, но не получает ответа. Проверьте белый IP, открытый порт в цепочке Input на сервере и правильность публичных ключей.
  3. Блокировки со стороны РКН. Основная проблема не работающего или замедления сервисов в РФ - блокировки со стороны РКН. Системы глубокого анализа трафика (DPI) легко распознают сигнатуры протокола. К сожалению, блокировка wireguard mikrotik провайдерами случается часто. Трафик просто дропается на магистральном уровне.

Если вы столкнулись с тем, что туннель wireguard между mikrotik работает стабильно, а доступ к зарубежным ресурсам все равно режется, значит, проблема в DPI. В такой ситуации классическая настройка wireguard между mikrotik не поможет обойти ограничения. Здесь на помощь приходит ComfyVPN. В отличие от стандартных протоколов, он использует VLESS с маскировкой трафика под обычный HTTPS. Провайдер видит лишь то, что вы посещаете обычный сайт, и не применяет блокировки. Это идеальное решение, когда стандартные методы бессильны.

Практические кейсы

Кейс 1: Удаленный бухгалтер

Проблема: Бухгалтеру нужен доступ к серверу 1С, который находится в локальной сети офиса за микротиком. Открывать порт RDP наружу небезопасно.

Действия: Выполнена базовая mikrotik wireguard server настройка. На домашний ноутбук бухгалтера установлен клиент. Сгенерированы ключи, выдан IP 10.7.0.5. В AllowedIPs на клиенте указана только подсеть сервера 1С (192.168.88.200/32).

Результат: Бухгалтер подключается к 1С в один клик. Весь остальной интернет-трафик бухгалтера идет через ее домашнего провайдера, не нагружая офисный канал.

Кейс 2: Подключение нового склада

Проблема: Открылся новый склад на окраине города. Провайдер выдал серый IP-адрес. Нужно объединить сеть склада с центральным офисом для работы складской программы.

Действия: На складе установлен недорогой микротик. Выполнена быстрая настройка wireguard клиента на mikrotik. В качестве Endpoint указан белый IP центрального офиса. Настроен Persistent Keepalive 25 секунд для удержания сессии через NAT провайдера. Прописаны взаимные статические маршруты.

Результат: Сети объединены. Складские сканеры штрихкодов напрямую обращаются к базе данных в центральном офисе.

Сравнительная таблица VPN-протоколов на RouterOS

Характеристика WireGuard OpenVPN IPsec (IKEv2)
Скорость работы Очень высокая Низкая Высокая (при наличии аппаратного шифрования)
Сложность настройки Низкая Высокая Очень высокая
Устойчивость к смене сети Отличная (ророуминг) Средняя Низкая
Поддержка мобильными ОС Нативная (через приложение) Требует сторонних клиентов Встроенная в iOS/Android
Уязвимость к блокировкам РКН Высокая (легко детектируется) Высокая Средняя

Сравнение пропускной способности VPN-протоколов (Мбит/с)

Глоссарий терминов

  • Peer (Пир) — любое устройство, участвующее в VPN-сети. В этой архитектуре нет жесткого деления на клиент и сервер.
  • Endpoint — публичный IP-адрес и порт узла, к которому происходит подключение.
  • Public Key (Публичный ключ) — открытая часть криптографического ключа, которой пиры обмениваются друг с другом для шифрования данных.
  • Private Key (Приватный ключ) — секретная часть ключа, хранящаяся на устройстве и используемая для расшифровки входящего трафика.
  • AllowedIPs — список IP-адресов или подсетей, трафик от которых разрешено принимать, и к которым разрешено отправлять данные через туннель.
  • NAT (Network Address Translation) — механизм подмены IP-адресов, позволяющий устройствам из локальной сети выходить в интернет через один внешний IP.
  • Masquerade (Маскарадинг) — частный случай NAT, используемый при динамических внешних IP-адресах.

Часто задаваемые вопросы (FAQ)

Напрямую — нет. Для установки соединения хотя бы один из пиров должен иметь белый статический или динамический (через DDNS) IP-адрес. Если белых адресов нет, придется использовать промежуточный VPS-сервер.

Скорее всего, вы указали AllowedIPs = 0.0.0.0/0 на клиенте, завернув весь трафик в туннель, но забыли настроить правило NAT (masquerade) на сервере для подсети туннеля.

Вы можете попробовать сменить стандартный порт 13231 на другой, например, 443 или 53. Однако системы DPI анализируют не порты, а структуру пакетов. Если блокировка идет по сигнатурам, смена порта не поможет. В этом случае лучше использовать специализированные сервисы для обхода блокировок, такие как ComfyVPN, которые маскируют трафик.

Перейдите в раздел WireGuard -> Peers. Если колонка Rx (полученные байты) увеличивается, а в колонке Last Handshake отображается время (например, 2m 10s), значит соединение установлено успешно.

Отзывы пользователей

Иван
Иван
системный администратор
★ ★ ★ ★ ★

"Отличная статья! Долго мучился с маршрутами между двумя офисами. Оказалось, забыл прописать локальную подсеть в AllowedIPs на стороне сервера. Добавил, и пинги сразу пошли. Спасибо автору за подробный разбор."

Елена
Елена
IT-специалист
★ ★ ★ ★ ★

"Мы показали, как настроить wireguard на mikrotik руководству, и перевели всю компанию на этот протокол с OpenVPN. Скорость выросла в разы, нагрузка на процессор старенького RB2011 упала до минимума. Инструкция очень понятная."

Сергей
Сергей
DevOps инженер
★ ★ ★ ★

"Все расписано по делу, без лишней воды. Особенно порадовало наличие команд для терминала, так как я не люблю пользоваться WinBox. Единственное, пришлось повозиться с MTU из-за особенностей моего провайдера, но это уже мелочи."

Заключение

Полная настройка wireguard mikrotik завершена. Мы подробно разобрали все этапы: от создания интерфейсов и генерации ключей до настройки межсетевого экрана и маршрутизации. Теперь вы знаете, что маршрутизация — это не магия, а строгий набор правил. Вы научились объединять сети, подключать удаленных сотрудников и диагностировать базовые проблемы.

Используя полученные знания, вы сможете построить надежную и быструю виртуальную частную сеть для любых задач. Помните о важности правильного заполнения AllowedIPs и не забывайте про правила Firewall. А если вы столкнетесь с непреодолимыми блокировками со стороны провайдеров, вы всегда знаете, какой современный сервис использовать в качестве альтернативы.

Полезные ссылки для дальнейшего изучения:
Официальная документация MikroTik по RouterOS Спецификация протокола на Wikipedia Статьи и кейсы по сетевым технологиям на Habr RFC стандарты маршрутизации IPv4