In die meeste gevalle is dit nie moeilik om 'n router aan 'n VPN te koppel nie, maar as u die hele netwerk wil beskerm en terselfdertyd optimale verbindingspoed wil handhaaf, dan is die beste oplossing om 'n VPN-tonnel te gebruik .
Routers mikrotik bewys dat dit betroubare en baie buigsame oplossings is, maar ongelukkig steeds nie en dit is nie bekend wanneer dit sal verskyn en in watter uitvoering nie. Onlangs oor wat die ontwikkelaars van die WireGuard VPN-tonnel voorgestel het , wat hul VPN-tonnelsagteware deel van die Linux-kern sal maak, hoop ons dat dit sal bydra tot die aanvaarding in RouterOS.
Maar vir nou, om WireGuard op 'n Mikrotik-roeteerder te konfigureer, moet jy ongelukkig die firmware verander.
Flitsende Mikrotik, installeer en konfigureer OpenWrt
Eerstens moet jy seker maak dat OpenWrt jou model ondersteun. Kyk of 'n model by sy bemarkingsnaam en -beeld pas .
Gaan na openwrt.com .
Vir hierdie toestel benodig ons 2 lêers:
Jy moet albei lêers aflaai: installeer и opgradering.
1. Netwerkopstelling, aflaai en opstel van PXE-bediener
Aflaai vir Windows nuutste weergawe.
Pak uit na 'n aparte vouer. Voeg die parameter by in die config.ini-lêer rfc951=1 afdeling [dhcp]. Hierdie parameter is dieselfde vir alle Mikrotik-modelle.
Kom ons gaan aan na die netwerkinstellings: jy moet 'n statiese IP-adres op een van die netwerkkoppelvlakke van jou rekenaar registreer.
IP-adres: 192.168.1.10
Netmasker: 255.255.255.0
Hardloop Klein PXE-bediener namens die Administrateur en kies in die veld DHCP-bediener bediener met adres 192.168.1.10
Op sommige weergawes van Windows sal hierdie koppelvlak dalk eers verskyn na 'n Ethernet-verbinding. Ek beveel aan dat u 'n roeteerder koppel en onmiddellik die roeteerder en rekenaar skakel met 'n pleisterkoord.
Druk die "..."-knoppie (regs onder) en spesifiseer die vouer waar jy die firmwarelêers vir Mikrotik afgelaai het.
Kies 'n lêer waarvan die naam eindig met "initramfs-kernel.bin of elf"
2. Begin die router vanaf die PXE-bediener
Ons verbind die rekenaar met 'n draad en die eerste poort (wan, internet, poe in, ...) van die router. Daarna neem ons 'n tandestokkie, steek dit in die gat met die inskripsie "Reset".
Ons skakel die krag van die router aan en wag 20 sekondes en laat dan die tandestokkie los.
Binne die volgende minuut moet die volgende boodskappe in die Tiny PXE Server-venster verskyn:
As die boodskap verskyn, dan is jy in die regte rigting!
Herstel die instellings op die netwerkadapter en stel in om die adres dinamies te ontvang (via DHCP).
Koppel aan die LAN-poorte van die Mikrotik-roeteerder (2…5 in ons geval) met dieselfde pleisterkoord. Skakel dit net van 1ste poort na 2de poort. Maak adres oop in die blaaier.
Meld aan by die OpenWRT administratiewe koppelvlak en gaan na die "Stelsel -> Rugsteun/Flash Firmware" kieslys afdeling
Klik in die "Flash new firmware image" subafdeling op die "Select file (Browse)" knoppie.
Spesifiseer die pad na 'n lêer wie se naam eindig met "-squashfs-sysupgrade.bin".
Klik daarna op die "Flitsbeeld"-knoppie.
Klik in die volgende venster op die "Gaan voort" knoppie. Die firmware sal begin aflaai na die router.
!!! MOET IN GEEN GEVAL NIE DIE KRAG VAN DIE ROETER TYDENS DIE FIRMWARE PROSES ONTREKKEN NIE!!!
Nadat u die router geflits en herlaai het, sal u Mikrotik met OpenWRT-firmware ontvang.
Moontlike probleme en oplossings
Baie Mikrotik-toestelle wat in 2019 vrygestel is, gebruik 'n FLASH-NOR-geheueskyfie van die GD25Q15 / Q16-tipe. Die probleem is dat wanneer dit flits, data oor die toestelmodel nie gestoor word nie.
As jy die fout sien "Die opgelaaide prentlêer bevat nie 'n ondersteunde formaat nie. Maak seker dat jy die generiese beeldformaat vir jou platform kies." dan is die probleem heel waarskynlik in flits.
Dit is maklik om dit na te gaan: voer die opdrag uit om die model-ID in die toestelterminaal na te gaan
root@OpenWrt: cat /tmp/sysinfo/board_nameEn as jy die antwoord "onbekend" kry, moet jy die toestelmodel met die hand spesifiseer in die vorm "rb-951-2nd"
Om die toestelmodel te kry, voer die opdrag uit
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndNadat u die toestelmodel ontvang het, installeer dit met die hand:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameDaarna kan u die toestel deur die webkoppelvlak flits of die "sysupgrade"-opdrag gebruik
Skep 'n VPN-bediener met WireGuard
As jy reeds 'n bediener het met WireGuard opgestel, kan jy hierdie stap oorslaan.
Ek sal die toepassing gebruik om 'n persoonlike VPN-bediener op te stel oor die kat wat ek reeds .
Konfigureer WireGuard-kliënt op OpenWRT
Koppel aan die router via SSH-protokol:
ssh [email protected]Installeer WireGuard:
opkg update
opkg install wireguardBerei die konfigurasie voor (kopieer die kode hieronder na 'n lêer, vervang die gespesifiseerde waardes met jou eie en hardloop in die terminaal).
As jy MyVPN gebruik, hoef jy net in die opstelling hieronder te verander WG_SERV - Bediener IP WG_KEY - private sleutel van die wireguard-konfigurasielêer en WG_PUB - publieke sleutel.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartDit voltooi die WireGuard-opstelling! Nou word alle verkeer op alle gekoppelde toestelle deur 'n VPN-verbinding beskerm.
verwysings
(bykomend beskikbare instruksies vir die opstel van L2TP, PPTP op standaard Mikrotik-firmware)
Bron: will.com