WireGuard na routerech MikroTik

WireGuard na routerech MikroTik

Článek popisuje svépomocné zprovoznění VPN na WireGuard na zařízeních MikroTik s verzí RouterOS 7 a vyšší. (v nižších verzích RouterOS není k dispozici, musíte upgradovat RouterOS). Tato fenomenální VPN je velmi rychlá, bezpečná a snadno nastavitelná v domácem prostředí.

Pokud patříte mezi domácí uživatele a přemýšlíte jak získat přístup do domácí sítě z internetu je WireGuard v současnosti jednou z nejsnažších voleb. Ideální je zejména pro bezpečný přístup k domácí NAS nebo chytré domácnosti když nejste zrovna doma.

 

Co budeme potřebovat?

 

Hardware

Nějaký MikroTik router (verze Router OS 7, pokud máte starší, upgradujte firmware)

Jakýkoliv Android, iOS telefon

Jakýkoliv PC, NTB s jakýmkoliv OS

Software

WireGuard VPN

Internetové připojení a veřejná IPv4 adresa (pokud nemáte, zažádejte u vašeho poskytovatele internetu)

 

 

Přihlašte se na svůj router MikroTik. Doporučujeme nepoužívat webové rozhraní a používat na správu WinBox (více zde). Nicméně postup je identický. Přejděte na záložku WireGuard a ikonu + pro přidání nového WireGuard připojení. Pojmenujte si nastavení, např. wireguard a zkopírujte si někam Public Key.

Tip: Místo standardního WireGuard portu (13231) nastavte jiný - vlastní port někde nad 20000. Pro tento tutoriál jsme použili 33333. Tyto vysoké porty nebývají tak často skenované (náročnost na výkon) jak běžné porty do 10000, takže je možné WireGuard lépe uchránit. V obrázku níže je standardní port, změňte jej.

Mikrotik WireGuard vytvoření

Dále musíme v IP → Addresses přidat ikonou + novou adresu pro rozhraní WireGuard. Zvolíme unikátní rozsah a začneme např. jedničkou viz příklad:

MIkroTik WireGuard Address

 

V konečném kroku přídáme protistranu tzv. "Peera". Přepněte se na kartu Peers. Zde potřebujete znát Public Key daného klientského zařízení (např. telefon, ntb, pc, tablet - podívejte se do aplikace vašeho klienta viz návody v levém menu). Opište Public Key a přidelíte mu adresu povolenou pro WireGuard síť. Měla by mít unikátní rozsah:

MikroTik WireGuard Add Peer

 

Poslední nastavení na závěr:

Pokud máte v MikroTiku defaultní firewall -> tedy používáte Quick Setup, který vám vygeneruje i výchozí firewall, musíte povolit UDP port pro WireGuard. V našem případě port 33333. Přejděte do IP -> Firewall a přidejdte opět přes ikonu + nové pravidlo, viz příklad níže:

MikroTik WireGuard Firewall

A pokud chcete přistupovat z připojení WireGuard i do lokální sítě (pravděpodobně ano), musíte přidat wireguard interface jako součást vaší lokální sítě. To se dělá v nabídce Interfaces -> Interface List. Klikněte + a přidejte wireguard do lokální sítě, v tomto případě "LAN".

WireGuard Interface List

 

Toď vše!

Nastavte si teď klienta dle typu telefonu nebo počítače. Návody viz v levém menu

PS: Část domácnosti může mít svůj MikroTik router ještě za dalším routerem od poskytovatele internetu. V tomto případě je potřeba přesměrovat port "Port forward" z vnějšího routeru poskytovatele na váš MikroTik. Toto nastavení závisí od typu routeru a pokud si nevíte rady, podpora poskytovatele internetu by vám s tím měla pomoci. Potřebujete přesměrovat zvolený UDP port (v našem případě 33333) na vnitřní router MikroTik opět na port port 33333.

 

Hodnocení článku:

Průměr: 4.2 (11 hlasů)

Podpořte nás:

Přidat komentář:

Přidat komentář

Nejnovější články v blogu

Linux Live Distribution Persistent USB
Vytvoření Persistent Live USBHodnocení: 
20%

Jak si vyzkoušet Linux? Přímo na vašem notebooku nebo počítači nabootováním z USB flash disku, nebo ještě lépe z externího SSD. Pokud se vám to zalíbí, v tomto návodu naleznete postup, jak vytvořit persistentní live distribuci, což znamená, že všechny změny, které v Linuxu uložíte, tam zůstanou. Můžete si tedy nainstalovat aplikace, ukládat dokumenty atd. Prostě takový přenositelný Linux v kapse, který lze spustit na jakémkoliv podporovaném počítači nebo notebooku.

