VPN e tunnelIntermedio
WireGuard: accesso remoto road warrior
Configura RouterOS v7 come server WireGuard per client mobili (laptop, smartphone): ogni client ha un indirizzo IP fisso nel tunnel e può raggiungere la rete locale.
In modalità road warrior il router MikroTik funge da server: accetta connessioni da client con IP variabile. Ogni peer viene identificato dalla propria chiave pubblica e riceve un indirizzo fisso nel range del tunnel.
Caso d'uso WISP. Il tecnico in trasferta o lo smart-working dell'NOC: con WireGuard sul portatile e l'app sullo smartphone, accedi a Winbox/WebFig dei router di campo passando dalla VPN — senza mai esporre la porta 8291 (Winbox) sulla WAN.
Server — interfaccia e indirizzo gateway del tunnel
# Interfaccia server WireGuard /interface/wireguard/add name=wg-vpn listen-port=13231 # Gateway tunnel: il server assume .1/24 /ip/address/add address=192.168.200.1/24 interface=wg-vpn
Server — aggiunta peer per ogni client
# Client 1 (laptop — chiave pubblica generata dal client) /interface/wireguard/peers/add \ interface=wg-vpn \ public-key="<CHIAVE_PUBBLICA_CLIENT1>" \ allowed-address=192.168.200.2/32 \ comment="laptop-mario" # Client 2 (smartphone) /interface/wireguard/peers/add \ interface=wg-vpn \ public-key="<CHIAVE_PUBBLICA_CLIENT2>" \ allowed-address=192.168.200.3/32 \ comment="phone-mario"
Server — firewall e routing
# Consenti traffico WireGuard in ingresso /ip/firewall/filter/add \ chain=input protocol=udp dst-port=13231 \ action=accept comment="WireGuard" place-before=0 # Aggiungi l'interfaccia WireGuard alla lista LAN # così i client VPN accedono alla rete interna /interface/list/member/add interface=wg-vpn list=LAN
Configurazione lato client (esempio Linux / wg-quick)
File /etc/wireguard/wg0.conf sul client
[Interface] Address = 192.168.200.2/24 PrivateKey = <CHIAVE_PRIVATA_CLIENT> DNS = 192.168.1.1 [Peer] PublicKey = <CHIAVE_PUBBLICA_SERVER_MIKROTIK> Endpoint = <IP_PUBBLICO_ROUTER>:13231 AllowedIPs = 192.168.1.0/24 # solo rete interna; usa 0.0.0.0/0 per full-tunnel PersistentKeepalive = 25
Split tunnel vs full tunnel
- Split tunnel (
AllowedIPs = 192.168.1.0/24): passa nel tunnel solo il traffico verso la rete aziendale; la navigazione del client esce dalla sua linea. È il default consigliato per i tecnici. - Full tunnel (
AllowedIPs = 0.0.0.0/0): TUTTO il traffico del client passa dal MikroTik (utile su Wi-Fi pubblici non fidati). Richiede però una regola NAT masquerade sul server per il traffico in uscita verso Internet.
Server — masquerade per full tunnel (solo se 0.0.0.0/0)
# Necessario solo se i client usano AllowedIPs=0.0.0.0/0 /ip/firewall/nat/add \ chain=srcnat \ src-address=192.168.200.0/24 \ out-interface-list=WAN \ action=masquerade \ comment="NAT uscita client WireGuard"
Per client Windows/Android/iOS usa l'app ufficiale WireGuard: importa il config QR code o file .conf. La chiave privata non lascia mai il dispositivo client.
Se il server è dietro NAT, configura un port forwarding UDP 13231 sull'edge router verso il MikroTik. In alternativa, abilita la porta sulla WAN del MikroTik stesso nel firewall
chain=input.Sicurezza: dopo aver attivato la VPN, restringi i servizi di gestione a
address=192.168.200.0/24 con /ip/service/set winbox address=... e chiudi Winbox/WebFig/API sulla WAN. La VPN diventa l'unico ingresso amministrativo.wireguardroad warrioraccesso remotoclient mobilevpn clientwireguard serverallowed-addresspeersmartphonelaptopfull tunnelsplit tunneltecnicowinbox sicuro
Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS