En la majoria dels casos, connectar un encaminador a una VPN no és difícil, però si voleu protegir tota la xarxa i al mateix temps mantenir una velocitat de connexió òptima, la millor solució és utilitzar un túnel VPN.
Encaminadors mikrotik van demostrar ser solucions fiables i molt flexibles, però malauradament
Però de moment, malauradament, per configurar WireGuard en un encaminador Mikrotik, cal canviar el microprogramari.
Flashing Mikrotik, instal·lació i configuració d'OpenWrt
Primer heu d'assegurar-vos que OpenWrt admet el vostre model. Comproveu si un model coincideix amb el seu nom de màrqueting i la seva imatge
Aneu a openwrt.com
Per a aquest dispositiu, necessitem 2 fitxers:
Heu de descarregar els dos fitxers: install и modernització.
1. Configuració de la xarxa, baixada i configuració del servidor PXE
descarregar
Descomprimiu a una carpeta independent. Afegiu el paràmetre al fitxer config.ini rfc951=1 secció [dhcp]. Aquest paràmetre és el mateix per a tots els models Mikrotik.
Passem a la configuració de la xarxa: heu de registrar una adreça IP estàtica en una de les interfícies de xarxa del vostre ordinador.
Adreça IP: 192.168.1.10
Màscara de xarxa: 255.255.255.0
Correr Servidor PXE petit en nom de l'administrador i seleccioneu al camp Servidor DHCP servidor amb adreça 192.168.1.10
En algunes versions de Windows, aquesta interfície només pot aparèixer després d'una connexió Ethernet. Recomano connectar un encaminador i canviar immediatament l'encaminador i l'ordinador mitjançant un cable de connexió.
Premeu el botó "..." (a la part inferior dreta) i especifiqueu la carpeta on heu baixat els fitxers de microprogramari per al Mikrotik.
Trieu un fitxer el nom del qual acabi amb "initramfs-kernel.bin o elf"
2. Arrencant l'encaminador des del servidor PXE
Connectem el PC amb un cable i el primer port (wan, internet, poe in,...) del router. Després d'això, agafem un escuradents, l'enganxem al forat amb la inscripció "Restablir".
Encenem el router i esperem 20 segons, després deixem anar l'escuradents.
En el minut següent, haurien d'aparèixer els missatges següents a la finestra del Servidor PXE petit:
Si apareix el missatge, aleshores esteu en la direcció correcta!
Restaura la configuració de l'adaptador de xarxa i configura per rebre l'adreça de manera dinàmica (mitjançant DHCP).
Connecteu-vos als ports LAN del router Mikrotik (2...5 en el nostre cas) amb el mateix cable de connexió. Només cal canviar-lo del primer port al segon port. Adreça oberta
Inicieu sessió a la interfície administrativa d'OpenWRT i aneu a la secció de menú "Sistema -> Còpia de seguretat/Firmware Flash"
A la subsecció "Flash new firmware image", feu clic al botó "Selecciona un fitxer (Navega)".
Especifiqueu el camí d'accés a un fitxer el nom del qual acabi amb "-squashfs-sysupgrade.bin".
Després d'això, feu clic al botó "Imatge Flash".
A la finestra següent, feu clic al botó "Continuar". El microprogramari començarà a descarregar-se al router.
!!! EN CAP CAS NO DESCONNECTEU L'ALIMENTACIÓ DE L'ENRUTADOR DURANT EL PROCÉS DEL FIRMWARE !!!
Després de flashejar i reiniciar l'encaminador, rebreu Mikrotik amb el microprogramari OpenWRT.
Possibles problemes i solucions
Molts dispositius Mikrotik llançats el 2019 utilitzen un xip de memòria FLASH-NOR del tipus GD25Q15 / Q16. El problema és que quan parpelleja, les dades sobre el model del dispositiu no es guarden.
Si veieu l'error "El fitxer d'imatge penjat no conté un format compatible. Assegureu-vos que trieu el format d'imatge genèric per a la vostra plataforma". llavors el més probable és que el problema estigui en flash.
És fàcil comprovar-ho: executeu l'ordre per comprovar l'ID del model al terminal del dispositiu
root@OpenWrt: cat /tmp/sysinfo/board_name
I si obteniu la resposta "desconegut", heu d'especificar manualment el model del dispositiu amb el formulari "rb-951-2nd".
Per obtenir el model del dispositiu, executeu l'ordre
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Després de rebre el model del dispositiu, instal·leu-lo manualment:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Després d'això, podeu flashejar el dispositiu a través de la interfície web o mitjançant l'ordre "sysupgrade".
Creeu un servidor VPN amb WireGuard
Si ja teniu un servidor amb WireGuard configurat, podeu ometre aquest pas.
Faré servir l'aplicació per configurar un servidor VPN personal
Configuració del client WireGuard a OpenWRT
Connecteu-vos a l'encaminador mitjançant el protocol SSH:
ssh [email protected]
Instal·leu WireGuard:
opkg update
opkg install wireguard
Prepareu la configuració (copieu el codi següent a un fitxer, substituïu els valors especificats pels vostres i executeu-lo al terminal).
Si utilitzeu MyVPN, només cal que canvieu a la configuració següent WG_SERV - IP del servidor WG_KEY - clau privada del fitxer de configuració de wireguard i WG_PUB - clau pública.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Això completa la configuració de WireGuard! Ara tot el trànsit de tots els dispositius connectats està protegit per una connexió VPN.
Referències
Font: www.habr.com