Əksər hallarda marşrutlaşdırıcını VPN-ə qoşmaq çətin deyil, lakin bütün şəbəkəni qorumaq və eyni zamanda optimal əlaqə sürətini saxlamaq istəyirsinizsə, ən yaxşı həll VPN tunelindən istifadə etməkdir.
Routerlər Mikrotik etibarlı və çox çevik həllər olduğunu sübut etdi, lakin təəssüf ki
Ancaq indi, təəssüf ki, WireGuard-ı Mikrotik marşrutlaşdırıcıda konfiqurasiya etmək üçün proqram təminatını dəyişdirməlisiniz.
Mikrotikin yanıb-sönməsi, OpenWrt-nin quraşdırılması və konfiqurasiyası
Əvvəlcə OpenWrt-in modelinizi dəstəklədiyinə əmin olmalısınız. Modelin marketinq adına və imicinə uyğun olub-olmadığına baxın
openwrt.com saytına daxil olun
Bu cihaz üçün bizə 2 fayl lazımdır:
Hər iki faylı yükləmək lazımdır: Quraşdırın и Təkmilləşdirmək.
1. Şəbəkənin qurulması, PXE serverinin yüklənməsi və quraşdırılması
Yükləyin
Ayrı bir qovluğa açın. config.ini faylına parametr əlavə edin rfc951=1 bölmə [dhcp]. Bu parametr bütün Mikrotik modelləri üçün eynidir.
Şəbəkə parametrlərinə keçək: kompüterinizin şəbəkə interfeyslərindən birində statik IP ünvanını qeydiyyatdan keçirməlisiniz.
IP ünvanı: 192.168.1.10
Şəbəkə maskası: 255.255.255.0
Çalışın Kiçik PXE Server Administrator adından seçin və sahədə seçin DHCP Server ünvanı olan server 192.168.1.10
Windows-un bəzi versiyalarında bu interfeys yalnız Ethernet bağlantısından sonra görünə bilər. Mən marşrutlaşdırıcıya qoşulmağı və yamaq kabelindən istifadə edərək dərhal marşrutlaşdırıcını və kompüteri dəyişməyi məsləhət görürəm.
"..." düyməsini (aşağı sağda) basın və Mikrotik üçün proqram fayllarını yüklədiyiniz qovluğu göstərin.
Adı "initramfs-kernel.bin və ya elf" ilə bitən fayl seçin
2. Routerin PXE serverindən yüklənməsi
PC-ni bir tel və marşrutlaşdırıcının ilk portu (wan, internet, poe in, ...) ilə bağlayırıq. Bundan sonra diş çubuğunu götürürük, "Sıfırla" yazısı ilə çuxura yapışdırırıq.
Routerin gücünü yandırırıq və 20 saniyə gözləyirik, sonra diş çubuğunu buraxırıq.
Növbəti dəqiqə ərzində Tiny PXE Server pəncərəsində aşağıdakı mesajlar görünməlidir:
Mesaj görünürsə, deməli siz düzgün istiqamətdəsiniz!
Şəbəkə adapterində parametrləri bərpa edin və ünvanı dinamik şəkildə (DHCP vasitəsilə) almağa təyin edin.
Mikrotik marşrutlaşdırıcının LAN portlarına (bizim vəziyyətimizdə 2…5) eyni yamaq kabelindən istifadə edərək qoşulun. Sadəcə onu 1-ci portdan 2-ci porta keçirin. Açıq ünvan
OpenWRT inzibati interfeysinə daxil olun və "Sistem -> Yedəkləmə/Flash Firmware" menyu bölməsinə keçin.
"Flash new firmware image" alt bölməsində "Fayl seçin (Browse)" düyməsini basın.
Adı "-squashfs-sysupgrade.bin" ilə bitən faylın yolunu göstərin.
Bundan sonra, "Flash Image" düyməsini basın.
Növbəti pəncərədə "Davam et" düyməsini basın. Firmware marşrutlaşdırıcıya endirməyə başlayacaq.
!!! FİRMA PROSESİ ƏSASINDA HEÇ BİR HALDA ROUTERİN GÜCÜNÜ AYIRMAYIN !!!
Routeri yanıb-söndürüb yenidən işə saldıqdan sonra siz OpenWRT proqram təminatı ilə Mikrotik alacaqsınız.
Mümkün problemlər və həll yolları
2019-cu ildə buraxılmış bir çox Mikrotik cihazı GD25Q15 / Q16 tipli FLASH-NOR yaddaş çipindən istifadə edir. Problem ondadır ki, yanıb-sönən zaman cihaz modeli haqqında məlumatlar saxlanmır.
“Yüklənmiş şəkil faylında dəstəklənən format yoxdur. Platformanız üçün ümumi şəkil formatını seçdiyinizə əmin olun." onda çox güman ki, problem flaşdadır.
Bunu yoxlamaq asandır: cihaz terminalında model identifikatorunu yoxlamaq üçün əmri yerinə yetirin
root@OpenWrt: cat /tmp/sysinfo/board_name
Və "naməlum" cavabını alsanız, cihaz modelini "rb-951-2nd" şəklində əl ilə göstərməlisiniz.
Cihaz modelini əldə etmək üçün əmri yerinə yetirin
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Cihaz modelini aldıqdan sonra onu əl ilə quraşdırın:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Bundan sonra, cihazı veb-interfeysi vasitəsilə və ya "sysupgrade" əmrindən istifadə edərək flaş edə bilərsiniz
WireGuard ilə VPN server yaradın
Əgər artıq WireGuard konfiqurasiya edilmiş serveriniz varsa, bu addımı atlaya bilərsiniz.
Mən şəxsi VPN server qurmaq üçün proqramdan istifadə edəcəyəm
OpenWRT-də WireGuard Müştərisinin konfiqurasiyası
SSH protokolu ilə marşrutlaşdırıcıya qoşulun:
ssh [email protected]
WireGuard quraşdırın:
opkg update
opkg install wireguard
Konfiqurasiyanı hazırlayın (aşağıdakı kodu fayla köçürün, göstərilən dəyərləri özünüzlə əvəz edin və terminalda işə salın).
MyVPN istifadə edirsinizsə, onda aşağıdakı konfiqurasiyada yalnız dəyişdirməlisiniz WG_SERV - Server IP WG_KEY - wireguard konfiqurasiya faylından şəxsi açar və WG_PUB - açıq açar.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Bu, WireGuard quraşdırmasını tamamlayır! İndi bütün qoşulmuş cihazlarda bütün trafik VPN bağlantısı ilə qorunur.
References
Mənbə: www.habr.com