Конфигуриране WireGuard на рутер Mikrotik, работещ с OpenWrt

В повечето случаи свързването на рутер към VPN не е трудно, но ако искате да защитите цялата мрежа и в същото време да поддържате оптимална скорост на връзката, тогава най-доброто решение е да използвате VPN тунел WireGuard.

Рутери MikroTik се оказаха надеждни и много гъвкави решения, но за съжаление Поддръжка на WireGurd на RouterOS все още не и не се знае кога ще се появи и в какво изпълнение. Наскоро стана известно че разработчиците на VPN тунела WireGuard предлагана комплект лепенки, което ще направи техния софтуер за VPN тунелиране част от ядрото Linux, надяваме се, че това ще улесни внедряването в RouterOS.

Но засега, за съжаление, за настройване WireGuard Фърмуерът на рутера Mikrotik трябва да бъде сменен.

Мигане на Mikrotik, инсталиране и настройка на OpenWrt

Първо трябва да се уверите, че OpenWrt поддържа вашия модел. Вижте дали даден модел отговаря на неговото маркетингово име и изображение можете да посетите mikrotik.com.

Отидете на openwrt.com към секцията за изтегляне на фърмуера.

За това устройство се нуждаем от 2 файла:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

Трябва да изтеглите и двата файла: Инсталирайте и Upgrade.

1. Настройка на мрежата, изтегляне и настройка на PXE сървър

Изтегли Малък PXE сървър за Windows най-новата версия.

Разархивирайте в отделна папка. Във файла config.ini добавете параметъра rfc951=1 раздел [dhcp]. Този параметър е еднакъв за всички модели Mikrotik.

Нека да преминем към мрежовите настройки: трябва да регистрирате статичен ip адрес на един от мрежовите интерфейси на вашия компютър.

IP адрес: 192.168.1.10
Мрежова маска: 255.255.255.0

тичам Малък PXE сървър от името на Администратора и изберете в полето DHCP Server сървър с адрес 192.168.1.10

В някои версии Windows Този интерфейс може да се появи само след свързване на Ethernet. Препоръчвам да свържете рутера и веднага да свържете рутера и компютъра с помощта на пач кабел.

Натиснете бутона "..." (долу вдясно) и посочете папката, в която сте изтеглили файловете на фърмуера за Mikrotik.

Изберете файл, чието име завършва с "initramfs-kernel.bin или elf"

2. Стартиране на рутера от PXE сървъра

Свързваме компютъра с кабел и първия порт (wan, internet, poe in, ...) на рутера. След това вземаме клечка за зъби, забиваме я в дупката с надпис "Нулиране".

Включваме захранването на рутера и изчакваме 20 секунди, след което освобождаваме клечката за зъби.
В рамките на следващата минута в прозореца на Tiny PXE Server трябва да се появят следните съобщения:

Ако съобщението се появи, значи сте в правилната посока!

Възстановете настройките на мрежовия адаптер и настройте да получава адреса динамично (чрез DHCP).

Свържете се към LAN портовете на рутера Mikrotik (2…5 в нашия случай) с помощта на същия пач кабел. Просто го превключете от 1-ви порт на 2-ри порт. Отворен адрес 192.168.1.1 в браузъра.

Влезте в административния интерфейс на OpenWRT и отидете в раздела на менюто „Система -> Архивиране/флаш фърмуер“

В подраздела „Флаш ново изображение на фърмуера“ щракнете върху бутона „Избор на файл (Преглед)“.

Посочете пътя към файл, чието име завършва с "-squashfs-sysupgrade.bin".

След това щракнете върху бутона "Flash Image".

В следващия прозорец щракнете върху бутона "Напред". Фърмуерът ще започне да се изтегля към рутера.

!!! В НИКАКЪВ СЛУЧАЙ НЕ ИЗКЛЮЧВАЙТЕ ЗАХРАНВАНЕТО НА РУТЕРА ПО ВРЕМЕ НА ПРОЦЕСА НА ФЪРМУЕРА !!!

След флашване и рестартиране на рутера ще получите Mikrotik с OpenWRT фърмуер.

Възможни проблеми и решения

Много устройства Mikrotik, пуснати през 2019 г., използват чип памет FLASH-NOR от типа GD25Q15 / Q16. Проблемът е, че при мигане не се запазват данни за модела на устройството.

Ако видите грешката „Каченият файл с изображение не съдържа поддържан формат. Уверете се, че сте избрали общия формат на изображението за вашата платформа." тогава най-вероятно проблемът е във флаш.

Лесно е да проверите това: изпълнете командата, за да проверите ID на модела в терминала на устройството

root@OpenWrt: cat /tmp/sysinfo/board_name

И ако получите отговор "неизвестен", тогава трябва ръчно да посочите модела на устройството във формата "rb-951-2nd"

За да получите модела на устройството, изпълнете командата

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

След като получите модела на устройството, инсталирайте го ръчно:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

След това можете да флашнете устройството чрез уеб интерфейса или с помощта на командата "sysupgrade".

Създайте VPN сървър с WireGuard

Ако вече имате конфигуриран сървър WireGuard, тогава можете да пропуснете тази точка.
Ще използвам приложението, за да настроя личен VPN сървър MyVPN.RUN за котката аз вече публикува рецензия.

регулиране WireGuard Клиент на OpenWRT

Свържете се с рутера чрез SSH протокол:

ssh root@192.168.1.1

Определен WireGuard:

opkg update
opkg install wireguard

Подгответе конфигурацията (копирайте кода по-долу във файл, заменете посочените стойности със свои и стартирайте в терминала).

Ако използвате MyVPN, тогава в конфигурацията по-долу трябва само да промените WG_SERV - IP на сървъра WG_KEY — частен ключ от конфигурационния файл wireguard и WG_PUB - публичен ключ.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

Това е всичко за настройката WireGuard Готово! Сега целият трафик на всички свързани устройства е защитен от VPN връзката.

Позоваването

Източник #1
Променени инструкции за MyVPN (допълнително налични инструкции за настройка на L2TP, PPTP на стандартен фърмуер на Mikrotik)
openwrt WireGuard Удовлетвореност

Източник: www.habr.com