Yn y rhan fwyaf o achosion, nid yw'n anodd cysylltu llwybrydd â VPN, ond os ydych chi am amddiffyn y rhwydwaith cyfan a chynnal y cyflymder cysylltiad gorau posibl ar yr un pryd, yna'r ateb gorau yw defnyddio twnnel VPN .
Llwybryddion Mikrotik profi i fod yn atebion dibynadwy a hyblyg iawn, ond yn anffodus dal ddim ac nid yw'n hysbys pryd y bydd yn ymddangos ac ym mha berfformiad. Yn ddiweddar am yr hyn a awgrymodd datblygwyr twnnel WireGuard VPN , a fydd yn gwneud eu meddalwedd twnelu VPN yn rhan o'r cnewyllyn Linux, rydym yn gobeithio y bydd hyn yn cyfrannu at y mabwysiadu yn RouterOS.
Ond am y tro, yn anffodus, i ffurfweddu WireGuard ar lwybrydd Mikrotik, mae angen i chi newid y firmware.
Fflachio Mikrotik, gosod a ffurfweddu OpenWrt
Yn gyntaf mae angen i chi sicrhau bod OpenWrt yn cefnogi'ch model. Gweld a yw model yn cyfateb i'w enw marchnata a'i ddelwedd .
Ewch i openwrt.com .
Ar gyfer y ddyfais hon, mae angen 2 ffeil arnom:
Mae angen i chi lawrlwytho'r ddwy ffeil: Gosod и Uwchraddio.
1. Sefydlu rhwydwaith, lawrlwytho a gosod gweinydd PXE
Dadlwythwch ar gyfer fersiwn diweddaraf Windows.
Dadsipio i ffolder ar wahân. Yn y ffeil config.ini ychwanegwch y paramedr rfc951=1 adran [dhcp]. Mae'r paramedr hwn yr un peth ar gyfer pob model Mikrotik.
Gadewch i ni symud ymlaen i osodiadau rhwydwaith: mae angen i chi gofrestru cyfeiriad ip statig ar un o ryngwynebau rhwydwaith eich cyfrifiadur.
Cyfeiriad IP: 192.168.1.10
Mwgwd rhwyd: 255.255.255.0
Rhedeg Gweinydd PXE Bach iawn ar ran y Gweinyddwr a dewiswch yn y maes Gweinydd DHCP gweinydd gyda chyfeiriad 192.168.1.10
Ar rai fersiynau o Windows, dim ond ar ôl cysylltiad Ethernet y gall y rhyngwyneb hwn ymddangos. Rwy'n argymell cysylltu llwybrydd a newid y llwybrydd a'r PC ar unwaith gan ddefnyddio llinyn clwt.
Pwyswch y botwm "..." (ar y gwaelod ar y dde) a nodwch y ffolder lle gwnaethoch chi lawrlwytho'r ffeiliau firmware ar gyfer Mikrotik.
Dewiswch ffeil y mae ei henw yn gorffen gyda "initramfs-kernel.bin or elf"
2. Booting y llwybrydd o'r gweinydd PXE
Rydyn ni'n cysylltu'r PC â gwifren a phorthladd cyntaf (wan, rhyngrwyd, poe in, ...) y llwybrydd. Ar ôl hynny, rydyn ni'n cymryd pigyn dannedd, yn ei roi yn y twll gyda'r arysgrif "Ailosod".
Rydyn ni'n troi pŵer y llwybrydd ymlaen ac yn aros 20 eiliad, yna'n rhyddhau'r pigyn dannedd.
O fewn y funud nesaf, dylai'r negeseuon canlynol ymddangos yn ffenestr Tiny PXE Server:
Os yw'r neges yn ymddangos, yna rydych chi i'r cyfeiriad cywir!
Adfer y gosodiadau ar yr addasydd rhwydwaith a gosod i dderbyn y cyfeiriad yn ddeinamig (trwy DHCP).
