Dans la plupart des cas, connecter un routeur à un VPN n'est pas difficile, mais si vous souhaitez protéger l'ensemble du réseau tout en maintenant une vitesse de connexion optimale, la meilleure solution consiste à utiliser un tunnel VPN. .
Routeurs Mikrotik avérées être des solutions fiables et très flexibles, mais malheureusement toujours pas et on ne sait pas quand il apparaîtra et dans quelle performance. Récemment sur ce que les développeurs du tunnel VPN WireGuard ont suggéré , qui intégrera leur logiciel de tunnellisation VPN au noyau Linux, nous espérons que cela contribuera à son adoption dans RouterOS.
Mais pour l'instant, malheureusement, pour configurer WireGuard sur un routeur Mikrotik, vous devez changer le firmware.
Flasher Mikrotik, installer et configurer OpenWrt
Vous devez d'abord vous assurer qu'OpenWrt prend en charge votre modèle. Voir si un modèle correspond à son nom marketing et à son image .
Allez sur openwrt.com .
Pour cet appareil, nous avons besoin de 2 fichiers :
Vous devez télécharger les deux fichiers : Installer и Optimisation.
1. Configuration du réseau, téléchargement et configuration du serveur PXE
Télécharger pour la dernière version de Windows.
Décompressez dans un dossier séparé. Dans le fichier config.ini ajouter le paramètre RFC951 = 1 section [dhcp]. Ce paramètre est le même pour tous les modèles Mikrotik.
Passons aux paramètres réseau : vous devez enregistrer une adresse IP statique sur l'une des interfaces réseau de votre ordinateur.
Adresse IP: 192.168.1.10
Masque réseau : 255.255.255.0
Run Petit serveur PXE au nom de l'administrateur et sélectionnez dans le champ Serveur DHCP serveur avec adresse 192.168.1.10
Sur certaines versions de Windows, cette interface peut n'apparaître qu'après une connexion Ethernet. Je recommande de connecter un routeur et de commuter immédiatement le routeur et le PC à l'aide d'un cordon de raccordement.
Appuyez sur le bouton "..." (en bas à droite) et spécifiez le dossier dans lequel vous avez téléchargé les fichiers du firmware pour Mikrotik.
Choisissez un fichier dont le nom se termine par "initramfs-kernel.bin ou elf"
2. Démarrage du routeur à partir du serveur PXE
On connecte le PC avec un fil et le premier port (wan, internet, poe in, ...) du routeur. Après cela, nous prenons un cure-dent, le plantons dans le trou avec l'inscription "Reset".
Nous allumons le routeur et attendons 20 secondes, puis relâchons le cure-dent.
Dans la minute qui suit, les messages suivants devraient apparaître dans la fenêtre Tiny PXE Server :
Si le message apparaît, alors vous êtes dans la bonne direction !
Restaurez les paramètres sur l'adaptateur réseau et configurez-le pour recevoir l'adresse dynamiquement (via DHCP).
Connectez-vous aux ports LAN du routeur Mikrotik (2…5 dans notre cas) en utilisant le même cordon de raccordement. Basculez-le simplement du 1er port au 2e port. Adresse ouverte dans le navigateur.
Connectez-vous à l'interface d'administration d'OpenWRT et allez dans la section de menu "Système -> Sauvegarde/Flash Firmware"
Dans la sous-section "Flash new firmware image", cliquez sur le bouton "Select file (Browse)".
Spécifiez le chemin d'accès à un fichier dont le nom se termine par "-squashfs-sysupgrade.bin".
Après cela, cliquez sur le bouton "Flash Image".
Dans la fenêtre suivante, cliquez sur le bouton "Continuer". Le micrologiciel commencera à se télécharger sur le routeur.
!!! EN AUCUN CAS NE COUPEZ PAS L'ALIMENTATION DU ROUTEUR PENDANT LE PROCESSUS DE FIRMWARE !!!
Après avoir flashé et redémarré le routeur, vous recevrez Mikrotik avec le firmware OpenWRT.
Problèmes et solutions possibles
De nombreux appareils Mikrotik sortis en 2019 utilisent une puce mémoire FLASH-NOR de type GD25Q15 / Q16. Le problème est que lors du clignotement, les données sur le modèle de l'appareil ne sont pas enregistrées.
Si vous voyez l'erreur "Le fichier image téléchargé ne contient pas de format pris en charge. Assurez-vous de choisir le format d'image générique pour votre plate-forme." alors très probablement le problème est en flash.
Il est facile de vérifier cela : exécutez la commande pour vérifier l'ID du modèle dans le terminal de l'appareil.
root@OpenWrt: cat /tmp/sysinfo/board_nameEt si vous obtenez la réponse "inconnu", vous devez spécifier manuellement le modèle d'appareil sous la forme "rb-951-2nd"
Pour obtenir le modèle de l'appareil, exécutez la commande
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndAprès avoir reçu le modèle de l'appareil, installez-le manuellement :
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameAprès cela, vous pouvez flasher l'appareil via l'interface Web ou en utilisant la commande "sysupgrade"
Créer un serveur VPN avec WireGuard
Si vous avez déjà un serveur avec WireGuard configuré, vous pouvez ignorer cette étape.
Je vais utiliser l'application pour configurer un serveur VPN personnel à propos du chat que j'ai déjà .
Configuration du client WireGuard sur OpenWRT
Connectez-vous au routeur via le protocole SSH :
ssh [email protected]Installez WireGuard :
opkg update
opkg install wireguardPréparez la configuration (copiez le code ci-dessous dans un fichier, remplacez les valeurs spécifiées par les vôtres et exécutez-les dans le terminal).
Si vous utilisez MyVPN, dans la configuration ci-dessous, il vous suffit de modifier WG_SERV - IP du serveur WG_KEY - clé privée du fichier de configuration de wireguard et WG_PUB - Clé publique.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartCeci termine la configuration de WireGuard ! Désormais, tout le trafic sur tous les appareils connectés est protégé par une connexion VPN.
références
(instructions supplémentaires disponibles pour la configuration de L2TP, PPTP sur le micrologiciel Mikrotik standard)
Source: habr.com