En la mayoría de los casos, conectar un enrutador a una VPN no es difícil, pero si desea proteger toda la red y al mismo tiempo mantener una velocidad de conexión óptima, entonces la mejor solución es usar un túnel VPN.
Enrutadores Mikrotik demostraron ser soluciones confiables y muy flexibles, pero desafortunadamente
Pero por ahora, desafortunadamente, para configurar WireGuard en un enrutador Mikrotik, debe cambiar el firmware.
Flashear Mikrotik, instalar y configurar OpenWrt
Primero debe asegurarse de que OpenWrt sea compatible con su modelo. Ver si un modelo coincide con su nombre comercial e imagen
Ir a openwrt.com
Para este dispositivo, necesitamos 2 archivos:
Necesitas descargar ambos archivos: Instalar и Actualizar.
1. Configuración de red, descarga y configuración del servidor PXE
Descargar
Descomprimir en una carpeta separada. En el archivo config.ini agregue el parámetro rfc951=1 sección [DHCP]. Este parámetro es el mismo para todos los modelos Mikrotik.
Pasemos a la configuración de red: debe registrar una dirección IP estática en una de las interfaces de red de su computadora.
Dirección IP: 192.168.1.10
Máscara de red: 255.255.255.0
Correr Servidor PXE minúsculo en nombre del Administrador y seleccione en el campo Servidor DHCP servidor con dirección 192.168.1.10
En algunas versiones de Windows, esta interfaz solo puede aparecer después de una conexión Ethernet. Recomiendo conectar un enrutador e inmediatamente cambiar el enrutador y la PC usando un cable de conexión.
Presione el botón "..." (abajo a la derecha) y especifique la carpeta donde descargó los archivos de firmware para Mikrotik.
Elija un archivo cuyo nombre termine con "initramfs-kernel.bin o elf"
2. Arrancar el enrutador desde el servidor PXE
Conectamos el PC con un cable y el primer puerto (wan, internet, poe in,...) del router. Después de eso, tomamos un palillo de dientes, lo metemos en el orificio con la inscripción "Restablecer".
Encendemos el enrutador y esperamos 20 segundos, luego soltamos el palillo.
En el próximo minuto, los siguientes mensajes deberían aparecer en la ventana del servidor Tiny PXE:
Si aparece el mensaje, ¡está en la dirección correcta!
Restaure la configuración en el adaptador de red y configúrelo para recibir la dirección dinámicamente (a través de DHCP).
Conéctese a los puertos LAN del enrutador Mikrotik (2…5 en nuestro caso) usando el mismo latiguillo. Simplemente cámbielo del primer puerto al segundo puerto. Abrir dirección
Inicie sesión en la interfaz administrativa de OpenWRT y vaya a la sección de menú "Sistema -> Backup/Flash Firmware"
En la subsección "Flash nueva imagen de firmware", haga clic en el botón "Seleccionar archivo (Examinar)".
Especifique la ruta a un archivo cuyo nombre termine con "-squashfs-sysupgrade.bin".
Después de eso, haga clic en el botón "Imagen Flash".
En la siguiente ventana, haga clic en el botón "Continuar". El firmware comenzará a descargarse en el enrutador.
!!! ¡EN NINGÚN CASO NO DESCONECTE LA ALIMENTACIÓN DEL ROUTER DURANTE EL PROCESO DE FIRMWARE!
Después de flashear y reiniciar el enrutador, recibirá Mikrotik con firmware OpenWRT.
Posibles problemas y soluciones
Muchos dispositivos Mikrotik lanzados en 2019 utilizan un chip de memoria FLASH-NOR del tipo GD25Q15/Q16. El problema es que al flashear no se guardan datos sobre el modelo del dispositivo.
Si ve el error "El archivo de imagen cargado no contiene un formato compatible. Asegúrese de elegir el formato de imagen genérico para su plataforma". entonces lo más probable es que el problema esté en flash.
Es fácil verificar esto: ejecute el comando para verificar la identificación del modelo en la terminal del dispositivo
root@OpenWrt: cat /tmp/sysinfo/board_name
Y si obtiene la respuesta "desconocido", debe especificar manualmente el modelo del dispositivo en el formulario "rb-951-2nd"
Para obtener el modelo del dispositivo, ejecute el comando
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Después de recibir el modelo del dispositivo, instálelo manualmente:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Después de eso, puede actualizar el dispositivo a través de la interfaz web o usando el comando "sysupgrade"
Crea un servidor VPN con WireGuard
Si ya tiene un servidor con WireGuard configurado, puede omitir este paso.
Usaré la aplicación para configurar un servidor VPN personal
Configuración del cliente WireGuard en OpenWRT
Conéctese al enrutador a través del protocolo SSH:
ssh [email protected]
Instale WireGuard:
opkg update
opkg install wireguard
Prepare la configuración (copie el código a continuación en un archivo, reemplace los valores especificados con los suyos propios y ejecútelo en la terminal).
Si está utilizando MyVPN, entonces en la configuración a continuación solo necesita cambiar WG_SERV - Servidor IP WG_KEY - clave privada del archivo de configuración de wireguard y WG_PUB - Llave pública.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
¡Esto completa la configuración de WireGuard! Ahora todo el tráfico en todos los dispositivos conectados está protegido por una conexión VPN.
referencias
Fuente: habr.com