في معظم الحالات ، لا يعد توصيل جهاز توجيه بشبكة VPN أمرًا صعبًا ، ولكن إذا كنت ترغب في حماية الشبكة بالكامل وفي نفس الوقت الحفاظ على سرعة الاتصال المثلى ، فإن أفضل حل هو استخدام نفق VPN .
الموجهات Mikrotik أثبتت أنها حلول موثوقة ومرنة للغاية ، ولكن للأسف لا يزال غير معروف ولا يُعرف متى سيظهر وفي أي أداء. حديثاً حول ما اقترحه مطورو نفق WireGuard VPN ، والتي ستجعل برنامج نفق VPN الخاص بهم جزءًا من Linux kernel ، نأمل أن يساهم هذا في اعتماده في RouterOS.
لكن في الوقت الحالي ، لسوء الحظ ، لتكوين WireGuard على جهاز توجيه Mikrotik ، تحتاج إلى تغيير البرامج الثابتة.
تفليش Mikrotik ، تثبيت وتكوين OpenWrt
تحتاج أولاً إلى التأكد من أن OpenWrt يدعم نموذجك. تحقق مما إذا كان النموذج يطابق اسم التسويق وصورته .
انتقل إلى openwrt.com .
بالنسبة لهذا الجهاز ، نحتاج إلى ملفين:
تحتاج إلى تنزيل كلا الملفين: تثبيت и إرفع مستوى باقتك.
1. إعداد الشبكة ، تنزيل وإعداد خادم PXE
تحميل لنظام التشغيل Windows أحدث إصدار.
قم بفك الضغط إلى مجلد منفصل. في ملف config.ini ، أضف المعلمة rfc951 = 1 قسم [دكب]. هذه المعلمة هي نفسها لجميع طرز Mikrotik.
دعنا ننتقل إلى إعدادات الشبكة: تحتاج إلى تسجيل عنوان IP ثابت على إحدى واجهات الشبكة بجهاز الكمبيوتر الخاص بك.
عنوان IP: 192.168.1.10
قناع الشبكة: 255.255.255.0
بداية خادم Tiny PXE نيابة عن المسؤول وحدد في هذا المجال خادم DHCP الخادم بالعنوان 192.168.1.10
في بعض إصدارات Windows ، قد تظهر هذه الواجهة فقط بعد اتصال Ethernet. أوصي بتوصيل جهاز توجيه والتبديل الفوري لجهاز التوجيه والكمبيوتر الشخصي باستخدام سلك التصحيح.
اضغط على الزر "..." (أسفل اليمين) وحدد المجلد الذي قمت بتنزيل ملفات البرامج الثابتة لـ Mikrotik فيه.
اختر ملفًا ينتهي اسمه بـ "initramfs-kernel.bin أو elf"
2. قم بتشغيل جهاز التوجيه من خادم PXE
نقوم بتوصيل الكمبيوتر بسلك والمنفذ الأول (wan ، internet ، poe in ، ...) لجهاز التوجيه. بعد ذلك ، نأخذ مسواك ، نلصقه في الفتحة بنقش "إعادة تعيين".
نقوم بتشغيل طاقة جهاز التوجيه وننتظر 20 ثانية ، ثم نطلق المسواك.
في غضون الدقيقة التالية ، يجب أن تظهر الرسائل التالية في نافذة Tiny PXE Server:
إذا ظهرت الرسالة ، فأنت في الاتجاه الصحيح!
قم باستعادة الإعدادات الموجودة على محول الشبكة وتعيينها لاستلام العنوان ديناميكيًا (عبر DHCP).
قم بالاتصال بمنافذ LAN الخاصة بجهاز التوجيه Mikrotik (2… 5 في حالتنا) باستخدام نفس سلك التصحيح. فقط قم بتبديله من المنفذ الأول إلى المنفذ الثاني. افتح العنوان في المتصفح.
قم بتسجيل الدخول إلى واجهة OpenWRT الإدارية وانتقل إلى قسم القائمة "النظام -> النسخ الاحتياطي / برنامج Flash الثابت"
في القسم الفرعي "Flash new firmware image" ، انقر فوق الزر "Select file (Browse)".
حدد المسار إلى ملف ينتهي اسمه بـ "-squashfs-sysupgrade.bin".
بعد ذلك ، انقر فوق الزر "Flash Image".
في النافذة التالية ، انقر فوق الزر "متابعة". سيبدأ تنزيل البرنامج الثابت على جهاز التوجيه.
!!! لا تقم بأي حال من الأحوال بفصل طاقة الموجه أثناء عملية البرامج الثابتة !!!
بعد وميض جهاز التوجيه وإعادة تشغيله ، ستتلقى Mikrotik مع برنامج OpenWRT الثابت.
المشاكل والحلول الممكنة
تستخدم العديد من أجهزة Mikrotik التي تم إصدارها في عام 2019 شريحة ذاكرة FLASH-NOR من النوع GD25Q15 / Q16. المشكلة هي أنه عند الوميض ، لا يتم حفظ البيانات حول طراز الجهاز.
إذا رأيت الخطأ "ملف الصورة التي تم تحميلها لا يحتوي على تنسيق مدعوم. تأكد من اختيار تنسيق الصورة العام لمنصتك ". فالأرجح أن المشكلة في ومضة.
من السهل التحقق من ذلك: قم بتشغيل الأمر للتحقق من معرف الطراز في محطة الجهاز
root@OpenWrt: cat /tmp/sysinfo/board_nameوإذا حصلت على الإجابة "غير معروف" ، فأنت بحاجة إلى تحديد طراز الجهاز يدويًا بالشكل "rb-951-2nd"
للحصول على طراز الجهاز ، قم بتشغيل الأمر
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndبعد استلام طراز الجهاز ، قم بتثبيته يدويًا:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameبعد ذلك ، يمكنك وميض الجهاز من خلال واجهة الويب أو باستخدام أمر "sysupgrade"
قم بإنشاء خادم VPN باستخدام WireGuard
إذا كان لديك بالفعل خادم به تكوين WireGuard ، فيمكنك تخطي هذه الخطوة.
سأستخدم التطبيق لإعداد خادم VPN شخصي عن القطة التي سبق لي .
تكوين عميل WireGuard على OpenWRT
الاتصال بالموجه عبر بروتوكول SSH:
ssh [email protected]تثبيت WireGuard:
opkg update
opkg install wireguardقم بإعداد التكوين (انسخ الكود أدناه إلى ملف ، واستبدل القيم المحددة بالقيم الخاصة بك وقم بتشغيلها في الجهاز).
إذا كنت تستخدم MyVPN ، فأنت بحاجة فقط إلى التغيير في التكوين أدناه WG_SERV - خادم IP WG_KEY - المفتاح الخاص من ملف تكوين Wireguard و WG_PUB - المفتاح العمومي.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartهذا يكمل إعداد WireGuard! الآن كل حركة المرور على جميع الأجهزة المتصلة محمية بواسطة اتصال VPN.
مراجع
(الإرشادات المتوفرة أيضًا لإعداد L2TP و PPTP على البرامج الثابتة القياسية لـ Mikrotik)
المصدر: www.habr.com