Στις περισσότερες περιπτώσεις, η σύνδεση ενός δρομολογητή σε ένα VPN δεν είναι δύσκολη, αλλά εάν θέλετε να προστατεύσετε ολόκληρο το δίκτυο και ταυτόχρονα να διατηρήσετε τη βέλτιστη ταχύτητα σύνδεσης, τότε η καλύτερη λύση είναι να χρησιμοποιήσετε μια σήραγγα VPN .
Δρομολογητές Mikrotik αποδείχθηκαν αξιόπιστες και πολύ ευέλικτες λύσεις, αλλά δυστυχώς ακόμα όχι και δεν είναι γνωστό πότε θα εμφανιστεί και σε ποια απόδοση. Πρόσφατα για το τι πρότειναν οι προγραμματιστές του τούνελ WireGuard VPN , το οποίο θα κάνει το λογισμικό διοχέτευσης VPN μέρος του πυρήνα Linux, ελπίζουμε ότι αυτό θα συμβάλει στην υιοθέτηση στο RouterOS.
Αλλά προς το παρόν, δυστυχώς, για να διαμορφώσετε το WireGuard σε έναν δρομολογητή Mikrotik, πρέπει να αλλάξετε το υλικολογισμικό.
Αναβοσβήνει το Mikrotik, εγκατάσταση και ρύθμιση παραμέτρων του OpenWrt
Πρώτα πρέπει να βεβαιωθείτε ότι το OpenWrt υποστηρίζει το μοντέλο σας. Δείτε αν ένα μοντέλο ταιριάζει με το όνομα μάρκετινγκ και την εικόνα του .
Μεταβείτε στο openwrt.com .
Για αυτήν τη συσκευή χρειαζόμαστε 2 αρχεία:
Πρέπει να κατεβάσετε και τα δύο αρχεία: εγκαταστήστε и αναβάθμιση.
1. Ρύθμιση δικτύου, λήψη και ρύθμιση διακομιστή PXE
Κατεβάστε για την τελευταία έκδοση των Windows.
Αποσυμπιέστε σε ξεχωριστό φάκελο. Στο αρχείο config.ini προσθέστε την παράμετρο rfc951=1 Ενότητα [dhcp]. Αυτή η παράμετρος είναι ίδια για όλα τα μοντέλα Mikrotik.
Ας προχωρήσουμε στις ρυθμίσεις δικτύου: πρέπει να καταχωρίσετε μια στατική διεύθυνση IP σε μία από τις διεπαφές δικτύου του υπολογιστή σας.
Διεύθυνση IP: 192.168.1.10
Μάσκα δικτύου: 255.255.255.0
Τρέξιμο Μικροσκοπικός διακομιστής PXE για λογαριασμό του Διαχειριστή και επιλέξτε στο πεδίο DHCP Server διακομιστή με διεύθυνση 192.168.1.10
Σε ορισμένες εκδόσεις των Windows, αυτή η διεπαφή μπορεί να εμφανίζεται μόνο μετά από σύνδεση Ethernet. Συνιστώ να συνδέσετε έναν δρομολογητή και να αλλάξετε αμέσως το δρομολογητή και τον υπολογιστή χρησιμοποιώντας ένα καλώδιο ενημέρωσης κώδικα.
Πατήστε το κουμπί "..." (κάτω δεξιά) και καθορίστε τον φάκελο στον οποίο κατεβάσατε τα αρχεία υλικολογισμικού για το Mikrotik.
Επιλέξτε ένα αρχείο του οποίου το όνομα τελειώνει με "initramfs-kernel.bin ή elf"
2. Εκκίνηση του δρομολογητή από τον διακομιστή PXE
Συνδέουμε τον υπολογιστή με καλώδιο και την πρώτη θύρα (wan, internet, poe in, ...) του ρούτερ. Μετά από αυτό, παίρνουμε μια οδοντογλυφίδα, την κολλάμε στην τρύπα με την επιγραφή "Επαναφορά".
Ενεργοποιούμε το ρούτερ και περιμένουμε 20 δευτερόλεπτα και μετά αφήνουμε την οδοντογλυφίδα.
Μέσα στο επόμενο λεπτό, τα ακόλουθα μηνύματα θα πρέπει να εμφανιστούν στο παράθυρο Tiny PXE Server:
Εάν εμφανιστεί το μήνυμα, τότε είστε στη σωστή κατεύθυνση!
Επαναφέρετε τις ρυθμίσεις στον προσαρμογέα δικτύου και ρυθμίστε τη λήψη της διεύθυνσης δυναμικά (μέσω DHCP).
Συνδεθείτε στις θύρες LAN του δρομολογητή Mikrotik (2…5 στην περίπτωσή μας) χρησιμοποιώντας το ίδιο καλώδιο ενημέρωσης κώδικα. Απλώς αλλάξτε το από 1η θύρα σε 2η θύρα. Ανοίξτε τη διεύθυνση στο πρόγραμμα περιήγησης.
