Опубликовано 7 июня 2026 г.
VPN на роутере MikroTik: настройка WireGuard в RouterOS 7 (пошагово)
Подробная инструкция по настройке WireGuard-клиента на MikroTik (RouterOS 7) из конфига Fiery: интерфейс, peer, адреса, allowed-ips, маршрут, firewall и NAT — VPN на весь дом.
Чтобы поднять VPN на роутере MikroTik, в RouterOS 7 нужно создать интерфейс WireGuard, добавить peer из конфига Fiery, назначить адрес туннеля, прописать маршрут и одно правило NAT (masquerade). После этого весь трафик из домашней сети пойдёт через VPN без приложений на каждом устройстве. Ниже — точные команды для RouterOS 7 и разбор каждого параметра.
Коротко: создайте /interface wireguard, добавьте peer с публичным ключом сервера, endpoint и allowed-address=0.0.0.0/0, назначьте адрес туннеля из конфига, добавьте дефолтный маршрут через WireGuard и правило masquerade в NAT. Для отдельных устройств используйте mangle + отдельную таблицу маршрутизации. Если провайдер блокирует обычный WireGuard, на роутере он работать не будет — тогда нужен обфусцированный протокол (AmneziaWG) на отдельном устройстве или мини-ПК.
Что вам понадобится
- Роутер MikroTik с RouterOS 7 (WireGuard есть только в 7.x; проверьте версию в System → Packages или командой /system resource print).
- Готовый конфиг WireGuard от Fiery — это текстовый файл .conf, который выдаёт бот @fiery_VPN_bot или мини-приложение.
- Доступ к роутеру через WinBox, веб-интерфейс (WebFig) или терминал (SSH). Команды ниже даны для терминала — их можно вставить в WinBox в окно New Terminal.
Как читать конфиг Fiery
Откройте файл .conf — он состоит из двух секций. В [Interface] находятся PrivateKey (приватный ключ вашего клиента) и Address (адрес туннеля, например 10.0.0.5/32). В [Peer] — PublicKey (публичный ключ сервера), Endpoint (IP-адрес и порт сервера), AllowedIPs (обычно 0.0.0.0/0) и иногда PresharedKey. Эти значения мы и перенесём в RouterOS.
Шаг 1. Создаём интерфейс WireGuard
Интерфейс — это виртуальный сетевой адаптер туннеля. При создании RouterOS сам сгенерирует пару ключей, но нам нужен приватный ключ из конфига Fiery, поэтому зададим его явно.
- /interface wireguard add name=wg-fiery listen-port=13231 private-key="ВАШ_PRIVATEKEY_ИЗ_INTERFACE"
Здесь name=wg-fiery — произвольное имя, listen-port для исходящего клиента можно оставить любым (он не должен совпадать с портом сервера). Подставьте private-key точно как в секции [Interface], вместе с символом = на конце.
Шаг 2. Назначаем адрес туннеля
Возьмите значение Address из конфига (например 10.0.0.5/32) и повесьте его на новый интерфейс. Это адрес роутера внутри VPN-сети.
- /ip address add address=10.0.0.5/32 interface=wg-fiery
Шаг 3. Добавляем peer (сервер Fiery)
Peer описывает сервер, к которому подключается роутер. Сюда переносим PublicKey, Endpoint и AllowedIPs из секции [Peer].
- /interface wireguard/peers add interface=wg-fiery public-key="PUBLICKEY_СЕРВЕРА" endpoint-address=IP_СЕРВЕРА endpoint-port=ПОРТ allowed-address=0.0.0.0/0 persistent-keepalive=25s
Разберём параметры:
- public-key — публичный ключ сервера (поле PublicKey в [Peer]).
- endpoint-address и endpoint-port — это Endpoint из конфига, разбитый на адрес и порт (например 203.0.113.10 и 51820).
- allowed-address — какой трафик уходит в туннель. 0.0.0.0/0 означает «весь интернет через VPN». Если хотите гнать через VPN только часть сетей, перечислите их здесь.
- persistent-keepalive=25s — пинг каждые 25 секунд, чтобы соединение не «засыпало» за NAT провайдера.
Если в конфиге есть PresharedKey, добавьте к команде preshared-key="ЗНАЧЕНИЕ".
Шаг 4. Прописываем маршрут на весь дом
Важный нюанс RouterOS 7: даже при allowed-address=0.0.0.0/0 роутер не добавляет маршрут по умолчанию автоматически (в отличие от приложения на телефоне). Маршрут нужно создать руками. Чтобы не разорвать связь с самим роутером и не зациклить трафик до сервера, удобно использовать таблицу маршрутизации и не трогать основной шлюз провайдера.
Самый простой вариант «весь трафик в VPN» — добавить дефолтный маршрут через интерфейс с приоритетом (меньшим distance), чем у провайдера:
- /ip route add dst-address=0.0.0.0/0 gateway=wg-fiery distance=1
Чтобы пакеты к самому VPN-серверу всё равно шли через провайдера (иначе туннель «съест» сам себя), добавьте отдельный маршрут к адресу сервера через ваш WAN-шлюз:
- /ip route add dst-address=IP_СЕРВЕРА/32 gateway=ВАШ_WAN_ШЛЮЗ distance=1
WAN-шлюз можно посмотреть командой /ip route print where dst-address=0.0.0.0/0 (значение в колонке gateway, которое было до настройки VPN).
