Requisitos
- Router Mikrotik: que ha configurado para la intranet de su hogar y/o empresa.
- 1 VPS tiene configurado el servidor WireGuard. Puede consultar la guía a continuación para crear un servidor VPN de forma gratuita
II. Actualización a RouterOS 7
El router de red que estoy usando es Mikrotik RB750Gr3, que ejecuta RouterOS 6. Para configurar WireGuard VPN en Mikrotik, es imperativo que actualice a RouterOS 7.
Esta versión de RouterOS 7 aún está en desarrollo, aún no ha lanzado una versión estable, por lo que aún puede haber algunos errores. Debe considerar si lo está utilizando para redes corporativas o empresariales. Y he estado usando la versión 7.1rc4 en casa durante más de 2 meses y no tengo ningún problema.
Actualización 10/2022: El artículo ha sido editado para RouterOS 7.5 y versiones posteriores
1. Configuración de la copia de seguridad
Antes de actualizar a RouterOS 7, debe guardar su configuración actual por si acaso, si encuentra un error, se recuperará más rápido.
Abra Winbox, conéctese al enrutador Mikrotik
- Haga clic en Archivos en el menú de la izquierda
- Haga clic en el botón Copia de seguridad
- Introduzca un nombre (Nombre), contraseña (Contraseña) para la copia de seguridad
- Haga clic en Copia de seguridad para guardar
2. Actualice el firmware
Haga clic en el elemento System –> Packages y continúe de la siguiente manera
- Haga clic en Buscar actualizaciones
- Seleccionar canal: desarrollo
- Haga clic en Buscar actualizaciones y haga clic en Descargar e instalar para descargar e instalar la última versión de fimware
III. Configuración de WireGuard en Mikrotik
1. Prepare el archivo del cliente de Wireguard
En primer lugar, tienes que acceder a WireGuard VPN Server para crear 1 nuevo cliente para Mikrotik y descargar el archivo conf. El contenido del archivo será similar al que se muestra a continuación.
[Interface]
PrivateKey = UDbFxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxaN9Oms=
Address = 10.6.0.2/24
DNS = 10.2.0.100
[Peer]
PublicKey = e/VZhqIyyyyyyyyyyyyyyyyyyyyyyyyy/4wS37B5x8QMxg=
PresharedKey = 5XvmWvYUm2xxxxxxxxxxxxxxxxxxxxxxxxxxxlgYPoFzj8Q618=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 146.ooo.iii.eee:51820
PersistentKeepalive = 0Usaremos la información de este archivo conf para configurar el cliente WireGuard en el router Mikrotik
2. Crear la interfaz de WireGuard
En WinBox, se accede a la entrada de WireGuard siguiendo estos pasos
- Haga clic en el elemento WireGuard en el menú de la izquierda
- Haga clic en el signo +
- Nombre e ingrese la clave privada (tomada en el archivo de configuración anterior)
- Haga clic en la pestaña Pares
- Haga clic en el signo + para crear un par
- Introduzca la información Clave pública, Punto de conexión, Puerto de punto de conexión, Dirección permitida, Clave previamente compartida. Todos están en el archivo de configuración del cliente WireGuard en el paso anterior.
A continuación, haga clic en Aceptar para guardar
3. Crea una lista de direcciones
Acceda a la sección Lista de direcciones (haga clic en el menú IP –> Lista de direcciones)
- Haga clic en el signo +
- Introduzca el rango de direcciones IP en el archivo de configuración en el paso 1
- Interfaz: seleccione la interfaz WireGuard que creó en el paso 2
Haga clic en Aplicar y en Aceptar para guardar.
IV. Configurar el enrutamiento para WireGuard
1. Crea una lista de rutas
Haga clic en el menú Enrutamiento – Tabla para crear una nueva tabla de enrutamiento para WireGuard
- Haga clic en el signo +
- Asigne a la tabla de enrutamiento el nombre que desee. Yo elijo
To-WG-HK - Marque la casilla FIB
Haga clic en Aplicar y en Aceptar para guardar.
Haga clic en IP –> Rutas para configurar el enrutamiento
- Haga clic en el signo +
- Establezca los parámetros de la siguiente manera:
- Dirección Dst:
0.0.0.0/0 - Gateway: el nombre de la interfaz Wireguard que creó en el paso III.2
- Tabla de enrutamiento: seleccione la tabla que acaba de crear en el paso anterior
- Dirección Dst:
Haga clic en Aplicar y Aceptar para guardar
3. Crear una regla NAT
Vaya a la sección Firewall (menú IP –> Firewall), haga clic en la pestaña NAT y presione el signo + para crear una nueva regla NAT para la interfaz WireGuard
- Cadena: srcnat
- Fuera. Interfaz: WireGuard
- Acción: masquarage
- Comentario: Acceso a Internet Wireguard
Haga clic en Aplicar y Aceptar para guardar
A continuación, arrastre esta regla NAT recién creada al segundo lugar, detrás de la regla de Internet PPPoE.
4. Crear una regla de mangle
Mangle es una característica de Mikrotik que marca los paquetes para su procesamiento de acuerdo con las condiciones preestablecidas. Necesitaremos crear 1 regla de mangle para redirigir las conexiones de red a través de WireGuard VPN.
Abra la ventana Firewall y cree una regla de mangle siguiendo estos pasos:
- Haga clic en la pestaña Destrozar
- Haga clic en el signo +
- Introduzca los parámetros:
- Cadena: preenrutamiento
- Dirección Src.: es el rango de IP interno que quiero ejecutar a través de WireGuard.
192.168.0.100-192.168.0.200 - Dirección de destino: es el rango de IP interno en la casa, haga clic en marcar en el cuadro frontal para mostrar un signo de exclamación.
192.168.0.0/24
- Haga clic en la pestaña Acciones, seleccione Siguiente:
- Acción: Marcar enrutamiento
- Nueva marca de enrutamiento: To-WG-HK (seleccione la tabla de enrutamiento que creó en el paso IV.1
Con esta configuración, todos los paquetes que se originan en la red local se procesarán de la siguiente manera
- El paquete proviene de , acceso a
192.168.0.100yahoo.com - La regla de mangle aplicará la tabla de enrutamiento y se ejecutará a través de la interfaz
To-WG-HKWireGuard-HK - La regla NAT procesará el enmascaramiento del paquete saliente y lo enviará al servidor VPN para su posterior procesamiento.
WireGuard-HK - La entrada de dirección Dst. está configurada para que las conexiones internas en la LAN no pasen por WireGuard.
