S RouterOS verze 7.x je možné zprovoznit WireGuard.

Máme 2 lokality.
R1 se nachází na lokalitě s veřejnou IPv4 adresou 95.95.95.95
Bude mít v zájmu VPN IP adresu 10.200.0.2
Má pod sebou LAN síť 192.168.125.0/24, sám má adresu 192.168.125.1
V síti je počítač 192.168.125.125.

R2 se nachází na druhé lokalitě s veřejnou IPv4 adresou 178.178.178.178
Bude mít v zájmu VPN IP adresu 10.200.0.1
Má pod sebou LAN síť 192.168.123.0/24, sám má adresu 192.168.123.1
V síti je počítač 192.168.123.123

Konfigurace R1 1/2

WireGuard / + / listen port 13231 (můžeme i jiný, třeba 443, pokud chceme trafik schovat pod HTTPS provoz)

Public key si někam zkopírujte, vložíte ho do Peeru na routeru R2:

Přidáme Adresu routeru R1 pro VPN Wireguard:

Přidáme routu na R1: (aby uživatelé v síti 192.168.125.0/24 viděli pc v síti 192.168.123.0/24 )

IP / ROUTES / +

Konfigurace R2

WireGuard / + /

Přidáme peera na R2:

Do Public Key vložíme Public key z routeru R1:

Přidáme routy a adresu R2 na R2

IP / Addresses / +

IP / ROUTES / +

Konfigurace R1 2/2

Vložíme peera na R1:

Logika nastavení je následující
Nahoře jsou peery pro každý router, dole jsou wireguard servery pro každý router.

Firewall R1

IP / FIREWALL / Add
chain: input
src. Address List : 178.178.178.178
Protocol: udp
destination port: 13231
Na záložce action dáme accept

Firewall R2

IP / FIREWALL / Add
chain: input
src. Address List : 95.95.95.95 (v mém případě na obrázku se na to může připojit odkudkoliv z celého světa, když tam src. Address nedám žádnou ip)
Protocol: udp
destination port: 13231
Na záložce action dáme accept

Hotovo

Ping z R2 na R1:

Ping z R1 na R2:

Počítače v sítích za routerem pingají počítače v sítích za opačným routerem bez nutnosti cokoliv dalšího na počítačích nastavovat. Počítače v sítích za routery pingají i VPN IP 10.200.0.x ip adresy routerů.

Pokud počítače pingají routery, ale nepingají počítače, je nutné ověřit, že v route listech jsou u Destionation addresses uvedeny /24 celé prefixy sítí

A totéž pak u addresses list: