Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt
Plejofte, konekti enkursigilon al VPN ne estas malfacila, sed se vi volas protekti la tutan reton kaj samtempe konservi optimuman konektan rapidon, tiam la plej bona solvo estas uzi VPN-tunelon. WireGuard.

Enkursigiloj mikrotiko pruvis esti fidindaj kaj tre flekseblaj solvoj, sed bedaŭrinde WireGurd-subteno sur RouterOS ankoraŭ ne kaj oni ne scias kiam ĝi aperos kaj en kia agado. Lastatempe ĝi iĝis konata ke la programistoj de la VPN-tunelo WireGuard ofertita flikaĵo aro, kiu igos ilian VPN-tunelan programaron parto de la kerno Linux, ni esperas, ke ĉi tio faciligos efektivigon en RouterOS.

Sed nuntempe, bedaŭrinde, por starigi WireGuard La firmvaro sur la Mikrotik-enkursigilo bezonas esti ŝanĝita.

Ekbrilante Mikrotik, instalante kaj agordante OpenWrt

Unue vi devas certigi, ke OpenWrt subtenas vian modelon. Vidu ĉu modelo kongruas kun sia merkata nomo kaj bildo vi povas viziti mikrotik.com.

Iru al openwrt.com al la sekcio de elŝuto de firmware.

Por ĉi tiu aparato, ni bezonas 2 dosierojn:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

Vi devas elŝuti ambaŭ dosierojn: instali и ĝisdatigo.

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

1. Reta agordo, elŝuto kaj agordo PXE-servilo

Elŝuti Eta PXE-Servilo por Windows plej nova versio.

Malfermu al aparta dosierujo. En la dosiero config.ini aldonu la parametron rfc951=1 sekcio [dhcp]. Ĉi tiu parametro estas la sama por ĉiuj Mikrotik-modeloj.

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

Ni iru al la retaj agordoj: vi devas registri statikan ip-adreson sur unu el la retaj interfacoj de via komputilo.

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

IP-adreso: 192.168.1.10
Reta masko: 255.255.255.0

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

Kuri Eta PXE-Servilo nome de la Administranto kaj elektu en la kampo DHCP-servilo servilo kun adreso 192.168.1.10

En iuj versioj Windows Ĉi tiu interfaco eble aperos nur post konekto al Ethernet. Mi rekomendas konekti la enkursigilon kaj tuj konekti la enkursigilon kaj komputilon per konektilo.

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

Premu la butonon "..." (malsupre dekstre) kaj specifu la dosierujon, kie vi elŝutis la firmware-dosierojn por Mikrotik.

Elektu dosieron kies nomo finiĝas per "initramfs-kernel.bin aŭ elf"

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

2. Lanĉante la enkursigilon de la PXE-servilo

Ni konektas la komputilon per drato kaj la unua haveno (wan, interreto, poe en, ...) de la enkursigilo. Post tio, ni prenas dentopikilon, metas ĝin en la truon kun la surskribo "Restarigi".

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

Ni ŝaltas la potencon de la enkursigilo kaj atendas 20 sekundojn, poste liberigas la dentopikilon.
En la sekva minuto, la sekvaj mesaĝoj devus aperi en la fenestro de Tiny PXE Server:

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

Se la mesaĝo aperas, tiam vi estas en la ĝusta direkto!

Restarigu la agordojn sur la retadaptilo kaj agordu ricevi la adreson dinamike (per DHCP).

Konektu al la LAN-havenoj de la Mikrotik-enkursigilo (2...5 en nia kazo) uzante la saman flikŝnuron. Nur ŝanĝu ĝin de la 1-a haveno al la 2-a haveno. Malferma adreso 192.168.1.1 en la retumilo.

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

Ensalutu al la administra interfaco de OpenWRT kaj iru al la menusekcio "Sistemo -> Rezerva/Flash Firmware".

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

En la subsekcio "Flash nova firmware bildo", alklaku la butonon "Elektu dosieron (Frumu)".

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

Indiku la vojon al dosiero, kies nomo finiĝas per "-squashfs-sysupgrade.bin".

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

Post tio, alklaku la butonon "Flash Image".

En la sekva fenestro, alklaku la butonon "Daŭri". La firmvaro komencos elŝuti al la enkursigilo.

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

!!! NE NE KONEKTU LA PUTENTON DE LA RUTILILO DUM LA FIRMWARA PROCESO !!!

Agordi WireGuard sur Mikrotik-enkursigilo funkcianta per OpenWrt

Post ekbrilado kaj restartigo de la enkursigilo, vi ricevos Mikrotik kun OpenWRT-firmvaro.

Eblaj problemoj kaj solvoj

Multaj Mikrotik-aparatoj publikigitaj en 2019 uzas memorpeceton FLASH-NOR de la tipo GD25Q15 / Q16. La problemo estas, ke kiam ekbrilas, datumoj pri la aparato-modelo ne estas konservitaj.

Se vi vidas la eraron "La alŝutita bilddosiero ne enhavas subtenatan formaton. Certigu, ke vi elektas la senmarkan bildformaton por via platformo." tiam plej verŝajne la problemo estas en fulmo.

Kontroli ĉi tion estas facila: rulu la komandon por kontroli la modelidentigilon en la aparato-terminalo

root@OpenWrt: cat /tmp/sysinfo/board_name

Kaj se vi ricevas la respondon "nekonata", tiam vi devas permane specifi la aparaton modelon en la formo "rb-951-2nd"

Por akiri la aparaton modelon, rulu la komandon

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

Post ricevi la modelon de aparato, instalu ĝin permane:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

Post tio, vi povas ekbrili la aparaton per la retinterfaco aŭ uzante la komandon "sysupgrade".

Krei VPN-servilon kun WireGuard

Se vi jam agordis servilon WireGuard, tiam vi povas preterlasi ĉi tiun punkton.
Mi uzos la aplikaĵon por agordi personan VPN-servilon MiaVPN.RUN pri la kato mi jam publikigis recenzon.

alĝustigo WireGuard Kliento ĉe OpenWRT

Konekti al la enkursigilo per SSH-protokolo:

ssh root@192.168.1.1

Instali WireGuard:

opkg update
opkg install wireguard

Preparu la agordon (kopiu la suban kodon al dosiero, anstataŭigu la specifitajn valorojn per viaj propraj kaj rulu en la terminalo).

Se vi uzas MyVPN, tiam en la suba agordo vi nur bezonas ŝanĝi WG_SERV - Servilo IP WG_KEY — privata ŝlosilo el la agordodosiero wireguard и WG_PUB - publika ŝlosilo.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

Jen ĉio por la aranĝo WireGuard Finita! Nun la tuta trafiko sur ĉiuj konektitaj aparatoj estas protektita per la VPN-konekto.

referencoj

Fonto #1
Modifitaj instrukcioj pri MyVPN (aldone haveblaj instrukcioj por agordi L2TP, PPTP sur norma Mikrotik-firmvaro)
openwrt WireGuard Kliento

fonto: www.habr.com

Aĉetu fidindan gastigadon por retejoj kun DDoS-protekto, VPS-VDS-serviloj 🔥 Aĉetu fidindan retejan gastigadon kun DDoS-protekto, VPS VDS-servilojn | ProHoster