Guida MikroTik
VPN e tunnelIntermedio

WireGuard: accesso remoto road warrior

Configura RouterOS v7 come server WireGuard per client mobili (laptop, smartphone): ogni client ha un indirizzo IP fisso nel tunnel e può raggiungere la rete locale.

In modalità road warrior il router MikroTik funge da server: accetta connessioni da client con IP variabile. Ogni peer viene identificato dalla propria chiave pubblica e riceve un indirizzo fisso nel range del tunnel.

Caso d'uso WISP. Il tecnico in trasferta o lo smart-working dell'NOC: con WireGuard sul portatile e l'app sullo smartphone, accedi a Winbox/WebFig dei router di campo passando dalla VPN — senza mai esporre la porta 8291 (Winbox) sulla WAN.

Server — interfaccia e indirizzo gateway del tunnel
# Interfaccia server WireGuard
/interface/wireguard/add name=wg-vpn listen-port=13231

# Gateway tunnel: il server assume .1/24
/ip/address/add address=192.168.200.1/24 interface=wg-vpn
Server — aggiunta peer per ogni client
# Client 1 (laptop — chiave pubblica generata dal client)
/interface/wireguard/peers/add \
  interface=wg-vpn \
  public-key="<CHIAVE_PUBBLICA_CLIENT1>" \
  allowed-address=192.168.200.2/32 \
  comment="laptop-mario"

# Client 2 (smartphone)
/interface/wireguard/peers/add \
  interface=wg-vpn \
  public-key="<CHIAVE_PUBBLICA_CLIENT2>" \
  allowed-address=192.168.200.3/32 \
  comment="phone-mario"
Server — firewall e routing
# Consenti traffico WireGuard in ingresso
/ip/firewall/filter/add \
  chain=input protocol=udp dst-port=13231 \
  action=accept comment="WireGuard" place-before=0

# Aggiungi l'interfaccia WireGuard alla lista LAN
# così i client VPN accedono alla rete interna
/interface/list/member/add interface=wg-vpn list=LAN

Configurazione lato client (esempio Linux / wg-quick)

File /etc/wireguard/wg0.conf sul client
[Interface]
Address = 192.168.200.2/24
PrivateKey = <CHIAVE_PRIVATA_CLIENT>
DNS = 192.168.1.1

[Peer]
PublicKey = <CHIAVE_PUBBLICA_SERVER_MIKROTIK>
Endpoint = <IP_PUBBLICO_ROUTER>:13231
AllowedIPs = 192.168.1.0/24  # solo rete interna; usa 0.0.0.0/0 per full-tunnel
PersistentKeepalive = 25

Split tunnel vs full tunnel

  • Split tunnel (AllowedIPs = 192.168.1.0/24): passa nel tunnel solo il traffico verso la rete aziendale; la navigazione del client esce dalla sua linea. È il default consigliato per i tecnici.
  • Full tunnel (AllowedIPs = 0.0.0.0/0): TUTTO il traffico del client passa dal MikroTik (utile su Wi-Fi pubblici non fidati). Richiede però una regola NAT masquerade sul server per il traffico in uscita verso Internet.
Server — masquerade per full tunnel (solo se 0.0.0.0/0)
# Necessario solo se i client usano AllowedIPs=0.0.0.0/0
/ip/firewall/nat/add \
  chain=srcnat \
  src-address=192.168.200.0/24 \
  out-interface-list=WAN \
  action=masquerade \
  comment="NAT uscita client WireGuard"
Per client Windows/Android/iOS usa l'app ufficiale WireGuard: importa il config QR code o file .conf. La chiave privata non lascia mai il dispositivo client.
Se il server è dietro NAT, configura un port forwarding UDP 13231 sull'edge router verso il MikroTik. In alternativa, abilita la porta sulla WAN del MikroTik stesso nel firewall chain=input.
Sicurezza: dopo aver attivato la VPN, restringi i servizi di gestione a address=192.168.200.0/24 con /ip/service/set winbox address=... e chiudi Winbox/WebFig/API sulla WAN. La VPN diventa l'unico ingresso amministrativo.
wireguardroad warrioraccesso remotoclient mobilevpn clientwireguard serverallowed-addresspeersmartphonelaptopfull tunnelsplit tunneltecnicowinbox sicuro

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS