Kasu gehienetan, router bat VPN batera konektatzea ez da zaila, baina sare osoa babestu nahi baduzu eta, aldi berean, konexio-abiadura optimoa mantendu nahi baduzu, orduan irtenbide onena VPN tunel bat erabiltzea da. .
Bideratzaileak mikrotikoa konponbide fidagarriak eta oso malguak direla frogatu zen, baina zoritxarrez oraindik ez eta ez da jakin noiz agertuko den eta zein emanalditan. Duela gutxi WireGuard VPN tunelaren garatzaileek iradokitakoari buruz , VPN tunelaren softwarea Linux nukleoaren parte bihurtuko duena, horrek RouterOS-en harreran laguntzea espero dugu.
Baina oraingoz, zoritxarrez, Mikrotik bideratzaile batean WireGuard konfiguratzeko, firmwarea aldatu behar duzu.
Mikrotik keinuka, OpenWrt instalatu eta konfiguratzen
Lehenik eta behin, ziurtatu behar duzu OpenWrt-ek zure eredua onartzen duela. Ikusi eredu bat bere marketin-izenarekin eta irudiarekin bat datorren .
Joan openwrt.com helbidera .
Gailu honetarako, 2 fitxategi behar ditugu:
Bi fitxategiak deskargatu behar dituzu: Instalatu ΠΈ Berritu.
1. Sarea konfiguratu, deskargatu eta konfiguratu PXE zerbitzaria
deskargatu Windows azken bertsiorako.
Deskonprimitu beste karpeta batean. config.ini fitxategian gehitu parametroa rfc951=1 atala [dhcp]. Parametro hau berdina da Mikrotik modelo guztietan.
Goazen sareko ezarpenetara: zure ordenagailuko sareko interfazeetako batean ip helbide estatiko bat erregistratu behar duzu.
IP helbidea: 192.168.1.10
Sareko maskara: 255.255.255.0
Korrika egin PXE zerbitzari txikia Administratzailearen izenean eta hautatu eremuan DHCP zerbitzaria helbidea duen zerbitzaria 192.168.1.10
Windows-en zenbait bertsiotan, baliteke interfaze hau Ethernet konexio baten ondoren bakarrik agertzea. Bideratzaile bat konektatzea eta berehala bideratzailea eta ordenagailua aldatzea gomendatzen dut adabaki kablea erabiliz.
Sakatu "..." botoia (eskuinean behean) eta zehaztu Mikrotik-erako firmware fitxategiak deskargatu dituzun karpeta.
Aukeratu "initramfs-kernel.bin edo elf"-rekin amaitzen den fitxategi bat
2. PXE zerbitzaritik bideratzailea abiarazi
Ordenagailua kable batekin eta bideratzailearen lehen ataka (wan, internet, poe in, ...) konektatzen dugu. Horren ondoren, hortz bat hartzen dugu, "Berrezarri" inskripzioa duen zuloan sartuko dugu.
Bideratzailearen boterea pizten dugu eta 20 segundo itxarongo dugu, gero hortz-azuela askatu.
Hurrengo minutuan, mezu hauek agertu beharko lirateke Tiny PXE Server leihoan:
Mezua agertzen bada, norabide egokian zaude!
Berrezarri sare-egokigailuaren ezarpenak eta ezarri helbidea modu dinamikoan jasotzeko (DHCP bidez).
Konektatu Mikrotik bideratzailearen LAN portuetara (2β¦5 gure kasuan) adabaki kable bera erabiliz. Aldatu 1. atakatik 2. atakara. Helbidea ireki arakatzailean.
Hasi saioa OpenWRT administrazio-interfazean eta joan "Sistema -> Backup/Flash Firmware" menu atalera
"Flash new firmware image" azpiatalean, egin klik "Hautatu fitxategia (arakatu)" botoian.
Zehaztu izena "-squashfs-sysupgrade.bin"-rekin amaitzen den fitxategi baten bidea.
Horren ondoren, egin klik "Flash Irudia" botoian.
Hurrengo leihoan, egin klik "Jarraitu" botoian. Firmwarea bideratzailean deskargatzen hasiko da.
!!! EZ EZ EZ DESKONEKTU RUTERAREN ENERGIA FIRMWARE PROZESUAN ZEHAR !!!
Bideratzailea keinu egin eta berrabiarazi ondoren, Mikrotik jasoko duzu OpenWRT firmwarearekin.
Arazo eta irtenbide posibleak
2019an kaleratutako Mikrotik gailu askok GD25Q15 / Q16 motako FLASH-NOR memoria txipa erabiltzen dute. Arazoa da keinuka egitean gailuaren ereduari buruzko datuak ez direla gordetzen.
Errorea ikusten baduzu "Kargatutako irudi-fitxategiak ez du onartzen formatu bat. Ziurtatu zure plataformarako irudi-formatu generikoa aukeratzen duzula". orduan ziurrenik arazoa flashean egotea.
Hau egiaztatzea erraza da: exekutatu komandoa gailuaren terminalean modeloaren IDa egiaztatzeko
root@OpenWrt: cat /tmp/sysinfo/board_nameEta "ezezaguna" erantzuna lortzen baduzu, eskuz zehaztu behar duzu gailuaren eredua "rb-951-2nd" formularioan.
Gailuaren eredua lortzeko, exekutatu komandoa
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndGailuaren eredua jaso ondoren, instalatu eskuz:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameHorren ondoren, gailua web interfazearen bidez edo "sysupgrade" komandoa erabiliz flash dezakezu
Sortu VPN zerbitzari bat WireGuard-ekin
WireGuard konfiguratuta daukan zerbitzari bat badaukazu, urrats hau salta dezakezu.
Aplikazioa erabiliko dut VPN zerbitzari pertsonal bat konfiguratzeko Dagoeneko katuari buruz .
WireGuard Bezeroa OpenWRTn konfiguratzen
Konektatu bideratzailera SSH protokoloaren bidez:
ssh [email protected]Instalatu WireGuard:
opkg update
opkg install wireguardPrestatu konfigurazioa (kopiatu beheko kodea fitxategi batean, ordezkatu zehaztutako balioak zurearekin eta exekutatu terminalean).
MyVPN erabiltzen ari bazara, beheko konfigurazioan bakarrik aldatu behar duzu WG_SERV - Zerbitzariaren IPa WG_KEY - wireguard konfigurazio fitxategiko gako pribatua eta WG_PUB - gako publikoa.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ°
WG_PORT="51820" # ΠΏΠΎΡΡ wireguard
WG_ADDR="10.8.0.2/32" # Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ Π°Π΄ΡΠ΅ΡΠΎΠ² wireguard
WG_KEY="xxxxx" # ΠΏΡΠΈΠ²Π°ΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
WG_PUB="xxxxx" # ΠΏΡΠ±Π»ΠΈΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartHonek WireGuard konfigurazioa osatzen du! Orain konektatutako gailu guztietako trafiko guztia VPN konexio baten bidez babestuta dago.
Erreferentziak
(L2TP, PPTP Mikrotik firmware estandarrean konfiguratzeko argibideak ere eskuragarri daude)
Iturria: www.habr.com