In den meisten Fällen ist die Verbindung eines Routers mit einem VPN nicht schwierig. Wenn Sie jedoch das gesamte Netzwerk schützen und gleichzeitig eine optimale Verbindungsgeschwindigkeit aufrechterhalten möchten, ist die Verwendung eines VPN-Tunnels die beste Lösung
Router Mikrotik erwiesen sich als zuverlässige und sehr flexible Lösungen, aber leider
Um WireGuard auf einem Mikrotik-Router zu konfigurieren, müssen Sie jedoch vorerst leider die Firmware ändern.
Mikrotik flashen, OpenWrt installieren und konfigurieren
Zunächst müssen Sie sicherstellen, dass OpenWrt Ihr Modell unterstützt. Überprüfen Sie, ob ein Modell mit seinem Marketingnamen und Image übereinstimmt
Gehen Sie zu openwrt.com
Für dieses Gerät benötigen wir 2 Dateien:
Sie müssen beide Dateien herunterladen: Installieren и Upgrade.
1. Netzwerkeinrichtung, PXE-Server herunterladen und einrichten
Herunterladen
In einen separaten Ordner entpacken. Fügen Sie in der Datei config.ini den Parameter hinzu rfc951=1 Abschnitt [dhcp]. Dieser Parameter ist für alle Mikrotik-Modelle gleich.
Kommen wir zu den Netzwerkeinstellungen: Sie müssen eine statische IP-Adresse auf einer der Netzwerkschnittstellen Ihres Computers registrieren.
IP-Adresse: 192.168.1.10
Netzmaske: 255.255.255.0
Rennen Winziger PXE-Server im Namen des Administrators und wählen Sie im Feld aus DHCP Server Server mit Adresse 192.168.1.10
Bei einigen Windows-Versionen wird diese Schnittstelle möglicherweise nur nach einer Ethernet-Verbindung angezeigt. Ich empfehle, einen Router anzuschließen und sofort Router und PC per Patchkabel zu vertauschen.
Klicken Sie auf die Schaltfläche „…“ (unten rechts) und geben Sie den Ordner an, in den Sie die Firmware-Dateien für Mikrotik heruntergeladen haben.
Wählen Sie eine Datei, deren Name mit „initramfs-kernel.bin oder elf“ endet.
2. Booten des Routers vom PXE-Server
Wir verbinden den PC mit einem Kabel und dem ersten Port (WAN, Internet, PoE-In, ...) des Routers. Danach nehmen wir einen Zahnstocher und stecken ihn in das Loch mit der Aufschrift „Reset“.
Wir schalten den Router ein, warten 20 Sekunden und lassen dann den Zahnstocher los.
Innerhalb der nächsten Minute sollten die folgenden Meldungen im Tiny PXE Server-Fenster erscheinen:
Wenn die Meldung erscheint, sind Sie auf dem richtigen Weg!
Stellen Sie die Einstellungen am Netzwerkadapter wieder her und stellen Sie den dynamischen Empfang der Adresse (über DHCP) ein.
Stellen Sie mit demselben Patchkabel eine Verbindung zu den LAN-Ports des Mikrotik-Routers (in unserem Fall 2 bis 5) her. Wechseln Sie einfach vom 1. Port zum 2. Port. Adresse öffnen
Melden Sie sich bei der OpenWRT-Verwaltungsoberfläche an und gehen Sie zum Menüabschnitt „System -> Backup/Flash Firmware“.
Klicken Sie im Unterabschnitt „Neues Firmware-Image flashen“ auf die Schaltfläche „Datei auswählen (Durchsuchen)“.
Geben Sie den Pfad zu einer Datei an, deren Name mit „-squashfs-sysupgrade.bin“ endet.
Klicken Sie anschließend auf die Schaltfläche „Flash-Bild“.
Klicken Sie im nächsten Fenster auf die Schaltfläche „Weiter“. Der Download der Firmware auf den Router beginnt.
!!! TRENNEN SIE AUF KEINEN FALL DIE STROMVERSORGUNG DES ROUTERS WÄHREND DES FIRMWARE-VORGANGS!!!
Nach dem Flashen und Neustarten des Routers erhalten Sie Mikrotik mit OpenWRT-Firmware.
Mögliche Probleme und Lösungen
Viele im Jahr 2019 erschienene Mikrotik-Geräte verwenden einen FLASH-NOR-Speicherchip vom Typ GD25Q15/Q16. Das Problem besteht darin, dass beim Flashen keine Daten zum Gerätemodell gespeichert werden.
Wenn die Fehlermeldung „Die hochgeladene Bilddatei enthält kein unterstütztes Format“ angezeigt wird. Stellen Sie sicher, dass Sie das generische Bildformat für Ihre Plattform wählen.“ Dann liegt das Problem höchstwahrscheinlich im Flash.
Dies lässt sich leicht überprüfen: Führen Sie den Befehl aus, um die Modell-ID im Geräteterminal zu überprüfen
root@OpenWrt: cat /tmp/sysinfo/board_name
Und wenn Sie die Antwort „unbekannt“ erhalten, müssen Sie das Gerätemodell manuell in der Form „rb-951-2nd“ angeben.
Führen Sie den Befehl aus, um das Gerätemodell abzurufen
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Nachdem Sie das Gerätemodell erhalten haben, installieren Sie es manuell:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Danach können Sie das Gerät über die Weboberfläche oder mit dem Befehl „sysupgrade“ flashen
Erstellen Sie einen VPN-Server mit WireGuard
Wenn Sie bereits einen Server haben, auf dem WireGuard konfiguriert ist, können Sie diesen Schritt überspringen.
Ich werde die Anwendung verwenden, um einen persönlichen VPN-Server einzurichten
Konfigurieren des WireGuard-Clients auf OpenWRT
Stellen Sie über das SSH-Protokoll eine Verbindung zum Router her:
ssh [email protected]
WireGuard installieren:
opkg update
opkg install wireguard
Bereiten Sie die Konfiguration vor (kopieren Sie den Code unten in eine Datei, ersetzen Sie die angegebenen Werte durch Ihre eigenen und führen Sie ihn im Terminal aus).
Wenn Sie MyVPN verwenden, müssen Sie nur die Konfiguration unten ändern WG_SERV - Server-IP WG_KEY - privater Schlüssel aus der Wireguard-Konfigurationsdatei und WG_PUB - Öffentlicher Schlüssel.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Damit ist die WireGuard-Einrichtung abgeschlossen! Jetzt ist der gesamte Datenverkehr auf allen angeschlossenen Geräten durch eine VPN-Verbindung geschützt.
Referenzen
Source: habr.com