Dans la plupart des cas, connecter un routeur à un VPN n'est pas difficile, mais si vous souhaitez protéger l'ensemble du réseau tout en maintenant une vitesse de connexion optimale, la meilleure solution consiste à utiliser un tunnel VPN.
Routeurs Mikrotik avérées être des solutions fiables et très flexibles, mais malheureusement
Mais pour l'instant, malheureusement, pour configurer WireGuard sur un routeur Mikrotik, vous devez changer le firmware.
Flasher Mikrotik, installer et configurer OpenWrt
Vous devez d'abord vous assurer qu'OpenWrt prend en charge votre modèle. Voir si un modèle correspond à son nom marketing et à son image
Allez sur openwrt.com
Pour cet appareil, nous avons besoin de 2 fichiers :
Vous devez télécharger les deux fichiers : Installer и Optimisation.
1. Configuration du réseau, téléchargement et configuration du serveur PXE
Télécharger
Décompressez dans un dossier séparé. Dans le fichier config.ini ajouter le paramètre RFC951 = 1 section [dhcp]. Ce paramètre est le même pour tous les modèles Mikrotik.
Passons aux paramètres réseau : vous devez enregistrer une adresse IP statique sur l'une des interfaces réseau de votre ordinateur.
Adresse IP: 192.168.1.10
Masque réseau : 255.255.255.0
Run Petit serveur PXE au nom de l'administrateur et sélectionnez dans le champ Serveur DHCP serveur avec adresse 192.168.1.10
Sur certaines versions de Windows, cette interface peut n'apparaître qu'après une connexion Ethernet. Je recommande de connecter un routeur et de commuter immédiatement le routeur et le PC à l'aide d'un cordon de raccordement.
Appuyez sur le bouton "..." (en bas à droite) et spécifiez le dossier dans lequel vous avez téléchargé les fichiers du firmware pour Mikrotik.
Choisissez un fichier dont le nom se termine par "initramfs-kernel.bin ou elf"
2. Démarrage du routeur à partir du serveur PXE
On connecte le PC avec un fil et le premier port (wan, internet, poe in, ...) du routeur. Après cela, nous prenons un cure-dent, le plantons dans le trou avec l'inscription "Reset".
Nous allumons le routeur et attendons 20 secondes, puis relâchons le cure-dent.
Dans la minute qui suit, les messages suivants devraient apparaître dans la fenêtre Tiny PXE Server :
Si le message apparaît, alors vous êtes dans la bonne direction !
Restaurez les paramètres sur l'adaptateur réseau et configurez-le pour recevoir l'adresse dynamiquement (via DHCP).
Connectez-vous aux ports LAN du routeur Mikrotik (2…5 dans notre cas) en utilisant le même cordon de raccordement. Basculez-le simplement du 1er port au 2e port. Adresse ouverte
Connectez-vous à l'interface d'administration d'OpenWRT et allez dans la section de menu "Système -> Sauvegarde/Flash Firmware"
Dans la sous-section "Flash new firmware image", cliquez sur le bouton "Select file (Browse)".
Spécifiez le chemin d'accès à un fichier dont le nom se termine par "-squashfs-sysupgrade.bin".
Après cela, cliquez sur le bouton "Flash Image".
Dans la fenêtre suivante, cliquez sur le bouton "Continuer". Le micrologiciel commencera à se télécharger sur le routeur.
!!! EN AUCUN CAS NE COUPEZ PAS L'ALIMENTATION DU ROUTEUR PENDANT LE PROCESSUS DE FIRMWARE !!!
Après avoir flashé et redémarré le routeur, vous recevrez Mikrotik avec le firmware OpenWRT.
Problèmes et solutions possibles
De nombreux appareils Mikrotik sortis en 2019 utilisent une puce mémoire FLASH-NOR de type GD25Q15 / Q16. Le problème est que lors du clignotement, les données sur le modèle de l'appareil ne sont pas enregistrées.
Si vous voyez l'erreur "Le fichier image téléchargé ne contient pas de format pris en charge. Assurez-vous de choisir le format d'image générique pour votre plate-forme." alors très probablement le problème est en flash.
Il est facile de vérifier cela : exécutez la commande pour vérifier l'ID du modèle dans le terminal de l'appareil.
root@OpenWrt: cat /tmp/sysinfo/board_name
Et si vous obtenez la réponse "inconnu", vous devez spécifier manuellement le modèle d'appareil sous la forme "rb-951-2nd"
Pour obtenir le modèle de l'appareil, exécutez la commande
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Après avoir reçu le modèle de l'appareil, installez-le manuellement :
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Après cela, vous pouvez flasher l'appareil via l'interface Web ou en utilisant la commande "sysupgrade"
Créer un serveur VPN avec WireGuard
Si vous avez déjà un serveur avec WireGuard configuré, vous pouvez ignorer cette étape.
Je vais utiliser l'application pour configurer un serveur VPN personnel
Configuration du client WireGuard sur OpenWRT
Connectez-vous au routeur via le protocole SSH :
ssh [email protected]
Installez WireGuard :
opkg update
opkg install wireguard
Préparez la configuration (copiez le code ci-dessous dans un fichier, remplacez les valeurs spécifiées par les vôtres et exécutez-les dans le terminal).
Si vous utilisez MyVPN, dans la configuration ci-dessous, il vous suffit de modifier WG_SERV - IP du serveur WG_KEY - clé privée du fichier de configuration de wireguard et WG_PUB - Clé publique.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Ceci termine la configuration de WireGuard ! Désormais, tout le trafic sur tous les appareils connectés est protégé par une connexion VPN.
références
Source: habr.com