WispOSWispOS
Guida MikroTik
VPN e tunnelIntermedio

WireGuard: accesso remoto road warrior

Configura RouterOS v7 come server WireGuard per client mobili (laptop, smartphone): ogni client ha un indirizzo IP fisso nel tunnel e può raggiungere la rete locale.

In modalità road warrior il router MikroTik funge da server: accetta connessioni da client con IP variabile. Ogni peer viene identificato dalla propria chiave pubblica e riceve un indirizzo fisso nel range del tunnel.

Server — interfaccia e indirizzo gateway del tunnel
# Interfaccia server WireGuard
/interface/wireguard/add name=wg-vpn listen-port=13231

# Gateway tunnel: il server assume .1/24
/ip/address/add address=192.168.200.1/24 interface=wg-vpn
Server — aggiunta peer per ogni client
# Client 1 (laptop — chiave pubblica generata dal client)
/interface/wireguard/peers/add \
  interface=wg-vpn \
  public-key="<CHIAVE_PUBBLICA_CLIENT1>" \
  allowed-address=192.168.200.2/32 \
  comment="laptop-mario"

# Client 2 (smartphone)
/interface/wireguard/peers/add \
  interface=wg-vpn \
  public-key="<CHIAVE_PUBBLICA_CLIENT2>" \
  allowed-address=192.168.200.3/32 \
  comment="phone-mario"
Server — firewall e routing
# Consenti traffico WireGuard in ingresso
/ip/firewall/filter/add \
  chain=input protocol=udp dst-port=13231 \
  action=accept comment="WireGuard" place-before=0

# Aggiungi l'interfaccia WireGuard alla lista LAN
# così i client VPN accedono alla rete interna
/interface/list/member/add interface=wg-vpn list=LAN

Configurazione lato client (esempio Linux / wg-quick)

File /etc/wireguard/wg0.conf sul client
[Interface]
Address = 192.168.200.2/24
PrivateKey = <CHIAVE_PRIVATA_CLIENT>
DNS = 192.168.1.1

[Peer]
PublicKey = <CHIAVE_PUBBLICA_SERVER_MIKROTIK>
Endpoint = <IP_PUBBLICO_ROUTER>:13231
AllowedIPs = 192.168.1.0/24  # solo rete interna; usa 0.0.0.0/0 per full-tunnel
PersistentKeepalive = 25
Per client Windows/Android/iOS usa l'app ufficiale WireGuard: importa il config QR code o file .conf. La chiave privata non lascia mai il dispositivo client.
Se il server è dietro NAT, configura un port forwarding UDP 13231 sull'edge router verso il MikroTik. In alternativa, abilita la porta sulla WAN del MikroTik stesso nel firewall chain=input.
wireguardroad warrioraccesso remotoclient mobilevpn clientwireguard serverallowed-addresspeersmartphonelaptop

Continua con

Quale VPN scegliere su RouterOS?WireGuard: tunnel site-to-site tra due sedeIPsec IKEv2: tunnel site-to-site sicuroL2TP/IPsec: accesso remoto per client legacy

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS