In die meeste gevalle is dit nie moeilik om 'n router aan 'n VPN te koppel nie, maar as u die hele netwerk wil beskerm en terselfdertyd optimale verbindingspoed wil handhaaf, dan is die beste oplossing om 'n VPN-tonnel te gebruik
Routers mikrotik bewys dat dit betroubare en baie buigsame oplossings is, maar ongelukkig
Maar vir nou, om WireGuard op 'n Mikrotik-roeteerder te konfigureer, moet jy ongelukkig die firmware verander.
Flitsende Mikrotik, installeer en konfigureer OpenWrt
Eerstens moet jy seker maak dat OpenWrt jou model ondersteun. Kyk of 'n model by sy bemarkingsnaam en -beeld pas
Gaan na openwrt.com
Vir hierdie toestel benodig ons 2 lêers:
Jy moet albei lêers aflaai: installeer и opgradering.
1. Netwerkopstelling, aflaai en opstel van PXE-bediener
Aflaai
Pak uit na 'n aparte vouer. Voeg die parameter by in die config.ini-lêer rfc951=1 afdeling [dhcp]. Hierdie parameter is dieselfde vir alle Mikrotik-modelle.
Kom ons gaan aan na die netwerkinstellings: jy moet 'n statiese IP-adres op een van die netwerkkoppelvlakke van jou rekenaar registreer.
IP-adres: 192.168.1.10
Netmasker: 255.255.255.0
Hardloop Klein PXE-bediener namens die Administrateur en kies in die veld DHCP-bediener bediener met adres 192.168.1.10
Op sommige weergawes van Windows sal hierdie koppelvlak dalk eers verskyn na 'n Ethernet-verbinding. Ek beveel aan dat u 'n roeteerder koppel en onmiddellik die roeteerder en rekenaar skakel met 'n pleisterkoord.
Druk die "..."-knoppie (regs onder) en spesifiseer die vouer waar jy die firmwarelêers vir Mikrotik afgelaai het.
Kies 'n lêer waarvan die naam eindig met "initramfs-kernel.bin of elf"
2. Begin die router vanaf die PXE-bediener
Ons verbind die rekenaar met 'n draad en die eerste poort (wan, internet, poe in, ...) van die router. Daarna neem ons 'n tandestokkie, steek dit in die gat met die inskripsie "Reset".
Ons skakel die krag van die router aan en wag 20 sekondes en laat dan die tandestokkie los.
Binne die volgende minuut moet die volgende boodskappe in die Tiny PXE Server-venster verskyn:
As die boodskap verskyn, dan is jy in die regte rigting!
Herstel die instellings op die netwerkadapter en stel in om die adres dinamies te ontvang (via DHCP).
Koppel aan die LAN-poorte van die Mikrotik-roeteerder (2…5 in ons geval) met dieselfde pleisterkoord. Skakel dit net van 1ste poort na 2de poort. Maak adres oop
Meld aan by die OpenWRT administratiewe koppelvlak en gaan na die "Stelsel -> Rugsteun/Flash Firmware" kieslys afdeling
Klik in die "Flash new firmware image" subafdeling op die "Select file (Browse)" knoppie.
Spesifiseer die pad na 'n lêer wie se naam eindig met "-squashfs-sysupgrade.bin".
Klik daarna op die "Flitsbeeld"-knoppie.
Klik in die volgende venster op die "Gaan voort" knoppie. Die firmware sal begin aflaai na die router.
!!! MOET IN GEEN GEVAL NIE DIE KRAG VAN DIE ROETER TYDENS DIE FIRMWARE PROSES ONTREKKEN NIE!!!
Nadat u die router geflits en herlaai het, sal u Mikrotik met OpenWRT-firmware ontvang.
Moontlike probleme en oplossings
Baie Mikrotik-toestelle wat in 2019 vrygestel is, gebruik 'n FLASH-NOR-geheueskyfie van die GD25Q15 / Q16-tipe. Die probleem is dat wanneer dit flits, data oor die toestelmodel nie gestoor word nie.
As jy die fout sien "Die opgelaaide prentlêer bevat nie 'n ondersteunde formaat nie. Maak seker dat jy die generiese beeldformaat vir jou platform kies." dan is die probleem heel waarskynlik in flits.
Dit is maklik om dit na te gaan: voer die opdrag uit om die model-ID in die toestelterminaal na te gaan
root@OpenWrt: cat /tmp/sysinfo/board_name
En as jy die antwoord "onbekend" kry, moet jy die toestelmodel met die hand spesifiseer in die vorm "rb-951-2nd"
Om die toestelmodel te kry, voer die opdrag uit
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Nadat u die toestelmodel ontvang het, installeer dit met die hand:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Daarna kan u die toestel deur die webkoppelvlak flits of die "sysupgrade"-opdrag gebruik
Skep 'n VPN-bediener met WireGuard
As jy reeds 'n bediener het met WireGuard opgestel, kan jy hierdie stap oorslaan.
Ek sal die toepassing gebruik om 'n persoonlike VPN-bediener op te stel
Konfigureer WireGuard-kliënt op OpenWRT
Koppel aan die router via SSH-protokol:
ssh [email protected]
Installeer WireGuard:
opkg update
opkg install wireguard
Berei die konfigurasie voor (kopieer die kode hieronder na 'n lêer, vervang die gespesifiseerde waardes met jou eie en hardloop in die terminaal).
As jy MyVPN gebruik, hoef jy net in die opstelling hieronder te verander WG_SERV - Bediener IP WG_KEY - private sleutel van die wireguard-konfigurasielêer en WG_PUB - publieke sleutel.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Dit voltooi die WireGuard-opstelling! Nou word alle verkeer op alle gekoppelde toestelle deur 'n VPN-verbinding beskerm.
verwysings
Bron: will.com