Шаг 5. Firewall и NAT (masquerade)
Чтобы устройства из локальной сети получали доступ в интернет через туннель, нужен NAT с маскарадингом на интерфейс WireGuard:
- /ip firewall nat add chain=srcnat out-interface=wg-fiery action=masquerade
Также убедитесь, что firewall пропускает уже установленные соединения и сам трафик WireGuard. В стандартной прошивке достаточно правил по умолчанию плюс разрешения forward для локальной сети. Если вы настраивали firewall вручную, добавьте:
- /ip firewall filter add chain=forward action=accept connection-state=established,related
- /ip firewall filter add chain=forward in-interface=bridge out-interface=wg-fiery action=accept (замените bridge на имя вашего LAN-интерфейса или bridge)
Проверка соединения
Выполните /interface wireguard/peers print — в колонках должны появиться значения last-handshake (недавнее время) и растущие счётчики rx/tx. Если handshake не происходит, проверьте правильность ключей и endpoint, а также что порт сервера не блокируется провайдером. С устройства в сети откройте сайт проверки IP — он должен показать адрес локации Fiery.
Опционально: VPN только для отдельных устройств
Часто нужно, чтобы через VPN ходил только телевизор или один ноутбук, а остальная сеть — напрямую. Тогда вместо дефолтного маршрута через WireGuard используют policy-based routing: метим трафик нужных устройств в mangle и направляем его в отдельную таблицу маршрутизации.
- Создайте таблицу: /routing table add name=via-vpn fib
- Маршрут в этой таблице через туннель: /ip route add dst-address=0.0.0.0/0 gateway=wg-fiery routing-table=via-vpn
- Пометьте трафик нужного устройства по его IP: /ip firewall mangle add chain=prerouting src-address=192.168.88.50 action=mark-routing new-routing-mark=via-vpn passthrough=no
Теперь только устройство с адресом 192.168.88.50 пойдёт через VPN. Закрепите за ним фиксированный IP в DHCP, чтобы правило не «слетало». Для нескольких устройств добавьте отдельные mangle-правила или используйте address-list.
Сравнение режимов маршрутизации
| Режим | Что идёт через VPN | Сложность | Когда выбрать |
|---|---|---|---|
| Весь дом (default route) | Весь трафик всех устройств | Низкая | Нужен VPN по умолчанию для всей сети |
| Отдельные устройства (mangle) | Только выбранные IP | Средняя | ТВ, приставка или один ПК под VPN |
| Отдельные сайты/подсети | Перечисленные адреса назначения | Средняя | Доступ к конкретным сервисам |
Важно про блокировки 2026 года
В мае 2026 года Роскомнадзор перешёл к блокировкам на уровне ASN и подсетей и местами нарушил работу обычного WireGuard и VLESS. На роутере MikroTik доступен именно «чистый» WireGuard — если ваш провайдер режет протокол, туннель просто не поднимется (не будет handshake), и описанная настройка не поможет. В этом случае самый надёжный вариант — обфусцированный AmneziaWG (AWG 2.0), который маскирует трафик. На самом MikroTik его нативно нет, поэтому AmneziaWG обычно запускают на отдельном мини-ПК, роутере с прошивкой Keenetic/OpenWRT, поддерживающей обфускацию, или на устройстве за роутером. Подробнее — в материалах ниже.
Полезно почитать: AmneziaWG или WireGuard — что выбрать, почему VPN не работает в России и общий гайд по VPN на роутере.
Частые вопросы
Поддерживает ли MikroTik WireGuard?
Да, начиная с RouterOS 7. В версиях 6.x WireGuard отсутствует. Если у вас старая прошивка, сначала обновите RouterOS до ветки 7.x через System → Packages.
Почему нет интернета после настройки, хотя handshake есть?
Чаще всего забыто правило NAT masquerade на интерфейс WireGuard (шаг 5) или не создан дефолтный маршрут (шаг 4). Проверьте также, что firewall разрешает forward из LAN в туннель.
Зачем нужен отдельный маршрут к IP сервера?
Если весь трафик уходит в туннель, то и пакеты к самому VPN-серверу попытаются пойти через туннель — получится петля, и соединение не установится. Маршрут к адресу сервера через WAN-шлюз решает эту проблему.
Можно ли подключить несколько локаций Fiery?
Да: создайте отдельный интерфейс WireGuard и peer для каждой локации, а затем через mangle/routing-table направляйте нужные устройства в нужный туннель. Одновременно «весь дом» может ходить только через один дефолтный маршрут.
Что делать, если провайдер блокирует WireGuard?
На MikroTik обфускации нет, поэтому при блокировке протокола используйте AmneziaWG на отдельном устройстве за роутером либо подключайте VPN на самих устройствах через приложение AmneziaVPN. Это самый устойчивый вариант в условиях 2026 года.
Готовый конфиг WireGuard для MikroTik можно получить в пару кликов: оформите подписку в мини-приложении vpn.fiery.host или напишите боту @fiery_VPN_bot — он выдаст файл с ключами и подскажет адрес ближайшей локации. Fiery работает без логов, с оплатой картами МИР, СБП и криптой.