Configuració de WireGuard en un encaminador Mikrotik amb OpenWrt

En la majoria dels casos, connectar un encaminador a una VPN no és difícil, però si voleu protegir tota la xarxa i al mateix temps mantenir una velocitat de connexió òptima, la millor solució és utilitzar un túnel VPN. WireGuard.

Encaminadors mikrotik van demostrar ser solucions fiables i molt flexibles, però malauradament Suport WireGurd a RouterOS encara no i no se sap quan apareixerà i en quina actuació. Recentment es va fer conegut sobre el que van suggerir els desenvolupadors del túnel VPN WireGuard conjunt de pedaços, que farà que el seu programari de túnel VPN sigui part del nucli Linux, esperem que això contribueixi a l'adopció a RouterOS.

Però de moment, malauradament, per configurar WireGuard en un encaminador Mikrotik, cal canviar el microprogramari.

Flashing Mikrotik, instal·lació i configuració d'OpenWrt

Primer heu d'assegurar-vos que OpenWrt admet el vostre model. Comproveu si un model coincideix amb el seu nom de màrqueting i la seva imatge podeu visitar mikrotik.com.

Aneu a openwrt.com a la secció de descàrrega del firmware.

Per a aquest dispositiu, necessitem 2 fitxers:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

Heu de descarregar els dos fitxers: install и modernització.

1. Configuració de la xarxa, baixada i configuració del servidor PXE

descarregar Servidor PXE petit per a la darrera versió de Windows.

Descomprimiu a una carpeta independent. Afegiu el paràmetre al fitxer config.ini rfc951=1 secció [dhcp]. Aquest paràmetre és el mateix per a tots els models Mikrotik.

Passem a la configuració de la xarxa: heu de registrar una adreça IP estàtica en una de les interfícies de xarxa del vostre ordinador.

Adreça IP: 192.168.1.10
Màscara de xarxa: 255.255.255.0

Correr Servidor PXE petit en nom de l'administrador i seleccioneu al camp Servidor DHCP servidor amb adreça 192.168.1.10

En algunes versions de Windows, aquesta interfície només pot aparèixer després d'una connexió Ethernet. Recomano connectar un encaminador i canviar immediatament l'encaminador i l'ordinador mitjançant un cable de connexió.

Premeu el botó "..." (a la part inferior dreta) i especifiqueu la carpeta on heu baixat els fitxers de microprogramari per al Mikrotik.

Trieu un fitxer el nom del qual acabi amb "initramfs-kernel.bin o elf"

2. Arrencant l'encaminador des del servidor PXE

Connectem el PC amb un cable i el primer port (wan, internet, poe in,...) del router. Després d'això, agafem un escuradents, l'enganxem al forat amb la inscripció "Restablir".

Encenem el router i esperem 20 segons, després deixem anar l'escuradents.
En el minut següent, haurien d'aparèixer els missatges següents a la finestra del Servidor PXE petit:

Si apareix el missatge, aleshores esteu en la direcció correcta!

Restaura la configuració de l'adaptador de xarxa i configura per rebre l'adreça de manera dinàmica (mitjançant DHCP).

Connecteu-vos als ports LAN del router Mikrotik (2...5 en el nostre cas) amb el mateix cable de connexió. Només cal canviar-lo del primer port al segon port. Adreça oberta 192.168.1.1 al navegador.

Inicieu sessió a la interfície administrativa d'OpenWRT i aneu a la secció de menú "Sistema -> Còpia de seguretat/Firmware Flash"

A la subsecció "Flash new firmware image", feu clic al botó "Selecciona un fitxer (Navega)".

Especifiqueu el camí d'accés a un fitxer el nom del qual acabi amb "-squashfs-sysupgrade.bin".

Després d'això, feu clic al botó "Imatge Flash".

A la finestra següent, feu clic al botó "Continuar". El microprogramari començarà a descarregar-se al router.

!!! EN CAP CAS NO DESCONNECTEU L'ALIMENTACIÓ DE L'ENRUTADOR DURANT EL PROCÉS DEL FIRMWARE !!!

Després de flashejar i reiniciar l'encaminador, rebreu Mikrotik amb el microprogramari OpenWRT.

Possibles problemes i solucions

Molts dispositius Mikrotik llançats el 2019 utilitzen un xip de memòria FLASH-NOR del tipus GD25Q15 / Q16. El problema és que quan parpelleja, les dades sobre el model del dispositiu no es guarden.

Si veieu l'error "El fitxer d'imatge penjat no conté un format compatible. Assegureu-vos que trieu el format d'imatge genèric per a la vostra plataforma". llavors el més probable és que el problema estigui en flash.

És fàcil comprovar-ho: executeu l'ordre per comprovar l'ID del model al terminal del dispositiu

root@OpenWrt: cat /tmp/sysinfo/board_name

I si obteniu la resposta "desconegut", heu d'especificar manualment el model del dispositiu amb el formulari "rb-951-2nd".

Per obtenir el model del dispositiu, executeu l'ordre

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

Després de rebre el model del dispositiu, instal·leu-lo manualment:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

Després d'això, podeu flashejar el dispositiu a través de la interfície web o mitjançant l'ordre "sysupgrade".

Creeu un servidor VPN amb WireGuard

Si ja teniu un servidor amb WireGuard configurat, podeu ometre aquest pas.
Faré servir l'aplicació per configurar un servidor VPN personal MyVPN.RUN sobre el gat que ja va publicar una ressenya.

Configuració del client WireGuard a OpenWRT

Connecteu-vos a l'encaminador mitjançant el protocol SSH:

ssh [email protected]

Instal·leu WireGuard:

opkg update
opkg install wireguard

Prepareu la configuració (copieu el codi següent a un fitxer, substituïu els valors especificats pels vostres i executeu-lo al terminal).

Si utilitzeu MyVPN, només cal que canvieu a la configuració següent WG_SERV - IP del servidor WG_KEY - clau privada del fitxer de configuració de wireguard i WG_PUB - clau pública.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

Això completa la configuració de WireGuard! Ara tot el trànsit de tots els dispositius connectats està protegit per una connexió VPN.

Referències

Font #1
Instruccions modificades a MyVPN (instruccions addicionals disponibles per configurar L2TP, PPTP al firmware estàndard de Mikrotik)
Client OpenWrt WireGuard

Font: www.habr.com