В повечето случаи свързването на рутер към VPN не е трудно, но ако искате да защитите цялата мрежа и в същото време да поддържате оптимална скорост на връзката, тогава най-доброто решение е да използвате VPN тунел .
Рутери MikroTik се оказаха надеждни и много гъвкави решения, но за съжаление все още не и не се знае кога ще се появи и в какво изпълнение. Наскоро за това, което предложиха разработчиците на WireGuard VPN тунела , което ще направи техния софтуер за VPN тунелиране част от ядрото на Linux, надяваме се, че това ще допринесе за приемането в RouterOS.
Но засега, за съжаление, за да конфигурирате WireGuard на рутер Mikrotik, трябва да промените фърмуера.
Мигане на Mikrotik, инсталиране и настройка на OpenWrt
Първо трябва да се уверите, че OpenWrt поддържа вашия модел. Вижте дали даден модел отговаря на неговото маркетингово име и изображение .
Отидете на openwrt.com .
За това устройство се нуждаем от 2 файла:
Трябва да изтеглите и двата файла: инсталирам и Upgrade.
1. Настройка на мрежата, изтегляне и настройка на PXE сървър
Изтегли за последната версия на Windows.
Разархивирайте в отделна папка. Във файла config.ini добавете параметъра rfc951=1 раздел [dhcp]. Този параметър е еднакъв за всички модели Mikrotik.
Нека да преминем към мрежовите настройки: трябва да регистрирате статичен ip адрес на един от мрежовите интерфейси на вашия компютър.
IP адрес: 192.168.1.10
Мрежова маска: 255.255.255.0
тичам Малък PXE сървър от името на Администратора и изберете в полето DHCP Server сървър с адрес 192.168.1.10
В някои версии на Windows този интерфейс може да се появи само след Ethernet връзка. Препоръчвам да свържете рутер и незабавно да превключите рутера и компютъра с помощта на пач кабел.
Натиснете бутона "..." (долу вдясно) и посочете папката, в която сте изтеглили файловете на фърмуера за Mikrotik.
Изберете файл, чието име завършва с "initramfs-kernel.bin или elf"
2. Стартиране на рутера от PXE сървъра
Свързваме компютъра с кабел и първия порт (wan, internet, poe in, ...) на рутера. След това вземаме клечка за зъби, забиваме я в дупката с надпис "Нулиране".
Включваме захранването на рутера и изчакваме 20 секунди, след което освобождаваме клечката за зъби.
В рамките на следващата минута в прозореца на Tiny PXE Server трябва да се появят следните съобщения:
Ако съобщението се появи, значи сте в правилната посока!
Възстановете настройките на мрежовия адаптер и настройте да получава адреса динамично (чрез DHCP).
Свържете се към LAN портовете на рутера Mikrotik (2…5 в нашия случай) с помощта на същия пач кабел. Просто го превключете от 1-ви порт на 2-ри порт. Отворен адрес в браузъра.
Влезте в административния интерфейс на OpenWRT и отидете в раздела на менюто „Система -> Архивиране/флаш фърмуер“
В подраздела „Флаш ново изображение на фърмуера“ щракнете върху бутона „Избор на файл (Преглед)“.
Посочете пътя към файл, чието име завършва с "-squashfs-sysupgrade.bin".
След това щракнете върху бутона "Flash Image".
В следващия прозорец щракнете върху бутона "Напред". Фърмуерът ще започне да се изтегля към рутера.
!!! В НИКАКЪВ СЛУЧАЙ НЕ ИЗКЛЮЧВАЙТЕ ЗАХРАНВАНЕТО НА РУТЕРА ПО ВРЕМЕ НА ПРОЦЕСА НА ФЪРМУЕРА !!!
След флашване и рестартиране на рутера ще получите Mikrotik с OpenWRT фърмуер.
Възможни проблеми и решения
Много устройства Mikrotik, пуснати през 2019 г., използват чип памет FLASH-NOR от типа GD25Q15 / Q16. Проблемът е, че при мигане не се запазват данни за модела на устройството.
Ако видите грешката „Каченият файл с изображение не съдържа поддържан формат. Уверете се, че сте избрали общия формат на изображението за вашата платформа." тогава най-вероятно проблемът е във флаш.
Лесно е да проверите това: изпълнете командата, за да проверите ID на модела в терминала на устройството
root@OpenWrt: cat /tmp/sysinfo/board_nameИ ако получите отговор "неизвестен", тогава трябва ръчно да посочите модела на устройството във формата "rb-951-2nd"
За да получите модела на устройството, изпълнете командата
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndСлед като получите модела на устройството, инсталирайте го ръчно:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameСлед това можете да флашнете устройството чрез уеб интерфейса или с помощта на командата "sysupgrade".
Създайте VPN сървър с WireGuard
Ако вече имате сървър с конфигуриран WireGuard, можете да пропуснете тази стъпка.
Ще използвам приложението, за да настроя личен VPN сървър за котката аз вече .
Конфигуриране на WireGuard Client на OpenWRT
Свържете се с рутера чрез SSH протокол:
ssh [email protected]Инсталирайте WireGuard:
opkg update
opkg install wireguardПодгответе конфигурацията (копирайте кода по-долу във файл, заменете посочените стойности със свои и стартирайте в терминала).
Ако използвате MyVPN, тогава в конфигурацията по-долу трябва само да промените WG_SERV - IP на сървъра WG_KEY - частен ключ от конфигурационния файл на wireguard и WG_PUB - публичен ключ.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartТова завършва настройката на WireGuard! Сега целият трафик на всички свързани устройства е защитен от VPN връзка.
Позоваването
(допълнително налични инструкции за настройка на L2TP, PPTP на стандартен фърмуер на Mikrotik)
Източник: www.habr.com