Plejofte, konekti enkursigilon al VPN ne estas malfacila, sed se vi volas protekti la tutan reton kaj samtempe konservi optimuman konektan rapidon, tiam la plej bona solvo estas uzi VPN-tunelon.
Enkursigiloj mikrotiko pruvis esti fidindaj kaj tre flekseblaj solvoj, sed bedaŭrinde
Sed nuntempe, bedaŭrinde, por agordi WireGuard sur Mikrotik-enkursigilo, vi devas ŝanĝi la firmware.
Ekbrilante Mikrotik, instalante kaj agordante OpenWrt
Unue vi devas certigi, ke OpenWrt subtenas vian modelon. Vidu ĉu modelo kongruas kun sia merkata nomo kaj bildo
Iru al openwrt.com
Por ĉi tiu aparato, ni bezonas 2 dosierojn:
Vi devas elŝuti ambaŭ dosierojn: instali и ĝisdatigo.
1. Reta agordo, elŝuto kaj agordo PXE-servilo
Elŝuti
Malfermu al aparta dosierujo. En la dosiero config.ini aldonu la parametron rfc951=1 sekcio [dhcp]. Ĉi tiu parametro estas la sama por ĉiuj Mikrotik-modeloj.
Ni iru al la retaj agordoj: vi devas registri statikan ip-adreson sur unu el la retaj interfacoj de via komputilo.
IP-adreso: 192.168.1.10
Reta masko: 255.255.255.0
Kuri Eta PXE-Servilo nome de la Administranto kaj elektu en la kampo DHCP-servilo servilo kun adreso 192.168.1.10
En iuj versioj de Vindozo, ĉi tiu interfaco povas aperi nur post Ethernet-konekto. Mi rekomendas konekti enkursigilon kaj tuj ŝanĝi la enkursigilon kaj komputilon per flikŝnuro.
Premu la butonon "..." (malsupre dekstre) kaj specifu la dosierujon, kie vi elŝutis la firmware-dosierojn por Mikrotik.
Elektu dosieron kies nomo finiĝas per "initramfs-kernel.bin aŭ elf"
2. Lanĉante la enkursigilon de la PXE-servilo
Ni konektas la komputilon per drato kaj la unua haveno (wan, interreto, poe en, ...) de la enkursigilo. Post tio, ni prenas dentopikilon, metas ĝin en la truon kun la surskribo "Restarigi".
Ni ŝaltas la potencon de la enkursigilo kaj atendas 20 sekundojn, poste liberigas la dentopikilon.
En la sekva minuto, la sekvaj mesaĝoj devus aperi en la fenestro de Tiny PXE Server:
Se la mesaĝo aperas, tiam vi estas en la ĝusta direkto!
Restarigu la agordojn sur la retadaptilo kaj agordu ricevi la adreson dinamike (per DHCP).
Konektu al la LAN-havenoj de la Mikrotik-enkursigilo (2...5 en nia kazo) uzante la saman flikŝnuron. Nur ŝanĝu ĝin de la 1-a haveno al la 2-a haveno. Malferma adreso
Ensalutu al la administra interfaco de OpenWRT kaj iru al la menusekcio "Sistemo -> Rezerva/Flash Firmware".
En la subsekcio "Flash nova firmware bildo", alklaku la butonon "Elektu dosieron (Frumu)".
Indiku la vojon al dosiero, kies nomo finiĝas per "-squashfs-sysupgrade.bin".
Post tio, alklaku la butonon "Flash Image".
En la sekva fenestro, alklaku la butonon "Daŭri". La firmvaro komencos elŝuti al la enkursigilo.
!!! NE NE KONEKTU LA PUTENTON DE LA RUTILILO DUM LA FIRMWARA PROCESO !!!
Post ekbrilado kaj restartigo de la enkursigilo, vi ricevos Mikrotik kun OpenWRT-firmvaro.
Eblaj problemoj kaj solvoj
Multaj Mikrotik-aparatoj publikigitaj en 2019 uzas memorpeceton FLASH-NOR de la tipo GD25Q15 / Q16. La problemo estas, ke kiam ekbrilas, datumoj pri la aparato-modelo ne estas konservitaj.
Se vi vidas la eraron "La alŝutita bilddosiero ne enhavas subtenatan formaton. Certigu, ke vi elektas la senmarkan bildformaton por via platformo." tiam plej verŝajne la problemo estas en fulmo.
Kontroli ĉi tion estas facila: rulu la komandon por kontroli la modelidentigilon en la aparato-terminalo
root@OpenWrt: cat /tmp/sysinfo/board_name
Kaj se vi ricevas la respondon "nekonata", tiam vi devas permane specifi la aparaton modelon en la formo "rb-951-2nd"
Por akiri la aparaton modelon, rulu la komandon
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Post ricevi la modelon de aparato, instalu ĝin permane:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Post tio, vi povas ekbrili la aparaton per la retinterfaco aŭ uzante la komandon "sysupgrade".
Kreu VPN-servilon kun WireGuard
Se vi jam havas servilon kun WireGuard agordita, vi povas preterlasi ĉi tiun paŝon.
Mi uzos la aplikaĵon por agordi personan VPN-servilon
Agordante WireGuard Klienton ĉe OpenWRT
Konekti al la enkursigilo per SSH-protokolo:
ssh [email protected]
Instalu WireGuard:
opkg update
opkg install wireguard
Preparu la agordon (kopiu la suban kodon al dosiero, anstataŭigu la specifitajn valorojn per viaj propraj kaj rulu en la terminalo).
Se vi uzas MyVPN, tiam en la suba agordo vi nur bezonas ŝanĝi WG_SERV - Servilo IP WG_KEY - privata ŝlosilo de la agorda dosiero de wireguard kaj WG_PUB - publika ŝlosilo.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Ĉi tio kompletigas la agordon de WireGuard! Nun la tuta trafiko sur ĉiuj konektitaj aparatoj estas protektita per VPN-konekto.
referencoj
fonto: www.habr.com