SmartHome WhatsApp notifikace OpenHAB, Home Assistant
WhatsApp - notifikace zdarmaHodnocení: 
0%

Rádi byste dostávali notifikace z chytré domácnosti formou zpráv do WhatsApp messengeru? Ačkoliv z tohoto messengeru nejsme nadšení, mnoho lidí jej používá a je zbytečné instalovat jiný pouze kvůli chytrému domu. Pro daný kontakt je pak možné nastavit specifické zvonění, takže budete hned vědět, že zpráva přišla z vašeho domu. Našli jsme možnost, jak toto využívat bez poplatku. Jmenuje se CallMeBot...

Tailscale - VPN bez veřejné IP
Tailscale - přístup bez veřejné IP adresyHodnocení: 
100%

Služba Tailscale řeší přístup mezi jednotlivými zařízeními, pokud nemáte možnost veřejné IP adresy. Pro jednoho uživatele je zdarma s podporou max 100 zařízení. Ukážeme si jak Tailscale nainstalovat na Raspberry Pi, které budeme mít někde doma a do klienta (Android, iPhone) ze kterého budeme chtít přistupovat k domácímu Raspberry Pi. Náším příkladem bude vzdálený přístup k OpenHAB běžícím na Raspberry Pi. Nicméně stejné nastavení platí pro spoustu jiných aplikací - domácí NAS, PiHole, Home Assistant, Domoticz, NextCloud a jiné.

Shelly MQTT implementace
Shelly a OpenHABHodnocení: 
100%

Značka Shelly je známa svými produkty komunikujicími hlavně přes WiFi a zahrnujicími ovládané zásuvky, relé pod vypínače, relé pro ovládaní žaluzíí a mnoho dalších produktů. Jedna z výhod pro nasazení je možnost načítat a taky ovládat tyto zařízení pomocí univerzálního protokolu MQTT. Napříč existujícímu addonu pro OpenHAB i Home Assistant si ukážeme jak používat Shelly zařízení bez instalace jakéhokoliv rozšíření.

Victron & OpenHAB
Victron a chytrý důmHodnocení: 
100%

V tomto příspěvku si ukážeme jak načítat informace z fotovoltaické elektrárny od firmy Victron. Propojíme se s jednotkou Cerbo přes MQTT. Na základě těchto hodnot pak můžeme spínat různé spotřebiče (topení, bojler atp.) a předejít plýtvání baterie pro velké spotřebiče v době, kdy nemusí běžet atp.

GoodWe a chytrá domácnost
Smart Home a GoodWeHodnocení: 
100%

V příspěvku ukážeme krok po kroku jak komunikovat chytrou domácnosti přímo se střídačem Goodwe a dostávát aktuální informace (narozdíl od SEMS portálu). Tyto informace jsou nezbytné pokud chceme v chytrém domě nějak reagovat na aktuální parametry např. spínání dodatečného chlazení nebo spínání zásuvky se zátěží.

Ovládání domu hlasem
Hlasové ovládání domu AlexouHodnocení: 
100%

V tomto článku propojíme hlasového asistenta Amazon Echo Dot s open source domácí automatizací. Nepoužíváme OpenHAB Cloud, tz. vše běží lokálně. V tomto případě je nutných pár nastavení navíc, nicméně výsledek stojí za to!

NFC Tag Chytrý dům
NFC tagy v chytrém doměHodnocení: 
100%

NFC (Near Field Communication) tagy jsou malé plastové nebo papírové nálepky, které mohou být použity k automatizaci různých funkcí v domácnosti. V čláku vám ukážeme příklady použití a návod jak zapsat akci na NFC tag pomocí mobilního telefonu.

WireGuard iOS
Nastavení WireGuard připojení v iOSHodnocení: 
0%

V tomto článku najdete podrobný návod, jak se připojit k WireGuard VPN z iOS.

WireGuard z Androidu
Nastavení WireGuard připojení v AndroiduHodnocení: 
100%

V tomto článku najdete podrobný návod, jak se připojit k WireGuard VPN z Androidu.