Yn 'e measte gefallen is it ferbinen fan in router nei in VPN net dreech, mar as jo it heule netwurk wolle beskermje en tagelyk optimale ferbiningssnelheid behâlde, dan is de bêste oplossing in VPN-tunnel te brûken
Routers mikrotysk bliken te wêzen betrouber en hiel fleksibele oplossings, mar spitigernôch
Mar foar no, spitigernôch, om WireGuard te konfigurearjen op in Mikrotik-router, moatte jo de firmware feroarje.
Flashing Mikrotik, ynstallearje en konfigurearje OpenWrt
Earst moatte jo derfoar soargje dat OpenWrt jo model stipet. Sjoch as in model oerienkomt mei syn marketingnamme en ôfbylding
Gean nei openwrt.com
Foar dit apparaat hawwe wy 2 bestannen nedich:
Jo moatte beide bestannen downloade: Ynstallearje и upgrade.
1. Netwurk opset, download en opset PXE tsjinner
Download
Unzip nei in aparte map. Yn it config.ini-bestân foegje de parameter ta rfc951=1 ôfdieling [dhcp]. Dizze parameter is itselde foar alle Mikrotik modellen.
Litte wy nei de netwurkynstellingen gean: jo moatte in statysk ip-adres registrearje op ien fan 'e netwurkynterfaces fan jo kompjûter.
IP Folgjende: 192.168.1.10
Netmasker: 255.255.255.0
Rinne Tiny PXE-tsjinner út namme fan de behearder en selektearje yn it fjild DHCP-tsjinner tsjinner mei adres 192.168.1.10
Op guon ferzjes fan Windows kin dizze ynterface allinich ferskine nei in Ethernet-ferbining. Ik advisearje it ferbinen fan in router en fuortendaliks de router en PC te wikseljen mei in patchkabel.
Druk op de knop "..." (rjochtsûnder) en spesifisearje de map wêr't jo de firmwarebestannen foar Mikrotik hawwe downloade.
Kies in triem wêrfan de namme einiget mei "initramfs-kernel.bin of elf"
2. Booting de router út de PXE tsjinner
Wy ferbine de PC mei in draad en de earste poarte (wan, ynternet, poe in, ...) fan de router. Dêrnei nimme wy in tandenstoker, stek it yn it gat mei de opskrift "Reset".
Wy skeakelje de krêft fan 'e router yn en wachtsje 20 sekonden, dan loslitte de tandenstoker.
Binnen de folgjende minút moatte de folgjende berjochten ferskine yn it Tiny PXE Server-finster:
As it berjocht ferskynt, dan binne jo yn 'e goede rjochting!
Weromsette de ynstellingen op 'e netwurkadapter en ynstelle om it adres dynamysk te ûntfangen (fia DHCP).
Ferbine mei de LAN-poarten fan 'e Mikrotik-router (2 ... 5 yn ús gefal) mei deselde patchkabel. Skeakelje it gewoan fan 1e haven nei 2e haven. Iepen adres
Oanmelde by de OpenWRT bestjoerlike ynterface en gean nei de menu seksje "Systeem -> Reservekopy / Flash Firmware"
Klikje yn de subseksje "Flash nije firmwareôfbylding" op de knop "Selektearje bestân (Blêdzje)".
Spesifisearje it paad nei in bestân wêrfan de namme einiget mei "-squashfs-sysupgrade.bin".
Klikje dêrnei op de knop "Flashôfbylding".
Klikje yn it folgjende finster op de knop "Fergean". De firmware sil begjinne te downloaden nei de router.
!!! NET FERGESE DE KRACHT FAN DE ROUTER NET TE FERGESE TIDEN DET FIRMWAREPROSES !!!
Nei it blêdzjen en opnij opstarten fan de router, krije jo Mikrotik mei OpenWRT-firmware.
Mooglike problemen en oplossings
In protte Mikrotik-apparaten útbrocht yn 2019 brûke in FLASH-NOR-ûnthâldchip fan it GD25Q15 / Q16-type. It probleem is dat by bliksem gegevens oer it apparaatmodel net bewarre wurde.
As jo de flater sjogge "It opladen ôfbyldingsbestân befettet gjin stipe formaat. Soargje derfoar dat jo it generyske ôfbyldingsformaat kieze foar jo platfoarm." dan is it wierskynlik it probleem yn flash.
It is maklik om dit te kontrolearjen: útfiere it kommando om de model-ID te kontrolearjen yn 'e apparaatterminal
root@OpenWrt: cat /tmp/sysinfo/board_name
En as jo it antwurd krije "ûnbekend", dan moatte jo it apparaatmodel manuell opjaan yn 'e foarm "rb-951-2nd"
Om it apparaatmodel te krijen, útfiere it kommando
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Nei it ûntfangen fan it apparaatmodel, ynstallearje it manuell:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Dêrnei kinne jo it apparaat flashje fia de webynterface of mei it kommando "sysupgrade".
Meitsje in VPN-tsjinner mei WireGuard
As jo al in tsjinner hawwe mei WireGuard ynsteld, kinne jo dizze stap oerslaan.
Ik sil de applikaasje brûke om in persoanlike VPN-tsjinner yn te stellen
WireGuard Client konfigurearje op OpenWRT
Ferbine mei de router fia SSH-protokol:
ssh [email protected]
Ynstallearje WireGuard:
opkg update
opkg install wireguard
Tariede de konfiguraasje (kopiearje de koade hjirûnder nei in bestân, ferfange de opjûne wearden mei jo eigen en rinne yn 'e terminal).
As jo MyVPN brûke, dan moatte jo yn 'e konfiguraasje hjirûnder allinich feroarje WG_SERV - Server IP WG_KEY - privee kaai út de wireguard konfiguraasje triem en WG_PUB - iepenbiere kaai.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Dit foltôget de WireGuard-opset! No is alle ferkear op alle ferbûne apparaten beskerme troch in VPN-ferbining.
referinsjes
Boarne: www.habr.com