I de fleste tilfælde er det ikke svært at forbinde en router til en VPN, men hvis du vil beskytte hele netværket og samtidig bevare en optimal forbindelseshastighed, så er den bedste løsning at bruge en VPN-tunnel
Routere Mikrotik viste sig at være pålidelige og meget fleksible løsninger, men desværre
Men indtil videre, for at konfigurere WireGuard på en Mikrotik-router, skal du desværre ændre firmwaren.
Blinker Mikrotik, installerer og konfigurerer OpenWrt
Først skal du sikre dig, at OpenWrt understøtter din model. Se, om en model matcher dens markedsføringsnavn og image
Gå til openwrt.com
Til denne enhed har vi brug for 2 filer:
Du skal downloade begge filer: Installer и Opgrader.
1. Netværksopsætning, download og opsætning af PXE-server
downloade
Udpak til en separat mappe. Tilføj parameteren i config.ini-filen rfc951=1 afsnit [dhcp]. Denne parameter er den samme for alle Mikrotik-modeller.
Lad os gå videre til netværksindstillingerne: du skal registrere en statisk ip-adresse på en af netværksgrænsefladerne på din computer.
IP-adresse: 192.168.1.10
Netmaske: 255.255.255.0
Start Lille PXE-server på vegne af administratoren og vælg i feltet DHCP-server server med adresse 192.168.1.10
På nogle versioner af Windows vises denne grænseflade muligvis kun efter en Ethernet-forbindelse. Jeg anbefaler at tilslutte en router og straks skifte router og pc ved hjælp af en patch-ledning.
Tryk på knappen "..." (nederst til højre), og angiv mappen, hvor du downloadede firmwarefilerne til Mikrotik.
Vælg en fil, hvis navn ender med "initramfs-kernel.bin eller elf"
2. Opstart af routeren fra PXE-serveren
Vi forbinder pc'en med en ledning og den første port (wan, internet, poe in, ...) på routeren. Derefter tager vi en tandstikker, stikker den ind i hullet med inskriptionen "Nulstil".
Vi tænder for strømmen til routeren og venter 20 sekunder, og slip derefter tandstikket.
Inden for det næste minut skulle følgende meddelelser vises i vinduet Tiny PXE Server:
Hvis beskeden vises, så er du i den rigtige retning!
Gendan indstillingerne på netværksadapteren og indstil til at modtage adressen dynamisk (via DHCP).
Tilslut til LAN-portene på Mikrotik-routeren (2…5 i vores tilfælde) ved hjælp af den samme patch-ledning. Skift bare fra 1. port til 2. port. Åbn adresse
Log ind på OpenWRT administrative grænseflade og gå til menusektionen "System -> Backup/Flash Firmware"
I underafsnittet "Flash nyt firmwarebillede" skal du klikke på knappen "Vælg fil (Gennemse)".
Angiv stien til en fil, hvis navn ender med "-squashfs-sysupgrade.bin".
Klik derefter på knappen "Flash billede".
I det næste vindue skal du klikke på knappen "Fortsæt". Firmwaren begynder at downloade til routeren.
!!! UNDER INGEN OMSTÆNDIGHEDER AFBRYD IKKE STRØM TIL ROUTEREN UNDER FIRMWARE-PROCESSEN !!!
Efter at du har blinket og genstartet routeren, modtager du Mikrotik med OpenWRT-firmware.
Mulige problemer og løsninger
Mange Mikrotik-enheder udgivet i 2019 bruger en FLASH-NOR-hukommelseschip af typen GD25Q15 / Q16. Problemet er, at når den blinker, gemmes data om enhedsmodellen ikke.
Hvis du ser fejlen "Den uploadede billedfil indeholder ikke et understøttet format. Sørg for, at du vælger det generiske billedformat til din platform." så er problemet højst sandsynligt i flash.
Det er nemt at kontrollere dette: kør kommandoen for at kontrollere model-id'et i enhedsterminalen
root@OpenWrt: cat /tmp/sysinfo/board_name
Og hvis du får svaret "ukendt", så skal du manuelt angive enhedsmodellen i formen "rb-951-2nd"
Kør kommandoen for at få enhedsmodellen
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Når du har modtaget enhedsmodellen, skal du installere den manuelt:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Derefter kan du flashe enheden gennem webgrænsefladen eller bruge kommandoen "sysupgrade".
Opret en VPN-server med WireGuard
Hvis du allerede har en server med WireGuard konfigureret, kan du springe dette trin over.
Jeg vil bruge applikationen til at konfigurere en personlig VPN-server
Konfiguration af WireGuard Client på OpenWRT
Opret forbindelse til routeren via SSH-protokol:
ssh [email protected]
Installer WireGuard:
opkg update
opkg install wireguard
Forbered konfigurationen (kopier koden nedenfor til en fil, erstat de angivne værdier med dine egne og kør i terminalen).
Hvis du bruger MyVPN, skal du i nedenstående konfiguration kun ændre WG_SERV - Server IP WG_KEY - privat nøgle fra wireguard-konfigurationsfilen og WG_PUB - offentlig nøgle.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Dette fuldender WireGuard-opsætningen! Nu er al trafik på alle tilsluttede enheder beskyttet af en VPN-forbindelse.
RЎSЃS <P "RєRё
Kilde: www.habr.com