Am Wochenende widmete ich mich einem neuen Vorhaben: Für ein entferntes Netz einen Router einrichten, welcher folgende Funktionen kombiniert:

• AP (Access Point)
• VPN-Gateway (am besten WireGuard-basiert)
• Switch (1 Uplink, 2 Downlinks, 1 Management-Port)

Um das VPN-Gateway in meine bestehende WireGuard-Infrastruktur einzubinden, waren ein paar Kniffe nötig. Das liegt in erster Linie daran, dass das durchaus umfassende MikroTik-Interface von RouterOS 7 für Verwirrung sorgen kann wenn es um Public-Keys, Private-Keys und WireGuard-Interfaces vs. WireGuard-Peers geht.

Für mein dafürhalten ging es über die Kommandozeile mit ein paar vorbereiteten Kommandos dann aber doch recht schnell:

# WireGuard-Interface anlegen
/interface wireguard add name=wireguard-client

# WireGuard Peer anlegen
/interface wireguard peers
add allowed-address=10.20.30.0/24 endpoint-address=[IP vom WireGuard-Peer/Server] endpoint-port=51820 interface=wireguard-client public-key="[Pubkey vom WireGuard-Peer/Server]" persistent-keepalive=4

# WireGuard Interface eine IP zuweisen
/ip address add address=10.20.30.12/24 interface=wireguard-client network=10.20.30.0

# WireGuard Rückroute einrichten
/ip route add dst-address=10.20.30.0/24 gateway=10.20.30.12

# NAT ins VPN-Netz, sofern gewünscht, erleichtert das Rückrouting wenn es sich nicht um ein vollwertiges Site-to-Site handelt
/ip firewall nat chain=srcnat action=masquerade out-interface=wireguard-client log=no log-prefix=""

# Nochmal prüfen
/interface wireguard print

# Wichtig:
Der ausgegebene Pubkey des WireGuard Interface (nicht Peer!) muss auf der Gegenstelle konfiguriert werden.

Trotz der komplexen Einrichtung bin ich von MikroTik begeistert. Den hAP Lite habe ich 2015 gebraucht geschenkt bekommen. Ein Gerät, welches 12 Jahre alt ist und immernoch brandaktuelle Firmware-Updates erhält, die sogar Funktionalität nachrüsten. Und das zu einem unschlagbaren Preis: Neupreis hAP Lite 24,95 USD.