U većini slučajeva povezivanje rutera na VPN nije teško, ali ako želite zaštititi cijelu mrežu i istovremeno održati optimalnu brzinu veze, onda je najbolje rješenje korištenje VPN tunela
Ruteri Mikrotik pokazala se kao pouzdana i vrlo fleksibilna rješenja, ali nažalost
Ali za sada, nažalost, da biste konfigurirali WireGuard na Mikrotik ruteru, morate promijeniti firmver.
Flashing Mikrotik, instaliranje i konfigurisanje OpenWrt-a
Prvo morate biti sigurni da OpenWrt podržava vaš model. Provjerite odgovara li model njegovom marketinškom imenu i imidžu
Idite na openwrt.com
Za ovaj uređaj su nam potrebna 2 fajla:
Morate preuzeti oba fajla: Instaliraj и nadogradnja.
1. Podešavanje mreže, preuzimanje i podešavanje PXE servera
Skinuti
Raspakujte u poseban folder. U datoteku config.ini dodajte parametar rfc951=1 odjeljak [dhcp]. Ovaj parametar je isti za sve Mikrotik modele.
Pređimo na mrežna podešavanja: potrebno je da registrujete statičku IP adresu na jednom od mrežnih interfejsa vašeg računara.
IP adresa: 192.168.1.10
Mrežna maska: 255.255.255.0
Bježi Mali PXE server u ime administratora i izaberite u polju DHCP server server sa adresom 192.168.1.10
Na nekim verzijama Windowsa, ovo sučelje se može pojaviti samo nakon Ethernet veze. Preporučujem da povežete ruter i odmah prebacite ruter i računar pomoću patch kabla.
Pritisnite dugme "..." (dole desno) i odredite fasciklu u koju ste preuzeli fajlove firmvera za Mikrotik.
Odaberite datoteku čije ime završava sa "initramfs-kernel.bin ili elf"
2. Dizanje rutera sa PXE servera
Povezujemo PC žicom i prvi port (wan, internet, poe in,...) rutera. Nakon toga, uzmemo čačkalicu, zabijemo je u rupu s natpisom "Reset".
Uključujemo napajanje rutera i čekamo 20 sekundi, a zatim otpuštamo čačkalicu.
U roku od sljedećeg minuta, sljedeće poruke bi se trebale pojaviti u prozoru Tiny PXE Server:
Ako se poruka pojavi, onda ste na pravom putu!
Vratite postavke na mrežni adapter i postavite da primate adresu dinamički (preko DHCP-a).
Povežite se na LAN portove Mikrotik rutera (2…5 u našem slučaju) koristeći isti patch kabel. Samo ga prebacite sa 1. porta na 2. port. Otvori adresu
Prijavite se na OpenWRT administrativni interfejs i idite na odeljak menija "System -> Backup/Flash Firmware"
U pododjeljku "Flash nova slika firmvera" kliknite na dugme "Odaberi datoteku (Pregledaj)".
Odredite putanju do datoteke čije ime završava sa "-squashfs-sysupgrade.bin".
Nakon toga kliknite na dugme "Flash Image".
U sljedećem prozoru kliknite na dugme "Nastavi". Firmver će početi da se preuzima na ruter.
!!! Ni u kom slučaju NEMOJTE ISKLJUČITI NAPAJANJE RUTERA TOKOM PROCESA FIRMVERA !!!
Nakon flešovanja i ponovnog pokretanja rutera, dobićete Mikrotik sa OpenWRT firmverom.
Mogući problemi i rješenja
Mnogi Mikrotik uređaji objavljeni 2019. koriste FLASH-NOR memorijski čip tipa GD25Q15 / Q16. Problem je što se prilikom bljeskanja podaci o modelu uređaja ne pohranjuju.
Ako vidite grešku "Učitana datoteka slike ne sadrži podržani format. Provjerite jeste li odabrali generički format slike za svoju platformu." onda je najvjerovatnije problem u flashu.
Ovo je lako provjeriti: pokrenite naredbu da provjerite ID modela u terminalu uređaja
root@OpenWrt: cat /tmp/sysinfo/board_name
A ako dobijete odgovor "nepoznato", tada morate ručno navesti model uređaja u obliku "rb-951-2nd"
Da biste dobili model uređaja, pokrenite naredbu
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Nakon što dobijete model uređaja, instalirajte ga ručno:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Nakon toga možete flešovati uređaj putem web sučelja ili pomoću naredbe "sysupgrade".
Kreirajte VPN server uz WireGuard
Ako već imate server sa konfigurisanim WireGuardom, možete preskočiti ovaj korak.
Koristit ću aplikaciju za postavljanje ličnog VPN servera
Konfiguriranje WireGuard klijenta na OpenWRT-u
Povežite se na ruter putem SSH protokola:
ssh [email protected]
Instalirajte WireGuard:
opkg update
opkg install wireguard
Pripremite konfiguraciju (kopirajte kod ispod u datoteku, zamijenite navedene vrijednosti svojim i pokrenite u terminalu).
Ako koristite MyVPN, u donjoj konfiguraciji trebate samo promijeniti WG_SERV - IP servera WG_KEY - privatni ključ iz konfiguracijske datoteke wireguarda i WG_PUB - javni ključ.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Ovim je dovršeno postavljanje WireGuarda! Sada je sav promet na svim povezanim uređajima zaštićen VPN vezom.
reference
izvor: www.habr.com