Useimmissa tapauksissa reitittimen yhdistäminen VPN-verkkoon ei ole vaikeaa, mutta jos haluat suojata koko verkkoa ja samalla ylläpitää optimaalista yhteysnopeutta, paras ratkaisu on käyttää VPN-tunnelia. .
Reitittimet Mikrotik osoittautui luotettaviksi ja erittäin joustaviksi ratkaisuiksi, mutta valitettavasti ei vieläkään, eikä tiedetä, milloin se ilmestyy ja missä esityksessä. Äskettäin siitä, mitä WireGuard VPN-tunnelin kehittäjät ehdottivat , joka tekee heidän VPN-tunnelointiohjelmistostaan osan Linux-ytimestä, toivomme tämän myötävaikuttavan RouterOS:n käyttöönottoon.
Mutta valitettavasti toistaiseksi WireGuardin määrittämiseksi Mikrotik-reitittimessä sinun on vaihdettava laiteohjelmisto.
Vilkkuu Mikrotik, asennus ja konfigurointi OpenWrt
Ensin sinun on varmistettava, että OpenWrt tukee malliasi. Katso, vastaako malli sen markkinointinimeä ja -kuvaa .
Siirry osoitteeseen openwrt.com .
Tätä laitetta varten tarvitsemme 2 tiedostoa:
Sinun on ladattava molemmat tiedostot: install и parantaa.
1. Verkkoasetukset, lataa ja asenna PXE-palvelin
download Windowsille uusin versio.
Pura erilliseen kansioon. Lisää parametri config.ini-tiedostoon rfc951=1 -osio [dhcp]. Tämä parametri on sama kaikissa Mikrotik-malleissa.
Siirrytään verkkoasetuksiin: sinun on rekisteröitävä staattinen IP-osoite johonkin tietokoneesi verkkoliitännöistä.
IP-osoite: 192.168.1.10
Verkkomaski: 255.255.255.0
Juosta Pieni PXE-palvelin järjestelmänvalvojan puolesta ja valitse kentästä DHCP-palvelin palvelin osoitteella 192.168.1.10
Joissakin Windows-versioissa tämä käyttöliittymä saattaa näkyä vasta Ethernet-yhteyden jälkeen. Suosittelen reitittimen liittämistä ja reitittimen ja tietokoneen välitöntä vaihtamista välijohdolla.
Paina "..."-painiketta (alhaalla oikealla) ja määritä kansio, johon latasit Mikrotikin laiteohjelmistotiedostot.
Valitse tiedosto, jonka nimi päättyy "initramfs-kernel.bin tai elf"
2. Reitittimen käynnistäminen PXE-palvelimelta
Yhdistämme tietokoneen johdolla ja reitittimen ensimmäisellä portilla (wan, internet, poe in, ...). Sen jälkeen otamme hammastikkua, kiinnitämme sen reikään, jossa on merkintä "Reset".
Kytkemme reitittimen virran päälle ja odotamme 20 sekuntia ja vapautamme sitten hammastikku.
Seuraavan minuutin kuluessa Tiny PXE Server -ikkunaan pitäisi ilmestyä seuraavat viestit:
Jos viesti tulee näkyviin, olet oikealla tiellä!
Palauta verkkosovittimen asetukset ja aseta se vastaanottamaan osoite dynaamisesti (DHCP:n kautta).
Yhdistä Mikrotik-reitittimen LAN-portteihin (tapauksessamme 2…5) käyttämällä samaa patch-johtoa. Vaihda se 1. portista 2. porttiin. Avaa osoite selaimessa.
Kirjaudu sisään OpenWRT:n hallintaliittymään ja mene "Järjestelmä -> Varmuuskopiointi/Flash Firmware" -valikkoosioon
Napsauta "Flash new firmware image" -aliosiossa "Valitse tiedosto (Selaa)" -painiketta.
Määritä polku tiedostoon, jonka nimi päättyy "-squashfs-sysupgrade.bin".
Napsauta sen jälkeen "Flash Image" -painiketta.
Napsauta seuraavassa ikkunassa "Jatka"-painiketta. Laiteohjelmisto alkaa latautua reitittimeen.
!!! ÄLÄ MISSÄÄN TAPAUKSESSA IRROTA REITITTIMEN VIRTAA LAITEOHJELMISTON AIKANA!!!
Vilkkumisen ja reitittimen uudelleenkäynnistyksen jälkeen saat Mikrotikin OpenWRT-laiteohjelmistolla.
Mahdolliset ongelmat ja ratkaisut
Monet vuonna 2019 julkaistut Mikrotik-laitteet käyttävät FLASH-NOR-muistisirua, jonka tyyppi on GD25Q15 / Q16. Ongelmana on, että vilkkuessa tietoja laitemallista ei tallenneta.
Jos näet virheilmoituksen "Ladattu kuvatiedosto ei sisällä tuettua muotoa. Varmista, että valitset alustallesi yleisen kuvamuodon." niin todennäköisesti ongelma on salama.
Tämä on helppo tarkistaa: suorita komento tarkistaaksesi mallin ID laitepäätteestä
root@OpenWrt: cat /tmp/sysinfo/board_nameJa jos saat vastauksen "tuntematon", sinun on määritettävä laitteen malli manuaalisesti muodossa "rb-951-2nd"
Saadaksesi laitemallin, suorita komento
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndKun olet vastaanottanut laitemallin, asenna se manuaalisesti:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameTämän jälkeen voit käynnistää laitteen verkkokäyttöliittymän kautta tai käyttämällä "sysupgrade"-komentoa
Luo VPN-palvelin WireGuardin avulla
Jos sinulla on jo palvelin, jossa on määritetty WireGuard, voit ohittaa tämän vaiheen.
Käytän sovellusta henkilökohtaisen VPN-palvelimen perustamiseen kissasta jo .
WireGuard Client -ohjelman määrittäminen OpenWRT:ssä
Yhdistä reitittimeen SSH-protokollan kautta:
ssh [email protected]Asenna WireGuard:
opkg update
opkg install wireguardValmistele konfigurointi (kopioi alla oleva koodi tiedostoon, korvaa määritetyt arvot omilla arvoillasi ja suorita terminaalissa).
Jos käytät MyVPN:ää, sinun tarvitsee vain muuttaa alla olevaa määritystä WG_SERV - Palvelimen IP WG_KEY - yksityinen avain Wireguard-määritystiedostosta ja WG_PUB - julkinen avain.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartTämä päättää WireGuardin asennuksen! Nyt kaikki liitettyjen laitteiden liikenne on suojattu VPN-yhteydellä.
viittaukset
(Lisäksi saatavilla ohjeet L2TP:n ja PPTP:n määrittämiseen Mikrotik-standardin laiteohjelmistolla)
Lähde: will.com