In a maiò parte di i casi, cunnette un router à una VPN ùn hè micca difficiule, ma se vulete prutezzione di tutta a reta è à u stessu tempu mantene a velocità di cunnessione ottima, allora a megliu suluzione hè di utilizà un tunnel VPN. .
Routers Microticu dimustratu esse suluzioni affidabili è assai flessibili, ma sfurtunatamenti ancora micca è ùn hè micca cunnisciutu quandu apparirà è in quale performance. Recentemente circa ciò chì i sviluppatori di u tunnel WireGuard VPN suggerenu , chì farà u so software di tunneling VPN parte di u kernel Linux, speremu chì questu cuntribuisce à l'adopzione in RouterOS.
Ma per avà, sfurtunatamenti, per cunfigurà WireGuard in un router Mikrotik, avete bisognu di cambià u firmware.
Flashing Mikrotik, installazione è cunfigurà OpenWrt
Prima ci vole à assicurà chì OpenWrt sustene u vostru mudellu. Vede s'ellu un mudellu currisponde à u so nome di marketing è l'imaghjini .
Andà à openwrt.com .
Per stu dispusitivu, avemu bisognu di 2 schedari:
Avete bisognu di scaricà i dui fugliali: stallà и aghjurnamentu.
1. Configurazione di a rete, scaricamentu è stallazione di u servitore PXE
Scaricà per l'ultima versione di Windows.
Unzip in un cartulare separatu. In u schedariu config.ini aghjunghje u paràmetru rfc951 = 1 sezione [dhcp]. Stu paràmetru hè u listessu per tutti i mudelli Mikrotik.
Passemu à i paràmetri di a rete: avete bisognu di registrà un indirizzu IP staticu in una di l'interfaccia di rete di u vostru urdinatore.
Indirizzu IP: 192.168.1.10
Netmask: 255.255.255.0
Curriri Picculu servitore PXE in nome di l'Amministratore è selezziunate in u campu Servitore DHCP servitore cù indirizzu 192.168.1.10
In certi versioni di Windows, sta interfaccia pò esse solu dopu una cunnessione Ethernet. Aghju ricumandemu di cunnette un router è cambia immediatamente u router è u PC cù un patch cord.
Pulsà u buttone "..." (in fondu à destra) è specifica u cartulare induve avete scaricatu i schedarii di firmware per Mikrotik.
Sceglite un schedariu chì u nome finisci cù "initramfs-kernel.bin o elf"
2. Booting u router da u servore PXE
Cunnetteremu u PC cù un filu è u primu portu (wan, internet, poe in, ...) di u router. Dopu à quessa, pigliemu un stuzzicadenti, mette in u pirtusu cù l'inscription "Reset".
Accendemu u putere di u router è aspittemu 20 seconde, poi liberate u stuzzicadenti.
In u prossimu minutu, i seguenti messagi duveranu apparisce in a finestra di Tiny PXE Server:
Sè u missaghju apparisce, allora site in a direzione ghjusta!
Ripristina i paràmetri nantu à l'adattatore di rete è stabilisce per riceve l'indirizzu dinamicamente (via DHCP).
Cunnettete à i porti LAN di u router Mikrotik (2 ... 5 in u nostru casu) usendu u stessu patch cord. Basta cambià da u 1u portu à u 2u portu. Indirizzu apertu in u navigatore.
Accedi à l'interfaccia amministrativa OpenWRT è andate à a sezione di menu "Sistema -> Backup/Flash Firmware"
In u sottu "Flash new firmware image", cliccate nant'à u buttone "Selezziunà u schedariu (Browse)".
Specificate a strada di un schedariu chì u nome finisci cù "-squashfs-sysupgrade.bin".
Dopu à quessa, cliccate nant'à u buttone "Flash Image".
In a finestra dopu, cliccate nant'à u buttone "Proceed". U firmware cumincià à scaricà à u router.
!!! IN NESSUN EVENTU, NON DISCONNECT U POTENZA DI U ROUTER DURANTE U PROCESSU FIRMWARE !!!
Dopu avè lampatu è rebooting u router, riceverete Mikrotik cù firmware OpenWRT.
Possibili prublemi è suluzione
Parechji dispositi Mikrotik liberati in 2019 utilizanu un chip di memoria FLASH-NOR di u tipu GD25Q15 / Q16. U prublema hè chì quandu lampendu, i dati nantu à u mudellu di u dispusitivu ùn hè micca salvatu.
Se vede l'errore "U schedariu di l'imagine caricatu ùn cuntene micca un formatu supportatu. Assicuratevi di sceglie u formatu d'imaghjini genericu per a vostra piattaforma". allora u più prubabilmente u prublema hè in flash.
Hè facilitu per verificà questu: eseguite u cumandimu per verificà l'ID di mudellu in u terminal di u dispusitivu
root@OpenWrt: cat /tmp/sysinfo/board_nameÈ s'è vo avete a risposta "scunnisciutu", allura vi tocca à specificà manualmente u mudellu di dispusitivu in a forma "rb-951-2nd"
Per uttene u mudellu di u dispusitivu, eseguite u cumandamentu
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndDopu avè ricevutu u mudellu di u dispusitivu, installate manualmente:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameDopu à quessa, pudete lampà u dispusitivu attraversu l'interfaccia web o cù u cumandimu "sysupgrade".
Crea un servitore VPN cù WireGuard
Se avete digià un servitore cun WireGuard cunfiguratu, pudete saltà stu passu.
Aduprà l'applicazione per stabilisce un servitore VPN persunale circa u ghjattu chì aghju digià .
Configurazione di WireGuard Client in OpenWRT
Cunnette vi à u router via u protocolu SSH:
ssh [email protected]Installa WireGuard:
opkg update
opkg install wireguardPreparate a cunfigurazione (copiate u codice sottu à un schedariu, rimpiazzà i valori specificati cù u vostru propiu è eseguite in u terminal).
Sè vo aduprate MyVPN, allora in a cunfigurazione quì sottu solu bisognu di cambià WG_SERV - IP di u servitore WG_KEY - chjave privata da u schedariu di cunfigurazione wireguard è WG_PUB - chjave publica.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartQuestu cumpleta a cunfigurazione di WireGuard! Avà tuttu u trafficu nantu à tutti i dispositi cunnessi hè prutettu da una cunnessione VPN.
referenze
(istruzzioni dispunibuli in più per a stallazione di L2TP, PPTP nantu à u firmware standard Mikrotik)
Source: www.habr.com