Əksər hallarda marşrutlaşdırıcını VPN-ə qoşmaq çətin deyil, lakin bütün şəbəkəni qorumaq və eyni zamanda optimal əlaqə sürətini saxlamaq istəyirsinizsə, ən yaxşı həll VPN tunelindən istifadə etməkdir. .
Routerlər Mikrotik etibarlı və çox çevik həllər olduğunu sübut etdi, lakin təəssüf ki hələ də yoxdur və nə vaxt və hansı tamaşada görünəcəyi məlum deyil. Bu yaxınlarda WireGuard VPN tunelinin tərtibatçılarının təklif etdikləri haqqında , onların VPN tunel proqram təminatını Linux nüvəsinin bir hissəsi edəcək, ümid edirik ki, bu, RouterOS-da qəbula töhfə verəcək.
Ancaq indi, təəssüf ki, WireGuard-ı Mikrotik marşrutlaşdırıcıda konfiqurasiya etmək üçün proqram təminatını dəyişdirməlisiniz.
Mikrotikin yanıb-sönməsi, OpenWrt-nin quraşdırılması və konfiqurasiyası
Əvvəlcə OpenWrt-in modelinizi dəstəklədiyinə əmin olmalısınız. Modelin marketinq adına və imicinə uyğun olub-olmadığına baxın .
openwrt.com saytına daxil olun .
Bu cihaz üçün bizə 2 fayl lazımdır:
Hər iki faylı yükləmək lazımdır: Quraşdırın и Təkmilləşdirmək.
1. Şəbəkənin qurulması, PXE serverinin yüklənməsi və quraşdırılması
Yükləyin Windows son versiyası üçün.
Ayrı bir qovluğa açın. config.ini faylına parametr əlavə edin rfc951=1 bölmə [dhcp]. Bu parametr bütün Mikrotik modelləri üçün eynidir.
Şəbəkə parametrlərinə keçək: kompüterinizin şəbəkə interfeyslərindən birində statik IP ünvanını qeydiyyatdan keçirməlisiniz.
IP ünvanı: 192.168.1.10
Şəbəkə maskası: 255.255.255.0
Çalışın Kiçik PXE Server Administrator adından seçin və sahədə seçin DHCP Server ünvanı olan server 192.168.1.10
Windows-un bəzi versiyalarında bu interfeys yalnız Ethernet bağlantısından sonra görünə bilər. Mən marşrutlaşdırıcıya qoşulmağı və yamaq kabelindən istifadə edərək dərhal marşrutlaşdırıcını və kompüteri dəyişməyi məsləhət görürəm.
"..." düyməsini (aşağı sağda) basın və Mikrotik üçün proqram fayllarını yüklədiyiniz qovluğu göstərin.
Adı "initramfs-kernel.bin və ya elf" ilə bitən fayl seçin
2. Routerin PXE serverindən yüklənməsi
PC-ni bir tel və marşrutlaşdırıcının ilk portu (wan, internet, poe in, ...) ilə bağlayırıq. Bundan sonra diş çubuğunu götürürük, "Sıfırla" yazısı ilə çuxura yapışdırırıq.
Routerin gücünü yandırırıq və 20 saniyə gözləyirik, sonra diş çubuğunu buraxırıq.
Növbəti dəqiqə ərzində Tiny PXE Server pəncərəsində aşağıdakı mesajlar görünməlidir:
Mesaj görünürsə, deməli siz düzgün istiqamətdəsiniz!
Şəbəkə adapterində parametrləri bərpa edin və ünvanı dinamik şəkildə (DHCP vasitəsilə) almağa təyin edin.
Mikrotik marşrutlaşdırıcının LAN portlarına (bizim vəziyyətimizdə 2…5) eyni yamaq kabelindən istifadə edərək qoşulun. Sadəcə onu 1-ci portdan 2-ci porta keçirin. Açıq ünvan brauzerdə.
OpenWRT inzibati interfeysinə daxil olun və "Sistem -> Yedəkləmə/Flash Firmware" menyu bölməsinə keçin.
"Flash new firmware image" alt bölməsində "Fayl seçin (Browse)" düyməsini basın.
Adı "-squashfs-sysupgrade.bin" ilə bitən faylın yolunu göstərin.
Bundan sonra, "Flash Image" düyməsini basın.
Növbəti pəncərədə "Davam et" düyməsini basın. Firmware marşrutlaşdırıcıya endirməyə başlayacaq.
!!! FİRMA PROSESİ ƏSASINDA HEÇ BİR HALDA ROUTERİN GÜCÜNÜ AYIRMAYIN !!!
Routeri yanıb-söndürüb yenidən işə saldıqdan sonra siz OpenWRT proqram təminatı ilə Mikrotik alacaqsınız.
Mümkün problemlər və həll yolları
2019-cu ildə buraxılmış bir çox Mikrotik cihazı GD25Q15 / Q16 tipli FLASH-NOR yaddaş çipindən istifadə edir. Problem ondadır ki, yanıb-sönən zaman cihaz modeli haqqında məlumatlar saxlanmır.
“Yüklənmiş şəkil faylında dəstəklənən format yoxdur. Platformanız üçün ümumi şəkil formatını seçdiyinizə əmin olun." onda çox güman ki, problem flaşdadır.
Bunu yoxlamaq asandır: cihaz terminalında model identifikatorunu yoxlamaq üçün əmri yerinə yetirin
root@OpenWrt: cat /tmp/sysinfo/board_nameVə "naməlum" cavabını alsanız, cihaz modelini "rb-951-2nd" şəklində əl ilə göstərməlisiniz.
Cihaz modelini əldə etmək üçün əmri yerinə yetirin
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndCihaz modelini aldıqdan sonra onu əl ilə quraşdırın:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameBundan sonra, cihazı veb-interfeysi vasitəsilə və ya "sysupgrade" əmrindən istifadə edərək flaş edə bilərsiniz
WireGuard ilə VPN server yaradın
Əgər artıq WireGuard konfiqurasiya edilmiş serveriniz varsa, bu addımı atlaya bilərsiniz.
Mən şəxsi VPN server qurmaq üçün proqramdan istifadə edəcəyəm pişik haqqında mən artıq .
OpenWRT-də WireGuard Müştərisinin konfiqurasiyası
SSH protokolu ilə marşrutlaşdırıcıya qoşulun:
ssh [email protected]WireGuard quraşdırın:
opkg update
opkg install wireguardKonfiqurasiyanı hazırlayın (aşağıdakı kodu fayla köçürün, göstərilən dəyərləri özünüzlə əvəz edin və terminalda işə salın).
MyVPN istifadə edirsinizsə, onda aşağıdakı konfiqurasiyada yalnız dəyişdirməlisiniz WG_SERV - Server IP WG_KEY - wireguard konfiqurasiya faylından şəxsi açar və WG_PUB - açıq açar.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartBu, WireGuard quraşdırmasını tamamlayır! İndi bütün qoşulmuş cihazlarda bütün trafik VPN bağlantısı ilə qorunur.
References
(standart Mikrotik proqram təminatında L2TP, PPTP qurmaq üçün əlavə olaraq mövcud təlimatlar)
Mənbə: www.habr.com