U većini slučajeva povezivanje rutera na VPN nije teško, ali ako želite zaštititi cijelu mrežu i istovremeno održati optimalnu brzinu veze, onda je najbolje rješenje korištenje VPN tunela .
Ruteri Mikrotik pokazala se kao pouzdana i vrlo fleksibilna rješenja, ali nažalost još uvijek nije i nije poznato kada će se pojaviti i u kojoj izvedbi. Nedavno o onome što su programeri WireGuard VPN tunela predložili , koji će njihov softver za VPN tuneliranje učiniti dijelom Linux kernela, nadamo se da će to doprinijeti usvajanju u RouterOS-u.
Ali za sada, nažalost, da biste konfigurirali WireGuard na Mikrotik ruteru, morate promijeniti firmver.
Flashing Mikrotik, instaliranje i konfigurisanje OpenWrt-a
Prvo morate biti sigurni da OpenWrt podržava vaš model. Provjerite odgovara li model njegovom marketinškom imenu i imidžu .
Idite na openwrt.com .
Za ovaj uređaj su nam potrebna 2 fajla:
Morate preuzeti oba fajla: Instaliraj и nadogradnja.
1. Podešavanje mreže, preuzimanje i podešavanje PXE servera
Skinuti za najnoviju verziju Windowsa.
Raspakujte u poseban folder. U datoteku config.ini dodajte parametar rfc951=1 odjeljak [dhcp]. Ovaj parametar je isti za sve Mikrotik modele.
Pređimo na mrežna podešavanja: potrebno je da registrujete statičku IP adresu na jednom od mrežnih interfejsa vašeg računara.
IP adresa: 192.168.1.10
Mrežna maska: 255.255.255.0
Bježi Mali PXE server u ime administratora i izaberite u polju DHCP server server sa adresom 192.168.1.10
Na nekim verzijama Windowsa, ovo sučelje se može pojaviti samo nakon Ethernet veze. Preporučujem da povežete ruter i odmah prebacite ruter i računar pomoću patch kabla.
Pritisnite dugme "..." (dole desno) i odredite fasciklu u koju ste preuzeli fajlove firmvera za Mikrotik.
Odaberite datoteku čije ime završava sa "initramfs-kernel.bin ili elf"
2. Dizanje rutera sa PXE servera
Povezujemo PC žicom i prvi port (wan, internet, poe in,...) rutera. Nakon toga, uzmemo čačkalicu, zabijemo je u rupu s natpisom "Reset".
Uključujemo napajanje rutera i čekamo 20 sekundi, a zatim otpuštamo čačkalicu.
U roku od sljedećeg minuta, sljedeće poruke bi se trebale pojaviti u prozoru Tiny PXE Server:
Ako se poruka pojavi, onda ste na pravom putu!
Vratite postavke na mrežni adapter i postavite da primate adresu dinamički (preko DHCP-a).
Povežite se na LAN portove Mikrotik rutera (2…5 u našem slučaju) koristeći isti patch kabel. Samo ga prebacite sa 1. porta na 2. port. Otvori adresu u pretraživaču.
Prijavite se na OpenWRT administrativni interfejs i idite na odeljak menija "System -> Backup/Flash Firmware"
U pododjeljku "Flash nova slika firmvera" kliknite na dugme "Odaberi datoteku (Pregledaj)".
Odredite putanju do datoteke čije ime završava sa "-squashfs-sysupgrade.bin".
Nakon toga kliknite na dugme "Flash Image".
U sljedećem prozoru kliknite na dugme "Nastavi". Firmver će početi da se preuzima na ruter.
!!! Ni u kom slučaju NEMOJTE ISKLJUČITI NAPAJANJE RUTERA TOKOM PROCESA FIRMVERA !!!
Nakon flešovanja i ponovnog pokretanja rutera, dobićete Mikrotik sa OpenWRT firmverom.
Mogući problemi i rješenja
Mnogi Mikrotik uređaji objavljeni 2019. koriste FLASH-NOR memorijski čip tipa GD25Q15 / Q16. Problem je što se prilikom bljeskanja podaci o modelu uređaja ne pohranjuju.
Ako vidite grešku "Učitana datoteka slike ne sadrži podržani format. Provjerite jeste li odabrali generički format slike za svoju platformu." onda je najvjerovatnije problem u flashu.
Ovo je lako provjeriti: pokrenite naredbu da provjerite ID modela u terminalu uređaja
root@OpenWrt: cat /tmp/sysinfo/board_nameA ako dobijete odgovor "nepoznato", tada morate ručno navesti model uređaja u obliku "rb-951-2nd"
Da biste dobili model uređaja, pokrenite naredbu
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndNakon što dobijete model uređaja, instalirajte ga ručno:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameNakon toga možete flešovati uređaj putem web sučelja ili pomoću naredbe "sysupgrade".
Kreirajte VPN server uz WireGuard
Ako već imate server sa konfigurisanim WireGuardom, možete preskočiti ovaj korak.
Koristit ću aplikaciju za postavljanje ličnog VPN servera o mački sam već .
Konfiguriranje WireGuard klijenta na OpenWRT-u
Povežite se na ruter putem SSH protokola:
ssh [email protected]Instalirajte WireGuard:
opkg update
opkg install wireguardPripremite konfiguraciju (kopirajte kod ispod u datoteku, zamijenite navedene vrijednosti svojim i pokrenite u terminalu).
Ako koristite MyVPN, u donjoj konfiguraciji trebate samo promijeniti WG_SERV - IP servera WG_KEY - privatni ključ iz konfiguracijske datoteke wireguarda i WG_PUB - javni ključ.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartOvim je dovršeno postavljanje WireGuarda! Sada je sav promet na svim povezanim uređajima zaštićen VPN vezom.
reference
(dodatno dostupno uputstvo za podešavanje L2TP, PPTP na standardni Mikrotik firmware)
izvor: www.habr.com