Ví dụ, bài viết này sử dụng một cấu trúc liên kết như hình dưới đây. Hãy tưởng tượng Router CCR2004 là một bộ định tuyến có ip công cộng (Public IP) sẽ hoạt động như một máy chủ. Các thiết bị điện thoại, máy tính bảng, laptop... là một trong số các thiết bị mà người dùng cuối, sẽ kết nối vào mạng wireguard, sẽ trở thành ngang hàng 2, ngang hàng 3, ngang hàng 4. Tất nhiên, chúng hoàn toàn không có địa chỉ ip công khai trực tiếp, chúng hoạt động sau nat.

Bước 1. Tạo giao diện liên kết Wireguard trên bộ định tuyến CCR2004.

Trước tiên, việc cài đặt đầu tiên tại bộ định tuyến Mikrotik là thiết lập Internet, cấu hình mạng LAN tương ứng và thực hiện NAT cho các kết nối Internet. Kết quả đảm bảo rằng tại bộ định tuyến và các máy tính trong mạng LAN có thể giao tiếp với mạng Internet bên ngoài.

Bước tiếp theo, tạo giao diện liên kết wireguard để thiết lập thông tin riêng cho mỗi kết nối.
Tại Menu Wireguard -> Chọn mục thêm, dấu + “màu xanh”.

Sau khi thành công, đừng đóng các cửa sổ này vì dòng khóa công khai sẽ được điền tự động với các giá trị cố định ngẫu nhiên. Kết quả có thể được nhìn thấy trong hình ảnh phía trên. Lưu ý chép lại khóa công khai vì chúng tôi sẽ sử dụng nó để thêm một kết nối tới liên kết ngang hàng trên thiết bị kia.
Router A:
Public key: 2xb8Uk13TpA5YHGl3fdZkswHIn8COhLfdmnPRD0LGUc=
Router B:
Public key: fnHAwG1EHHLOieTZATkkggfIIhf2FH2vo0F8wgAZZEE=
Bước tiếp theo, chúng tôi thiết lập kết nối tới các thiết bị ngang hàng, trong đó tái sử dụng các khóa công khai phía trên.
Tại thẻ Peer, chọn mục thêm, dấu + “màu xanh”.

Trong các thuộc tính, các thuộc tính quan trọng chúng tôi cần lưu ý:
+ Endpoint: Địa chỉ IP các bộ định tuyến ngang hàng. Trong mô hình này, Endpoint của Router A là địa chỉ IP WAN Router B và ngược lại.
+ Public Key: Khóa công khai của bộ định tuyến ngang hàng. Trong mô hình này, Khóa công khai của Router A là khóa công khai của Router B và ngược lại.
+ Allowed Address: Cho phép lớp mạng nào trong mạng được phép truy nhập vào kết nối wireguardvoiclient. Đây là lớp mạng tại Router A và Router được phép sử dụng liên kết wireguardvoiclient.
Công việc tiếp theo của chúng tôi, là thêm địa chỉ IP cho các liên kết này.
Tại Menu IP – Address, chúng tôi gán địa chỉ lần lượt, chẳng hạn.

So với các giao thức VPN trước đây, wireguardvoiclient quản lý lưu lượng qua các liên kết với thuộc tính allowed addresss. Việc này đảm bảo chỉ các lưu lượng nào được chỉ định, mới có thể hoạt động qua giao thức VPN này.
Chính vì vậy, các mạng cục bộ, bao gồm mạng cục bộ tại Router A, Router B, mạng tại 2 điểm của liên kết VPN cũng được đặt trong thuộc tính này.
Trở lại với Menu wireguardvoiclient và thẻ Peers, chúng tôi thêm các lớp mạng này vào các giao diện vừa khởi tạo.

Nếu thử kiểm tra liên kết vừa khởi tạo, bằng cách đứng tại Router B, có thể ping đến điểm bên kia của liên kết wireguardvoiclient. Kết quả trả về thành công.

Bước cuối cùng, chúng tôi định tuyến cho các mạng tại mỗi bộ định tuyến.
Đối với bộ định tuyến A, lớp mạng 192.168.100.0/24 cần truy cập tới lớp mạng 192.168.200.0/24 được thực hiện như sau.
Tại Router A .
Trong Menu IP – Routes.

Tại Router B .

Chà, cho đến thời điểm này, các mạng LAN trong hai mạng ngang hàng đã có thể kết nối. Chúng tôi có thể chứng minh điều đó bằng cách ping hoặc sử dụng công cụ theo dõi lộ trình (tracert route).

Bài viết này được khởi tạo vào ngày 11 tháng 08, 2022, sử dụng trên phiên bản RouterOS v7.4

Phát hành vào 12 tháng 08, 2022.