در بیشتر موارد، اتصال روتر به VPN کار سختی نیست، اما اگر می خواهید از کل شبکه محافظت کنید و در عین حال سرعت اتصال بهینه را حفظ کنید، بهترین راه حل استفاده از تونل VPN است. .
روترها میکروتیک ثابت شد که راه حل های قابل اعتماد و بسیار انعطاف پذیر است، اما متاسفانه هنوز نه و معلوم نیست چه زمانی و در چه عملکردی ظاهر خواهد شد. به تازگی که توسعهدهندگان تونل VPN WireGuard پیشنهاد کرد که نرمافزار تونلسازی VPN آنها را به بخشی از هسته تبدیل خواهد کرد. Linuxامیدواریم این امر پیادهسازی در RouterOS را تسهیل کند.
اما فعلاً، متأسفانه، برای راهاندازی WireGuard فریمور روتر میکروتیک نیاز به تغییر دارد.
فلش Mikrotik، نصب و پیکربندی OpenWrt
ابتدا باید مطمئن شوید که OpenWrt از مدل شما پشتیبانی می کند. ببینید آیا یک مدل با نام بازاریابی و تصویر آن مطابقت دارد یا خیر .
به openwrt.com بروید .
برای این دستگاه به 2 فایل نیاز داریم:
شما باید هر دو فایل را دانلود کنید: نصب и ارتقا.
1. راه اندازی شبکه، دانلود و راه اندازی سرور PXE
دانلود برای Windows آخرین نسخه.
در یک پوشه جداگانه از حالت فشرده خارج کنید. در فایل config.ini پارامتر را اضافه کنید rfc951=1 بخش [dhcp]. این پارامتر برای تمامی مدل های میکروتیک یکسان است.
بیایید به تنظیمات شبکه برویم: شما باید یک آدرس IP ثابت را در یکی از رابط های شبکه رایانه خود ثبت کنید.
آدرس IP: 192.168.1.10
ماسک شبکه: 255.255.255.0
اجرا کن سرور کوچک PXE از طرف مدیر و در قسمت انتخاب کنید DHCP سرور سرور با آدرس 192.168.1.10
در برخی نسخهها Windows این رابط ممکن است فقط پس از اتصال اترنت ظاهر شود. توصیه میکنم روتر را وصل کنید و بلافاصله روتر و رایانه شخصی را با استفاده از یک کابل رابط به هم وصل کنید.
دکمه "..." (پایین سمت راست) را فشار دهید و پوشه ای را که فایل های سیستم عامل Mikrotik را در آن دانلود کرده اید مشخص کنید.
فایلی را انتخاب کنید که نام آن با "initramfs-kernel.bin یا elf" ختم شود.
2. بوت کردن روتر از سرور PXE
کامپیوتر را با سیم و اولین پورت (wan, internet, poe in, ...) روتر وصل می کنیم. پس از آن، ما یک خلال دندان می گیریم، آن را به سوراخ با کتیبه "تنظیم مجدد" می چسبانیم.
برق روتر را روشن می کنیم و 20 ثانیه صبر می کنیم و سپس خلال دندان را رها می کنیم.
در دقیقه بعد، پیام های زیر باید در پنجره Tiny PXE Server ظاهر شوند:
اگر پیام ظاهر شد، پس شما در مسیر درستی هستید!
تنظیمات مربوط به آداپتور شبکه را بازیابی کنید و آدرس را به صورت پویا (از طریق DHCP) دریافت کنید.
با استفاده از همان پچ کورد به پورت های LAN روتر میکروتیک (در مورد ما 2…5) وصل شوید. فقط آن را از پورت 1 به پورت 2 تغییر دهید. آدرس را باز کنید در مرورگر
وارد رابط اداری OpenWRT شوید و به بخش منوی "System -> Backup/Flash Firmware" بروید.
در بخش فرعی "Flash new firmware image" روی دکمه "Select file (Browse)" کلیک کنید.
مسیر فایلی که نام آن با "-squashfs-sysupgrade.bin" ختم می شود را مشخص کنید.
پس از آن، روی دکمه "Flash Image" کلیک کنید.
در پنجره بعدی، روی دکمه "ادامه" کلیک کنید. سیستم عامل شروع به دانلود در روتر می کند.
!!! به هیچ وجه برق روتر را در طول فرآیند سفتافزار قطع نکنید!!!
پس از فلش و راه اندازی مجدد روتر، Mikrotik را با فریمور OpenWRT دریافت خواهید کرد.
مشکلات و راه حل های احتمالی
بسیاری از دستگاه های Mikrotik که در سال 2019 عرضه شدند از تراشه حافظه FLASH-NOR از نوع GD25Q15 / Q16 استفاده می کنند. مشکل این است که هنگام فلش کردن، اطلاعات مربوط به مدل دستگاه ذخیره نمی شود.
اگر خطای "فایل تصویر آپلود شده حاوی فرمت پشتیبانی شده نیست. مطمئن شوید که فرمت تصویر عمومی را برای پلتفرم خود انتخاب کرده اید." پس به احتمال زیاد مشکل در فلش است.
بررسی این موضوع آسان است: دستور بررسی شناسه مدل را در ترمینال دستگاه اجرا کنید
root@OpenWrt: cat /tmp/sysinfo/board_nameو اگر پاسخ "ناشناخته" را دریافت کردید، باید مدل دستگاه را به صورت دستی در فرم "rb-951-2nd" مشخص کنید.
برای دریافت مدل دستگاه، دستور را اجرا کنید
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndپس از دریافت مدل دستگاه، آن را به صورت دستی نصب کنید:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameپس از آن، می توانید دستگاه را از طریق رابط وب یا با استفاده از دستور "sysupgrade" فلش کنید
ایجاد سرور VPN با WireGuard
اگر از قبل سرور را پیکربندی کردهاید WireGuard، پس میتوانید از این نکته صرف نظر کنید.
من از برنامه برای راه اندازی یک سرور VPN شخصی استفاده خواهم کرد در مورد گربه من قبلا .
تنظیم WireGuard کلاینت روی OpenWRT
از طریق پروتکل SSH به روتر متصل شوید:
ssh root@192.168.1.1مجموعه WireGuard:
opkg update
opkg install wireguardپیکربندی را آماده کنید (کد زیر را در یک فایل کپی کنید، مقادیر مشخص شده را با مقادیر خود جایگزین کنید و در ترمینال اجرا کنید).
اگر از MyVPN استفاده می کنید، در پیکربندی زیر فقط باید تغییر دهید WG_SERV - آی پی سرور WG_KEY — کلید خصوصی از فایل پیکربندی wireguard и WG_PUB - کلید عمومی.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartاین تمام تنظیمات بود WireGuard کامل شد! اکنون تمام ترافیک روی تمام دستگاههای متصل توسط اتصال VPN محافظت میشود.
مراجع
(دستورالعمل های اضافی برای راه اندازی L2TP، PPTP در سیستم عامل استاندارد Mikrotik)
منبع: www.habr.com