Συνδεθείτε στη διεπαφή διαχείρισης OpenWRT και μεταβείτε στην ενότητα μενού "Σύστημα -> Δημιουργία αντιγράφων ασφαλείας/Υλικολογισμικό Flash"
Στην υποενότητα "Flash new firmware image", κάντε κλικ στο κουμπί "Select file (Browse)".
Καθορίστε τη διαδρομή προς ένα αρχείο του οποίου το όνομα τελειώνει σε "-squashfs-sysupgrade.bin".
Μετά από αυτό, κάντε κλικ στο κουμπί "Flash Image".
Στο επόμενο παράθυρο, κάντε κλικ στο κουμπί "Συνέχεια". Θα ξεκινήσει η λήψη του υλικολογισμικού στο δρομολογητή.
!!! ΣΕ ΚΑΜΙΑ ΠΕΡΙΠΤΩΣΗ ΜΗΝ ΑΠΟΣΥΝΔΕΣΕΤΕ ΤΟ ΡΕΥΜΑ ΤΟΥ ΔΡΟΜΟΛΟΓΟΥ ΚΑΤΑ ΤΗ ΔΙΑΔΙΚΑΣΙΑ ΤΗΣ ΔΙΑΔΙΚΑΣΙΑΣ ΤΟΥ υλικολογισμικού !!!
Αφού αναβοσβήσετε και κάνετε επανεκκίνηση του δρομολογητή, θα λάβετε το Mikrotik με υλικολογισμικό OpenWRT.
Πιθανά προβλήματα και λύσεις
Πολλές συσκευές Mikrotik που κυκλοφόρησαν το 2019 χρησιμοποιούν τσιπ μνήμης FLASH-NOR του τύπου GD25Q15 / Q16. Το πρόβλημα είναι ότι όταν αναβοσβήνει, τα δεδομένα σχετικά με το μοντέλο της συσκευής δεν αποθηκεύονται.
Εάν δείτε το σφάλμα "Το αρχείο εικόνας που ανεβάσατε δεν περιέχει υποστηριζόμενη μορφή. Βεβαιωθείτε ότι έχετε επιλέξει τη γενική μορφή εικόνας για την πλατφόρμα σας." τότε πιθανότατα το πρόβλημα είναι στο flash.
Είναι εύκολο να το ελέγξετε αυτό: εκτελέστε την εντολή για να ελέγξετε το αναγνωριστικό μοντέλου στο τερματικό της συσκευής
root@OpenWrt: cat /tmp/sysinfo/board_nameΚαι αν λάβετε την απάντηση "άγνωστο", τότε πρέπει να καθορίσετε με μη αυτόματο τρόπο το μοντέλο της συσκευής με τη μορφή "rb-951-2nd"
Για να λάβετε το μοντέλο της συσκευής, εκτελέστε την εντολή
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndΑφού λάβετε το μοντέλο της συσκευής, εγκαταστήστε το μη αυτόματα:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameΜετά από αυτό, μπορείτε να αναβοσβήσετε τη συσκευή μέσω της διεπαφής web ή χρησιμοποιώντας την εντολή "sysupgrade".
Δημιουργήστε έναν διακομιστή VPN με το WireGuard
Εάν έχετε ήδη έναν διακομιστή με ρυθμισμένο WireGuard, μπορείτε να παραλείψετε αυτό το βήμα.
Θα χρησιμοποιήσω την εφαρμογή για να ρυθμίσω έναν προσωπικό διακομιστή VPN για τη γάτα εγώ ήδη .
Διαμόρφωση του προγράμματος-πελάτη WireGuard στο OpenWRT
Συνδεθείτε στο δρομολογητή μέσω πρωτοκόλλου SSH:
ssh [email protected]Εγκαταστήστε το WireGuard:
opkg update
opkg install wireguardΠροετοιμάστε τη διαμόρφωση (αντιγράψτε τον παρακάτω κώδικα σε ένα αρχείο, αντικαταστήστε τις καθορισμένες τιμές με τις δικές σας και εκτελέστε το στο τερματικό).
Εάν χρησιμοποιείτε το MyVPN, τότε στην παρακάτω διαμόρφωση χρειάζεται μόνο να αλλάξετε WG_SERV - IP διακομιστή WG_KEY - ιδιωτικό κλειδί από το αρχείο διαμόρφωσης wireguard και WG_PUB - δημόσιο κλειδί.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartΑυτό ολοκληρώνει τη ρύθμιση του WireGuard! Τώρα όλη η κίνηση σε όλες τις συνδεδεμένες συσκευές προστατεύεται από μια σύνδεση VPN.
παραπομπές
(επιπλέον διαθέσιμες οδηγίες για τη ρύθμιση L2TP, PPTP σε τυπικό υλικολογισμικό Mikrotik)
Πηγή: www.habr.com