MikroTik RouterOS v7 WireGuard Server 設定指南

# MikroTik RouterOS v7 WireGuard Server 設定指南

這份指南將帶領你完成 MikroTik RouterBoard 上的 WireGuard VPN Server 設定，讓你能安全地從外網連回家庭或公司網路。

—

## 1. 建立 WireGuard 介面
這是 VPN 的核心，負責處理加密連線。

– **步驟：**
1. 進入 `Interfaces` -> `WireGuard` 標籤頁。
2. 點擊 `+` 新增一個介面。
3. 設定 `Name` (例如 `wg-server`)，`Listen Port` 建議使用預設的 `13231`。
4. 點擊 OK。系統會自動生成 `Private Key` 與 `Public Key`。

> ⚠️ **重要：** 請記下此處產生的 **Public Key**，稍後客戶端連線時需要用到。

—

## 2. 配置 VPN 網段 IP
你需要給 VPN 介面一個獨立的內部 IP 地址。

– **步驟：**
1. 進入 `IP` -> `Addresses`。
2. 點擊 `+`。
3. `Address`: 輸入 `10.0.0.1/24` (或任何你喜歡的私有網段)。
4. `Interface`: 選擇剛才建立的 `wg-server`。

—

## 3. 防火牆與 NAT 設定
確保外部流量能進入，且 VPN 用戶能存取內部資源。

– **開啟 Port (Input)：**
– 進入 `IP` -> `Firewall` -> `Filter Rules`。
– 新增規則：`Chain=input`, `Protocol=udp`, `Dst. Port=13231`, `Action=accept`。

– **允許上網 (NAT)：**
– 進入 `IP` -> `Firewall` -> `NAT`。
– 確保有一條偽裝規則 (`Action=masquerade`)，且其 `Src. Address` 涵蓋了 `10.0.0.0/24`，或者不限制來源網段。

—

## 4. 新增客戶端 (Peers)
每一台要連線的裝置（手機、筆電）都需要在這裡註冊。

– **步驟：**
1. 進入 `Interfaces` -> `WireGuard` -> `Peers` 標籤頁。
2. 點擊 `+`。
3. `Interface`: 選擇 `wg-server`。
4. `Public Key`: 輸入**客戶端裝置**生成的公鑰。
5. `Allowed Address`: 設定該裝置分配到的 IP，例如 `10.0.0.2/32`。

—

## 5. 客戶端設定檔範例 (Client Config)
將以下內容儲存為 `.conf` 檔案並匯入 WireGuard App：

“`ini
[Interface]
PrivateKey = <客戶端自己的私鑰>
Address = 10.0.0.2/24
DNS = 1.1.1.1, 8.8.8.8

[Peer]
PublicKey =
Endpoint = <你的公網 IP 或 DDNS>:13231
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
“`

—

## 常見問題檢查 (Troubleshooting)
1. **連不上？** 檢查 ISP 小烏龜是否有做 UDP 13231 的 Port Forwarding。
2. **連上了但沒網速？** 檢查 `AllowedIPs` 是否包含 `0.0.0.0/0` 以及 Router 的 NAT 設定。
3. **無法存取內網裝置？** 檢查防火牆的 `forward` 鏈是否允許 VPN 網段存取 LAN 網段。