Enamasti ei ole ruuteri ühendamine VPN-iga keeruline, kuid kui soovite kaitsta kogu võrku ja samal ajal säilitada optimaalset ühenduse kiirust, on parim lahendus VPN-tunneli kasutamine.
Ruuterid mikrotik osutusid usaldusväärseteks ja väga paindlikeks lahendusteks, kuid kahjuks
Kuid praegu peate kahjuks WireGuardi konfigureerimiseks Mikrotik ruuteris muutma püsivara.
Mikrotik vilgub, OpenWrt installimine ja seadistamine
Kõigepealt peate veenduma, et OpenWrt toetab teie mudelit. Vaadake, kas mudel ühtib selle turundusnime ja pildiga
Minge saidile openwrt.com
Selle seadme jaoks vajame kahte faili:
Peate mõlemad failid alla laadima: paigaldama и upgrade.
1. Võrgu seadistamine, allalaadimine ja PXE-serveri seadistamine
Laadige alla
Pakkige lahti eraldi kausta. Lisage parameeter faili config.ini rfc951=1 osa [dhcp]. See parameeter on kõigi Mikrotiku mudelite puhul sama.
Liigume edasi võrguseadete juurde: peate registreerima staatilise IP-aadressi oma arvuti ühel võrguliidesel.
IP-aadress: 192.168.1.10
Võrgumask: 255.255.255.0
Jookse Väike PXE server administraatori nimel ja valige väljal DHCP server aadressiga server 192.168.1.10
Mõnes Windowsi versioonis võib see liides ilmuda alles pärast Etherneti ühenduse loomist. Soovitan ühendada ruuter ja kohe ruuteri ja arvuti vahetada, kasutades plaastrikaablit.
Vajutage nuppu "..." (all paremal) ja määrake kaust, kuhu laadisite alla Mikrotiku püsivara failid.
Valige fail, mille nimi lõpeb sõnadega "initramfs-kernel.bin või elf"
2. Ruuteri käivitamine PXE serverist
Ühendame arvuti juhtmega ja ruuteri esimese pordiga (wan, internet, poe in, ...). Pärast seda võtame hambaorki, torkame selle auku kirjaga "Lähtesta".
Lülitame ruuteri sisse ja ootame 20 sekundit, seejärel vabastame hambaorki.
Järgmise minuti jooksul peaksid Tiny PXE serveri aknas ilmuma järgmised teated:
Kui teade ilmub, olete õiges suunas!
Taastage võrguadapteri sätted ja määrake aadressi dünaamiline vastuvõtt (DHCP kaudu).
Ühendage sama plaastrikaabli abil Mikrotik ruuteri LAN-portidega (meie puhul 2…5). Lihtsalt lülitage see 1. pordilt 2. pordile. Ava aadress
Logige sisse OpenWRT haldusliidesesse ja minge menüü jaotisesse "Süsteem -> Varundus/Flash püsivara"
Alamjaotises "Flash new firmware image" klõpsake nuppu "Vali fail (Sirvi)".
Määrake tee failini, mille nimi lõpeb sõnadega "-squashfs-sysupgrade.bin".
Pärast seda klõpsake nuppu "Flash Image".
Järgmises aknas klõpsake nuppu "Jätka". Püsivara hakkab ruuterisse alla laadima.
!!! PÜSIVARA PROTSESSI AJAL ÄRGE MITTE MINGIL JUHUL ÜHENDAGE RUUTERI TOIDET LAHTI !!!
Pärast ruuteri vilkumist ja taaskäivitamist saate OpenWRT püsivaraga Mikrotiku.
Võimalikud probleemid ja lahendused
Paljud 2019. aastal välja antud Mikrotik seadmed kasutavad GD25Q15 / Q16 tüüpi FLASH-NOR mälukiipi. Probleem on selles, et vilkumise ajal ei salvestata andmeid seadme mudeli kohta.
Kui näete tõrketeadet „Üleslaaditud pildifail ei sisalda toetatud vormingut. Veenduge, et valite oma platvormi jaoks üldise pildivormingu." siis tõenäoliselt on probleem välkkiire.
Seda on lihtne kontrollida: käivitage käsk mudeli ID kontrollimiseks seadme terminalis
root@OpenWrt: cat /tmp/sysinfo/board_name
Ja kui saate vastuse "teadmata", peate käsitsi määrama seadme mudeli kujul "rb-951-2nd"
Seadme mudeli hankimiseks käivitage käsk
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Pärast seadme mudeli saamist installige see käsitsi:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Pärast seda saate seadme veebiliidese kaudu või käsu "sysupgrade" abil vilkuda
Looge WireGuardiga VPN-server
Kui teil on juba konfigureeritud WireGuardiga server, võite selle sammu vahele jätta.
Kasutan rakendust isikliku VPN-serveri seadistamiseks
WireGuardi kliendi konfigureerimine OpenWRT-s
Ühendage ruuteriga SSH-protokolli kaudu:
ssh [email protected]
Installige WireGuard:
opkg update
opkg install wireguard
Valmistage konfiguratsioon ette (kopeerige allolev kood faili, asendage määratud väärtused enda omadega ja käivitage terminalis).
Kui kasutate MyVPN-i, peate allolevas konfiguratsioonis ainult muutma WG_SERV - Serveri IP WG_KEY - privaatvõti wireguardi konfiguratsioonifailist ja WG_PUB - avalik võti.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
See lõpetab WireGuardi seadistamise! Nüüd on kogu liiklus kõigis ühendatud seadmetes kaitstud VPN-ühendusega.
Viited
Allikas: www.habr.com