WireGuard

В RouterOS 7 появился WireGuard, который позиционирует себя как максимально простой в настройке VPN, но при настройке на мобильных клиентах он таким не оказался.

Настройка в RouterOS действительно простая, но клиентам не назначаются IP адреса как при классическом VPN:

В моей конфигурации будет заменен GRE между моими MikroTik на WireGuard

Это позволит уменьшить расходы на MTU

Настройка интерфейса

Максимально простая — добавляем интерфейс с нужным именем и нажимаем ОК
MTU правим по мере необходимости.

Router 1
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
Router 2
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1

Настройка пиров

Указывается IP и порт другой стороны

Router 1
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=1.1.1.2 endpoint-port=13231 \
    interface=wireguard1 persistent-keepalive=3s public-key=\
    "4AE70n56Z/LoY8H4mCxDnWoaccaV8nlDmCjNwTycyQc="
Router 2
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=2.2.2.2 endpoint-port=\
    13231 interface=wireguard1 persistent-keepalive=3s public-key=\
    "XRcEgC+73nYxcb+4Z0ErltbKldADpEi30CKXFp0WSyU="

Не забудьте в фаерволе открыть порт!

Allowed Address указываем адреса туннеля, или нули, если не определились.

Теперь можно вешать IP адреса на стороны туннелей и пользоваться как обычным интерфейсом GRE/IPIP/L2TP/PPTP/SSTP/OpenVPN — делать маршрутизацию.