⚠ Това ръководство е предназначено за системни администратори и напреднали потребители. Ще свържем офис ↔ филиал чрез WireGuard с коректни AllowedIPs, keepalive, MTU и firewall/NAT правила.

WireGuard site-to-site е бърз, стабилен и сигурен тунел между две локации с минимална конфигурация. Работи както с статичен, така и с динамичен IP (DDNS), включително зад NAT (port-forward/инициирана връзка).

1) План с адреси

• Тунел: 10.10.10.0/24 (A: 10.10.10.1, B: 10.10.10.2)
• LAN (A): 192.168.1.0/24
• LAN (B): 192.168.2.0/24
• UDP порт: 51820 (по подразбиране; може да се промени)

2) Ключове (A и B)

/interface wireguard key generate

3) Рутер A (офис) – конфигурация

Интерфейс + адрес:

/interface wireguard
add name=wg-office listen-port=51820 private-key="A_PRIVATE_KEY"
/ip address
add address=10.10.10.1/24 interface=wg-office

Партньор към B:

/interface wireguard peers
add interface=wg-office public-key="B_PUBLIC_KEY" \
    allowed-address=10.10.10.2/32,192.168.2.0/24 \
    endpoint-address= endpoint-port=51820 \
    persistent-keepalive=25

4) Рутер B (филиал) – конфигурация

Интерфейс + адрес:

/interface wireguard
add name=wg-branch listen-port=51820 private-key="B_PRIVATE_KEY"
/ip address
add address=10.10.10.2/24 interface=wg-branch

Партньор към A:

/interface wireguard peers
add interface=wg-branch public-key="A_PUBLIC_KEY" \
    allowed-address=10.10.10.1/32,192.168.1.0/24 \
    endpoint-address=<A_PUBLIC_IP_or_DDNS> endpoint-port=51820 \
    persistent-keepalive=25

5) Firewall / NAT / портове

Позволи входящ UDP 51820 към рутера (chain: input):

/ip firewall filter add chain=input protocol=udp dst-port=51820 action=accept comment="Allow WireGuard"

По желание: NAT (само за припокриващи се мрежи или специфични политики):

/ip firewall nat add chain=srcnat out-interface=wg-office action=masquerade comment="WG NAT (optional)"

6) Проверки и диагностика

Ping през тунела (A → B):

/ping 10.10.10.2

Ping към отдалечен LAN (A → LAN(B)):

/ping 192.168.2.1

Статус на партньора (провери last-handshake, rx/tx):

/interface wireguard peers print detail

(По желание) Намери fasttrack правило:

/ip firewall filter print where action=fasttrack-connection

(По желание) Временно изключи/включи fasttrack за тест (замени X с реалния номер):

/ip firewall filter disable X
/ip firewall filter enable X

7) Често задавани въпроси (ЧЗВ)

• AllowedIPs? Включи тунелния адрес на партньора /32 и неговата LAN мрежа.
• Изисква ли се NAT? Не, ако мрежите са уникални и има двупосочно рутиране. Използвай NAT при припокриващи се мрежи.
• MTU? Започни с 1420; за PPPoE/overhead – тествай между 1380–1412.
• Динамичен IP/CGNAT? Използвай DDNS. При CGNAT и без port-forward – иницирай връзка от вътрешната страна към публичен възел (VPS) или поискай публичен IP.
• Как да поддържам тунела активен? Задай persistent-keepalive=25 на клиента зад NAT.

Съвет: групирайте правилата си (WG input, WG peers, WG NAT), добавете ясни коментари и ги подредете над общите правила.