Mikrotik WireGuard в качестве WireGuard клиента (peer)

В RouterOS 7 появился WireGuard, который позиционирует себя как максимально простой в настройке VPN

Исходные данные

• WireGuard Server в сети предприятия: 192.16.1.0/24, UDP-порт опубликован
• Туннельная сеть: 172.16.30.0/24
• Туннельный IP WireGuard Server: 172.16.30.1
• Туннельный IP WireGuard Peer: 172.16.30.9
• Домашняя сеть: 192.168.11.0/24
• Домашний роутер (Mikrotik, RouteOS 7): 192.168.11.1

Настройка WireGuard клиента

Запускаем Winbox, переходим пункт меню “wireguard” создаем новый интерфейс

Name: wireguard1
MTU: 1420

После сохранения должны сгенерироваться приватный и публичный ключи

Далее идем: IP -> Addresses, добавляем туннельный ip-адрес

Address: 172.16.30.9/24
Network: 172.16.30.0
Interface: wireguard1 (из прошлого шага)

Возвращаемся в пункт меню Wireguard, вкладка Peers. Будем настраивать наш роутер как wireguard peer

Interface: wireguard1
Publiv Key: вставляем публичный ключ wireguard сервера
Endpoint: публичный ip wireguard сервера
Endpoint Port: UDP-порт wireguard сервера
Allowed Address: 172.16.30.1/32 - туннельный ip wireguard сервера
   192.168.1.0/24 - сеть предприятия

Добавляем маршрутизацию, переходим: IP -> Routes

Тут сам должен был появиться маршрут:

Dst Address: 172.16.30.0/24
Gateway: wireguard1
Distance: 0

Добавляем маршрут до сети предприятия

Dst Address: 192.168.1.0/24
Gateway: wireguard1

Настройка WireGuard сервера

Редактируем конфиг сервера, добавляем пира

$ sudo nano /etc/wireguard/wg0.conf
...
[Peer]
# Client 3
PublicKey = %публичный ключ с клиента (с нашего роутера)%
AllowedIPs = 172.16.30.9/32, 192.168.11.0/24

AllowedIPs – список разрешенных ip, в том числе наша домашняя сетка (иначе из нашей сети не будет доступа к удаленной сети)

Перезапускаем wireguard server

$ sudo systemctl restart wg-quick@wg0

Теперь из домашней сети должны быть доступны ПК из сети предприятия