Ve většině případů není připojení routeru k VPN složité, ale pokud chcete chránit celou síť a zároveň zachovat optimální rychlost připojení, pak je nejlepším řešením použít VPN tunel
Směrovače Mikrotik se ukázalo jako spolehlivé a velmi flexibilní řešení, ale bohužel
Ale zatím bohužel pro konfiguraci WireGuard na routeru Mikrotik je potřeba změnit firmware.
Flashování Mikrotiku, instalace a konfigurace OpenWrt
Nejprve se musíte ujistit, že OpenWrt podporuje váš model. Podívejte se, zda model odpovídá jeho marketingovému názvu a image
Přejděte na openwrt.com
Pro toto zařízení potřebujeme 2 soubory:
Musíte si stáhnout oba soubory: instalovat и Aktualizujte.
1. Nastavení sítě, stažení a nastavení serveru PXE
Stáhnout
Rozbalte do samostatné složky. V souboru config.ini přidejte parametr rfc951=1 sekce [dhcp]. Tento parametr je stejný pro všechny modely Mikrotik.
Přejděme k nastavení sítě: musíte zaregistrovat statickou ip adresu na jednom ze síťových rozhraní vašeho počítače.
IP adresa: 192.168.1.10
Maska sítě: 255.255.255.0
Běh Malý PXE server jménem Správce a vyberte v poli DHCP Server server s adresou 192.168.1.10
V některých verzích systému Windows se toto rozhraní může objevit pouze po připojení k síti Ethernet. Doporučuji připojit router a ihned přepnout router a PC pomocí patch kabelu.
Stiskněte tlačítko "..." (vpravo dole) a zadejte složku, do které jste stáhli soubory firmwaru pro Mikrotik.
Vyberte soubor, jehož název končí „initramfs-kernel.bin nebo elf“
2. Bootování routeru ze serveru PXE
PC propojíme drátem a prvním portem (wan, internet, poe in, ...) routeru. Poté vezmeme párátko, zapíchneme ho do otvoru s nápisem "Reset".
Zapneme napájení routeru a počkáme 20 sekund, poté uvolníme párátko.
Během příští minuty by se v okně Tiny PXE Server měly objevit následující zprávy:
Pokud se zpráva objeví, jste na správném směru!
Obnovte nastavení na síťovém adaptéru a nastavte příjem adresy dynamicky (přes DHCP).
Připojte se k LAN portům routeru Mikrotik (v našem případě 2…5) pomocí stejného propojovacího kabelu. Stačí jej přepnout z 1. portu na 2. port. Otevřít adresu
Přihlaste se do administrativního rozhraní OpenWRT a přejděte do části nabídky "Systém -> Zálohování/Flash Firmware"
V podsekci "Flash new firmware image" klikněte na tlačítko "Vybrat soubor (Procházet)".
Zadejte cestu k souboru, jehož název končí na "-squashfs-sysupgrade.bin".
Poté klikněte na tlačítko "Flash Image".
V dalším okně klikněte na tlačítko "Pokračovat". Firmware se začne stahovat do routeru.
!!! V ŽÁDNÉM PŘÍPADĚ NEODPOJUJTE NAPÁJENÍ ROUTERU BĚHEM PROCESU FIRMWARU !!!
Po flashnutí a restartu routeru obdržíte Mikrotik s firmwarem OpenWRT.
Možné problémy a řešení
Mnoho zařízení Mikrotik vydaných v roce 2019 používá paměťový čip FLASH-NOR typu GD25Q15 / Q16. Problém je, že při flashování se neukládají údaje o modelu zařízení.
Pokud se zobrazí chyba „Nahraný soubor obrázku neobsahuje podporovaný formát. Ujistěte se, že jste zvolili obecný formát obrázku pro vaši platformu." pak je s největší pravděpodobností problém ve flashi.
Je snadné to zkontrolovat: spusťte příkaz pro kontrolu ID modelu v terminálu zařízení
root@OpenWrt: cat /tmp/sysinfo/board_name
A pokud dostanete odpověď „neznámý“, musíte ručně zadat model zařízení ve tvaru „rb-951-2nd“
Chcete-li získat model zařízení, spusťte příkaz
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Po obdržení modelu zařízení jej nainstalujte ručně:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Poté můžete zařízení flashovat přes webové rozhraní nebo pomocí příkazu "sysupgrade".
Vytvořte VPN server pomocí WireGuard
Pokud již máte server s nakonfigurovaným WireGuard, můžete tento krok přeskočit.
Aplikaci použiji k nastavení osobního VPN serveru
Konfigurace klienta WireGuard na OpenWRT
Připojte se k routeru pomocí protokolu SSH:
ssh [email protected]
Instalace WireGuard:
opkg update
opkg install wireguard
Připravte konfiguraci (zkopírujte níže uvedený kód do souboru, nahraďte zadané hodnoty vlastními a spusťte v terminálu).
Pokud používáte MyVPN, pak v konfiguraci níže stačí změnit WG_SERV - IP serveru WG_KEY - soukromý klíč z konfiguračního souboru wireguard a WG_PUB - veřejný klíč.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Tím je nastavení WireGuard dokončeno! Nyní je veškerý provoz na všech připojených zařízeních chráněn připojením VPN.
reference
Zdroj: www.habr.com