Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt
In den meisten Fällen ist die Verbindung eines Routers mit einem VPN nicht schwierig. Wenn Sie jedoch das gesamte Netzwerk schützen und gleichzeitig eine optimale Verbindungsgeschwindigkeit aufrechterhalten möchten, ist die Verwendung eines VPN-Tunnels die beste Lösung WireGuard.

Router Mikrotik erwiesen sich als zuverlässige und sehr flexible Lösungen, aber leider WireGurd-Unterstützung auf RouterOS immer noch nicht und es ist nicht bekannt, wann und in welcher Leistung es erscheinen wird. In letzter Zeit es wurde bekannt dass die Entwickler des VPN-Tunnels WireGuard vorgeschlagen Patch-Set, wodurch ihre VPN-Tunneling-Software Teil des Kernsystems wird. LinuxWir hoffen, dass dies die Implementierung in RouterOS erleichtern wird.

Aber im Moment ist es leider nicht möglich, ... WireGuard Die Firmware des Mikrotik-Routers muss geändert werden.

Mikrotik flashen, OpenWrt installieren und konfigurieren

Zunächst müssen Sie sicherstellen, dass OpenWrt Ihr Modell unterstützt. Überprüfen Sie, ob ein Modell mit seinem Marketingnamen und Image übereinstimmt Sie können mikrotik.com besuchen.

Gehen Sie zu openwrt.com zum Firmware-Download-Bereich.

Für dieses Gerät benötigen wir 2 Dateien:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

Sie müssen beide Dateien herunterladen: Installieren и Jetzt.

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

1. Netzwerkeinrichtung, PXE-Server herunterladen und einrichten

Herunterladen Winziger PXE-Server für Windows letzte Version.

In einen separaten Ordner entpacken. Fügen Sie in der Datei config.ini den Parameter hinzu rfc951=1 Abschnitt [dhcp]. Dieser Parameter ist für alle Mikrotik-Modelle gleich.

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

Kommen wir zu den Netzwerkeinstellungen: Sie müssen eine statische IP-Adresse auf einer der Netzwerkschnittstellen Ihres Computers registrieren.

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

IP-Adresse: 192.168.1.10
Netzmaske: 255.255.255.0

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

Rennen Winziger PXE-Server im Namen des Administrators und wählen Sie im Feld aus DHCP Server Server mit Adresse 192.168.1.10

Bei einigen Versionen Windows Diese Benutzeroberfläche wird möglicherweise erst nach dem Anschließen einer Ethernet-Verbindung angezeigt. Ich empfehle, den Router anzuschließen und Router und PC sofort mit einem Patchkabel zu verbinden.

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

Klicken Sie auf die Schaltfläche „…“ (unten rechts) und geben Sie den Ordner an, in den Sie die Firmware-Dateien für Mikrotik heruntergeladen haben.

Wählen Sie eine Datei, deren Name mit „initramfs-kernel.bin oder elf“ endet.

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

2. Booten des Routers vom PXE-Server

Wir verbinden den PC mit einem Kabel und dem ersten Port (WAN, Internet, PoE-In, ...) des Routers. Danach nehmen wir einen Zahnstocher und stecken ihn in das Loch mit der Aufschrift „Reset“.

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

Wir schalten den Router ein, warten 20 Sekunden und lassen dann den Zahnstocher los.
Innerhalb der nächsten Minute sollten die folgenden Meldungen im Tiny PXE Server-Fenster erscheinen:

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

Wenn die Meldung erscheint, sind Sie auf dem richtigen Weg!

Stellen Sie die Einstellungen am Netzwerkadapter wieder her und stellen Sie den dynamischen Empfang der Adresse (über DHCP) ein.

Stellen Sie mit demselben Patchkabel eine Verbindung zu den LAN-Ports des Mikrotik-Routers (in unserem Fall 2 bis 5) her. Wechseln Sie einfach vom 1. Port zum 2. Port. Adresse öffnen 192.168.1.1 im Browser.

