Enamasti ei ole ruuteri ühendamine VPN-iga keeruline, kuid kui soovite kaitsta kogu võrku ja samal ajal säilitada optimaalset ühenduse kiirust, on parim lahendus VPN-tunneli kasutamine. .
Ruuterid mikrotik osutusid usaldusväärseteks ja väga paindlikeks lahendusteks, kuid kahjuks ikka mitte ja pole teada, millal see ilmub ja mis esituses. Hiljuti et VPN-tunneli arendajad WireGuard pakutakse , mis teeb nende VPN-tunneldamise tarkvarast osa tuumast Linuxloodame, et see hõlbustab rakendamist RouterOS-is.
Aga praegu, kahjuks seadistamiseks WireGuard Mikrotiku ruuteri püsivara tuleb muuta.
Mikrotik vilgub, OpenWrt installimine ja seadistamine
Kõigepealt peate veenduma, et OpenWrt toetab teie mudelit. Vaadake, kas mudel ühtib selle turundusnime ja pildiga .
Minge saidile openwrt.com .
Selle seadme jaoks vajame kahte faili:
Peate mõlemad failid alla laadima: paigaldama и upgrade.
1. Võrgu seadistamine, allalaadimine ja PXE-serveri seadistamine
Laadige alla eest Windows uusim versioon.
Pakkige lahti eraldi kausta. Lisage parameeter faili config.ini rfc951=1 osa [dhcp]. See parameeter on kõigi Mikrotiku mudelite puhul sama.
Liigume edasi võrguseadete juurde: peate registreerima staatilise IP-aadressi oma arvuti ühel võrguliidesel.
IP-aadress: 192.168.1.10
Võrgumask: 255.255.255.0
Jookse Väike PXE server administraatori nimel ja valige väljal DHCP server aadressiga server 192.168.1.10
Mõnes versioonis Windows See liides võib ilmuda alles pärast Etherneti ühendamist. Soovitan ühendada ruuteri ja kohe ruuteri ning arvuti ühenduskaabli abil.
Vajutage nuppu "..." (all paremal) ja määrake kaust, kuhu laadisite alla Mikrotiku püsivara failid.
Valige fail, mille nimi lõpeb sõnadega "initramfs-kernel.bin või elf"
2. Ruuteri käivitamine PXE serverist
Ühendame arvuti juhtmega ja ruuteri esimese pordiga (wan, internet, poe in, ...). Pärast seda võtame hambaorki, torkame selle auku kirjaga "Lähtesta".
Lülitame ruuteri sisse ja ootame 20 sekundit, seejärel vabastame hambaorki.
Järgmise minuti jooksul peaksid Tiny PXE serveri aknas ilmuma järgmised teated:
Kui teade ilmub, olete õiges suunas!
Taastage võrguadapteri sätted ja määrake aadressi dünaamiline vastuvõtt (DHCP kaudu).
Ühendage sama plaastrikaabli abil Mikrotik ruuteri LAN-portidega (meie puhul 2…5). Lihtsalt lülitage see 1. pordilt 2. pordile. Ava aadress brauseris.
Logige sisse OpenWRT haldusliidesesse ja minge menüü jaotisesse "Süsteem -> Varundus/Flash püsivara"
Alamjaotises "Flash new firmware image" klõpsake nuppu "Vali fail (Sirvi)".
Määrake tee failini, mille nimi lõpeb sõnadega "-squashfs-sysupgrade.bin".
Pärast seda klõpsake nuppu "Flash Image".
Järgmises aknas klõpsake nuppu "Jätka". Püsivara hakkab ruuterisse alla laadima.
!!! PÜSIVARA PROTSESSI AJAL ÄRGE MITTE MINGIL JUHUL ÜHENDAGE RUUTERI TOIDET LAHTI !!!
Pärast ruuteri vilkumist ja taaskäivitamist saate OpenWRT püsivaraga Mikrotiku.
Võimalikud probleemid ja lahendused
Paljud 2019. aastal välja antud Mikrotik seadmed kasutavad GD25Q15 / Q16 tüüpi FLASH-NOR mälukiipi. Probleem on selles, et vilkumise ajal ei salvestata andmeid seadme mudeli kohta.
Kui näete tõrketeadet „Üleslaaditud pildifail ei sisalda toetatud vormingut. Veenduge, et valite oma platvormi jaoks üldise pildivormingu." siis tõenäoliselt on probleem välkkiire.
Seda on lihtne kontrollida: käivitage käsk mudeli ID kontrollimiseks seadme terminalis
root@OpenWrt: cat /tmp/sysinfo/board_nameJa kui saate vastuse "teadmata", peate käsitsi määrama seadme mudeli kujul "rb-951-2nd"
Seadme mudeli hankimiseks käivitage käsk
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndPärast seadme mudeli saamist installige see käsitsi:
echo 'rb-951-2nd' > /tmp/sysinfo/board_namePärast seda saate seadme veebiliidese kaudu või käsu "sysupgrade" abil vilkuda
Loo VPN-server, mille abil WireGuard
Kui teil on juba server konfigureeritud WireGuard, siis võid selle punkti vahele jätta.
Kasutan rakendust isikliku VPN-serveri seadistamiseks kassi kohta ma juba .
reguleerimine WireGuard Klient OpenWRT-s
Ühendage ruuteriga SSH-protokolli kaudu:
ssh root@192.168.1.1Komplekt WireGuard:
opkg update
opkg install wireguardValmistage konfiguratsioon ette (kopeerige allolev kood faili, asendage määratud väärtused enda omadega ja käivitage terminalis).
Kui kasutate MyVPN-i, peate allolevas konfiguratsioonis ainult muutma WG_SERV - Serveri IP WG_KEY — privaatvõti konfiguratsioonifailist wireguard и WG_PUB - avalik võti.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartSee on seadistamise jaoks kõik WireGuard Valmis! Nüüd on kogu liiklus kõigis ühendatud seadmetes VPN-ühenduse poolt kaitstud.
Viited
(lisaks saadaolevad juhised L2TP, PPTP seadistamiseks tavalisel Mikrotiku püsivaral)
Allikas: www.habr.com