Cysylltwch â phorthladdoedd LAN y llwybrydd Mikrotik (2…5 yn ein hachos ni) gan ddefnyddio'r un llinyn clwt. Newidiwch ef o borthladd 1af i 2il borthladd. Cyfeiriad agored yn y porwr.
Mewngofnodwch i'r rhyngwyneb gweinyddol OpenWRT ac ewch i'r adran ddewislen "System -> Backup/Flash Firmware"
Yn yr is-adran "Flash delwedd firmware newydd", cliciwch ar y botwm "Dewis ffeil (Pori)".
Nodwch y llwybr i ffeil y mae ei enw yn gorffen gyda "-squashfs-sysupgrade.bin".
Ar ôl hynny, cliciwch ar y botwm "Delwedd Flash".
Yn y ffenestr nesaf, cliciwch ar y botwm "Ewch ymlaen". Bydd y firmware yn dechrau llwytho i lawr i'r llwybrydd.
!!! DIM DIGWYDDIAD PEIDIWCH Â DATGYSYLLTU PŴER Y LLWYBRYDD YN YSTOD Y BROSES GADARNWEDD !!!
Ar ôl fflachio ac ailgychwyn y llwybrydd, byddwch yn derbyn Mikrotik gyda firmware OpenWRT.
Problemau ac atebion posibl
Mae llawer o ddyfeisiau Mikrotik a ryddhawyd yn 2019 yn defnyddio sglodyn cof FLASH-NOR o'r math GD25Q15 / Q16. Y broblem yw, wrth fflachio, nid yw data am fodel y ddyfais yn cael ei arbed.
Os gwelwch y gwall "Nid yw'r ffeil delwedd a uwchlwythwyd yn cynnwys fformat a gefnogir. Gwnewch yn siŵr eich bod chi'n dewis y fformat delwedd generig ar gyfer eich platfform." yna mae'r broblem yn fwyaf tebygol mewn fflach.
Mae'n hawdd gwirio hyn: rhedeg y gorchymyn i wirio ID y model yn nherfynell y ddyfais
root@OpenWrt: cat /tmp/sysinfo/board_nameAc os cewch yr ateb "anhysbys", yna mae angen i chi nodi'r model dyfais â llaw yn y ffurf "rb-951-2nd"
I gael y model dyfais, rhedeg y gorchymyn
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndAr ôl derbyn model y ddyfais, gosodwch ef â llaw:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameAr ôl hynny, gallwch chi fflachio'r ddyfais trwy'r rhyngwyneb gwe neu ddefnyddio'r gorchymyn "sysupgrade".
Creu gweinydd VPN gyda WireGuard
Os oes gennych chi weinydd WireGuard eisoes wedi'i ffurfweddu, gallwch chi hepgor y cam hwn.
Byddaf yn defnyddio'r rhaglen i sefydlu gweinydd VPN personol am y gath dwi'n barod .
Ffurfweddu Cleient WireGuard ar OpenWRT
Cysylltwch â'r llwybrydd trwy brotocol SSH:
ssh [email protected]Gosod WireGuard:
opkg update
opkg install wireguardParatowch y ffurfweddiad (copïwch y cod isod i ffeil, disodli'r gwerthoedd penodedig gyda'ch un chi a rhedeg yn y derfynell).
Os ydych chi'n defnyddio MyVPN, yna yn y ffurfweddiad isod dim ond angen i chi newid WG_SERV - IP Gweinydd WG_KEY - allwedd breifat o'r ffeil cyfluniad wireguard a WG_PUB - allwedd gyhoeddus.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartMae hyn yn cwblhau'r gosodiad WireGuard! Nawr mae'r holl draffig ar bob dyfais gysylltiedig wedi'i ddiogelu gan gysylltiad VPN.
cyfeiriadau
(cyfarwyddiadau ar gael yn ychwanegol ar gyfer sefydlu L2TP, PPTP ar firmware Mikrotik safonol)
Ffynhonnell: hab.com