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

Melden Sie sich bei der OpenWRT-Verwaltungsoberfläche an und gehen Sie zum Menüabschnitt „System -> Backup/Flash Firmware“.

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

Klicken Sie im Unterabschnitt „Neues Firmware-Image flashen“ auf die Schaltfläche „Datei auswählen (Durchsuchen)“.

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

Geben Sie den Pfad zu einer Datei an, deren Name mit „-squashfs-sysupgrade.bin“ endet.

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

Klicken Sie anschließend auf die Schaltfläche „Flash-Bild“.

Klicken Sie im nächsten Fenster auf die Schaltfläche „Weiter“. Der Download der Firmware auf den Router beginnt.

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

!!! TRENNEN SIE AUF KEINEN FALL DIE STROMVERSORGUNG DES ROUTERS WÄHREND DES FIRMWARE-VORGANGS!!!

Konfigurieren WireGuard auf einem Mikrotik-Router mit OpenWrt

Nach dem Flashen und Neustarten des Routers erhalten Sie Mikrotik mit OpenWRT-Firmware.

Mögliche Probleme und Lösungen

Viele im Jahr 2019 erschienene Mikrotik-Geräte verwenden einen FLASH-NOR-Speicherchip vom Typ GD25Q15/Q16. Das Problem besteht darin, dass beim Flashen keine Daten zum Gerätemodell gespeichert werden.

Wenn die Fehlermeldung „Die hochgeladene Bilddatei enthält kein unterstütztes Format“ angezeigt wird. Stellen Sie sicher, dass Sie das generische Bildformat für Ihre Plattform wählen.“ Dann liegt das Problem höchstwahrscheinlich im Flash.

Dies lässt sich leicht überprüfen: Führen Sie den Befehl aus, um die Modell-ID im Geräteterminal zu überprüfen

root@OpenWrt: cat /tmp/sysinfo/board_name

Und wenn Sie die Antwort „unbekannt“ erhalten, müssen Sie das Gerätemodell manuell in der Form „rb-951-2nd“ angeben.

Führen Sie den Befehl aus, um das Gerätemodell abzurufen

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

Nachdem Sie das Gerätemodell erhalten haben, installieren Sie es manuell:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

Danach können Sie das Gerät über die Weboberfläche oder mit dem Befehl „sysupgrade“ flashen

Erstellen Sie einen VPN-Server mit WireGuard

Wenn Sie bereits einen Server konfiguriert haben WireGuardDann können Sie diesen Punkt überspringen.
Ich werde die Anwendung verwenden, um einen persönlichen VPN-Server einzurichten MeinVPN.RUN Über die Katze habe ich schon gesprochen eine Rezension veröffentlicht.

Einstellung WireGuard Client auf OpenWRT

Stellen Sie über das SSH-Protokoll eine Verbindung zum Router her:

ssh root@192.168.1.1

Setzen WireGuard:

opkg update
opkg install wireguard

Bereiten Sie die Konfiguration vor (kopieren Sie den Code unten in eine Datei, ersetzen Sie die angegebenen Werte durch Ihre eigenen und führen Sie ihn im Terminal aus).

Wenn Sie MyVPN verwenden, müssen Sie nur die Konfiguration unten ändern WG_SERV - Server-IP WG_KEY — privater Schlüssel aus der Konfigurationsdatei wireguard и WG_PUB - Öffentlicher Schlüssel.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

Das war's mit der Einrichtung. WireGuard Fertig! Jetzt ist der gesamte Datenverkehr auf allen verbundenen Geräten durch die VPN-Verbindung geschützt.

Referenzen

Quelle Nr. 1
Geänderte Anleitung zu MyVPN (zusätzlich verfügbare Anleitung zum Einrichten von L2TP, PPTP auf Standard-Mikrotik-Firmware)
OpenWrt WireGuard Kunden

Source: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz und VPS-VDS-Servern 🔥 Kaufen Sie zuverlässiges Webhosting mit DDoS-Schutz, VPS- und VDS-Server | ProHoster