In den meisten Fällen ist die Verbindung eines Routers mit einem VPN nicht schwierig. Wenn Sie jedoch das gesamte Netzwerk schützen und gleichzeitig eine optimale Verbindungsgeschwindigkeit aufrechterhalten möchten, ist die Verwendung eines VPN-Tunnels die beste Lösung .
Router Mikrotik erwiesen sich als zuverlässige und sehr flexible Lösungen, aber leider immer noch nicht und es ist nicht bekannt, wann und in welcher Leistung es erscheinen wird. In letzter Zeit darüber, was die Entwickler des WireGuard VPN-Tunnels vorgeschlagen haben , wodurch ihre VPN-Tunneling-Software Teil des Linux-Kernels wird, hoffen wir, dass dies zur Einführung in RouterOS beiträgt.
Um WireGuard auf einem Mikrotik-Router zu konfigurieren, müssen Sie jedoch vorerst leider die Firmware ändern.
Mikrotik flashen, OpenWrt installieren und konfigurieren
Zunächst müssen Sie sicherstellen, dass OpenWrt Ihr Modell unterstützt. Überprüfen Sie, ob ein Modell mit seinem Marketingnamen und Image übereinstimmt .
Gehen Sie zu openwrt.com .
Für dieses Gerät benötigen wir 2 Dateien:
Sie müssen beide Dateien herunterladen: Installieren и Upgrade.
1. Netzwerkeinrichtung, PXE-Server herunterladen und einrichten
Herunterladen für Windows neueste Version.
In einen separaten Ordner entpacken. Fügen Sie in der Datei config.ini den Parameter hinzu rfc951=1 Abschnitt [dhcp]. Dieser Parameter ist für alle Mikrotik-Modelle gleich.
Kommen wir zu den Netzwerkeinstellungen: Sie müssen eine statische IP-Adresse auf einer der Netzwerkschnittstellen Ihres Computers registrieren.
IP-Adresse: 192.168.1.10
Netzmaske: 255.255.255.0
Rennen Winziger PXE-Server im Namen des Administrators und wählen Sie im Feld aus DHCP Server Server mit Adresse 192.168.1.10
Bei einigen Windows-Versionen wird diese Schnittstelle möglicherweise nur nach einer Ethernet-Verbindung angezeigt. Ich empfehle, einen Router anzuschließen und sofort Router und PC per Patchkabel zu vertauschen.
Klicken Sie auf die Schaltfläche „…“ (unten rechts) und geben Sie den Ordner an, in den Sie die Firmware-Dateien für Mikrotik heruntergeladen haben.
Wählen Sie eine Datei, deren Name mit „initramfs-kernel.bin oder elf“ endet.
2. Booten des Routers vom PXE-Server
Wir verbinden den PC mit einem Kabel und dem ersten Port (WAN, Internet, PoE-In, ...) des Routers. Danach nehmen wir einen Zahnstocher und stecken ihn in das Loch mit der Aufschrift „Reset“.
Wir schalten den Router ein, warten 20 Sekunden und lassen dann den Zahnstocher los.
Innerhalb der nächsten Minute sollten die folgenden Meldungen im Tiny PXE Server-Fenster erscheinen:
Wenn die Meldung erscheint, sind Sie auf dem richtigen Weg!
Stellen Sie die Einstellungen am Netzwerkadapter wieder her und stellen Sie den dynamischen Empfang der Adresse (über DHCP) ein.
Stellen Sie mit demselben Patchkabel eine Verbindung zu den LAN-Ports des Mikrotik-Routers (in unserem Fall 2 bis 5) her. Wechseln Sie einfach vom 1. Port zum 2. Port. Adresse öffnen im Browser.
Melden Sie sich bei der OpenWRT-Verwaltungsoberfläche an und gehen Sie zum Menüabschnitt „System -> Backup/Flash Firmware“.
Klicken Sie im Unterabschnitt „Neues Firmware-Image flashen“ auf die Schaltfläche „Datei auswählen (Durchsuchen)“.
Geben Sie den Pfad zu einer Datei an, deren Name mit „-squashfs-sysupgrade.bin“ endet.
Klicken Sie anschließend auf die Schaltfläche „Flash-Bild“.
Klicken Sie im nächsten Fenster auf die Schaltfläche „Weiter“. Der Download der Firmware auf den Router beginnt.
!!! TRENNEN SIE AUF KEINEN FALL DIE STROMVERSORGUNG DES ROUTERS WÄHREND DES FIRMWARE-VORGANGS!!!
Nach dem Flashen und Neustarten des Routers erhalten Sie Mikrotik mit OpenWRT-Firmware.
Mögliche Probleme und Lösungen
Viele im Jahr 2019 erschienene Mikrotik-Geräte verwenden einen FLASH-NOR-Speicherchip vom Typ GD25Q15/Q16. Das Problem besteht darin, dass beim Flashen keine Daten zum Gerätemodell gespeichert werden.
Wenn die Fehlermeldung „Die hochgeladene Bilddatei enthält kein unterstütztes Format“ angezeigt wird. Stellen Sie sicher, dass Sie das generische Bildformat für Ihre Plattform wählen.“ Dann liegt das Problem höchstwahrscheinlich im Flash.
Dies lässt sich leicht überprüfen: Führen Sie den Befehl aus, um die Modell-ID im Geräteterminal zu überprüfen
root@OpenWrt: cat /tmp/sysinfo/board_nameUnd wenn Sie die Antwort „unbekannt“ erhalten, müssen Sie das Gerätemodell manuell in der Form „rb-951-2nd“ angeben.
Führen Sie den Befehl aus, um das Gerätemodell abzurufen
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndNachdem Sie das Gerätemodell erhalten haben, installieren Sie es manuell:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameDanach können Sie das Gerät über die Weboberfläche oder mit dem Befehl „sysupgrade“ flashen
Erstellen Sie einen VPN-Server mit WireGuard
Wenn Sie bereits einen Server haben, auf dem WireGuard konfiguriert ist, können Sie diesen Schritt überspringen.
Ich werde die Anwendung verwenden, um einen persönlichen VPN-Server einzurichten Über die Katze habe ich schon gesprochen .
Konfigurieren des WireGuard-Clients auf OpenWRT
Stellen Sie über das SSH-Protokoll eine Verbindung zum Router her:
ssh [email protected]WireGuard installieren:
opkg update
opkg install wireguardBereiten Sie die Konfiguration vor (kopieren Sie den Code unten in eine Datei, ersetzen Sie die angegebenen Werte durch Ihre eigenen und führen Sie ihn im Terminal aus).
Wenn Sie MyVPN verwenden, müssen Sie nur die Konfiguration unten ändern WG_SERV - Server-IP WG_KEY - privater Schlüssel aus der Wireguard-Konfigurationsdatei und WG_PUB - Öffentlicher Schlüssel.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartDamit ist die WireGuard-Einrichtung abgeschlossen! Jetzt ist der gesamte Datenverkehr auf allen angeschlossenen Geräten durch eine VPN-Verbindung geschützt.
Referenzen
(zusätzlich verfügbare Anleitung zum Einrichten von L2TP, PPTP auf Standard-Mikrotik-Firmware)
Source: habr.com