ProHoster > Blog > Bestjoer > WireGuard ynstelle op in Mikrotik-router mei OpenWrt

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

WireGuard ynstelle op in Mikrotik-router mei OpenWrt
Yn 'e measte gefallen is it ferbinen fan in router nei in VPN net dreech, mar as jo it heule netwurk wolle beskermje en tagelyk optimale ferbiningssnelheid behâlde, dan is de bêste oplossing in VPN-tunnel te brûken WireGuard.

Routers mikrotysk bliken te wêzen betrouber en hiel fleksibele oplossings, mar spitigernôch WireGurd-stipe op RouterOS noch altyd net en it is net bekend wannear't it ferskynt en yn hokker foarstelling. Recent It waard bekend oer wat de ûntwikkelders fan 'e WireGuard VPN-tunnel suggereare patch set, dy't har VPN-tunneling-software diel meitsje fan 'e Linux-kernel, hoopje wy dat dit sil bydrage oan it oannimmen yn RouterOS.

Mar foar no, spitigernôch, om WireGuard te konfigurearjen op in Mikrotik-router, moatte jo de firmware feroarje.

Flashing Mikrotik, ynstallearje en konfigurearje OpenWrt

Earst moatte jo derfoar soargje dat OpenWrt jo model stipet. Sjoch as in model oerienkomt mei syn marketingnamme en ôfbylding kinne jo besykje mikrotik.com.

Gean nei openwrt.com nei de firmware download seksje.

Foar dit apparaat hawwe wy 2 bestannen nedich:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

Jo moatte beide bestannen downloade: Ynstallearje и upgrade.

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

1. Netwurk opset, download en opset PXE tsjinner

Download Tiny PXE-tsjinner foar Windows lêste ferzje.

Unzip nei in aparte map. Yn it config.ini-bestân foegje de parameter ta rfc951=1 ôfdieling [dhcp]. Dizze parameter is itselde foar alle Mikrotik modellen.

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

Litte wy nei de netwurkynstellingen gean: jo moatte in statysk ip-adres registrearje op ien fan 'e netwurkynterfaces fan jo kompjûter.

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

IP Folgjende: 192.168.1.10
Netmasker: 255.255.255.0

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

Rinne Tiny PXE-tsjinner út namme fan de behearder en selektearje yn it fjild DHCP-tsjinner tsjinner mei adres 192.168.1.10

Op guon ferzjes fan Windows kin dizze ynterface allinich ferskine nei in Ethernet-ferbining. Ik advisearje it ferbinen fan in router en fuortendaliks de router en PC te wikseljen mei in patchkabel.

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

Druk op de knop "..." (rjochtsûnder) en spesifisearje de map wêr't jo de firmwarebestannen foar Mikrotik hawwe downloade.

Kies in triem wêrfan de namme einiget mei "initramfs-kernel.bin of elf"

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

2. Booting de router út de PXE tsjinner

Wy ferbine de PC mei in draad en de earste poarte (wan, ynternet, poe in, ...) fan de router. Dêrnei nimme wy in tandenstoker, stek it yn it gat mei de opskrift "Reset".

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

Wy skeakelje de krêft fan 'e router yn en wachtsje 20 sekonden, dan loslitte de tandenstoker.
Binnen de folgjende minút moatte de folgjende berjochten ferskine yn it Tiny PXE Server-finster:

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

As it berjocht ferskynt, dan binne jo yn 'e goede rjochting!

Weromsette de ynstellingen op 'e netwurkadapter en ynstelle om it adres dynamysk te ûntfangen (fia DHCP).

Ferbine mei de LAN-poarten fan 'e Mikrotik-router (2 ... 5 yn ús gefal) mei deselde patchkabel. Skeakelje it gewoan fan 1e haven nei 2e haven. Iepen adres 192.168.1.1 yn de browser.

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

Oanmelde by de OpenWRT bestjoerlike ynterface en gean nei de menu seksje "Systeem -> Reservekopy / Flash Firmware"

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

Klikje yn de subseksje "Flash nije firmwareôfbylding" op de knop "Selektearje bestân (Blêdzje)".

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

Spesifisearje it paad nei in bestân wêrfan de namme einiget mei "-squashfs-sysupgrade.bin".

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

Klikje dêrnei op de knop "Flashôfbylding".

Klikje yn it folgjende finster op de knop "Fergean". De firmware sil begjinne te downloaden nei de router.

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

!!! NET FERGESE DE KRACHT FAN DE ROUTER NET TE FERGESE TIDEN DET FIRMWAREPROSES !!!

WireGuard ynstelle op in Mikrotik-router mei OpenWrt

Nei it blêdzjen en opnij opstarten fan de router, krije jo Mikrotik mei OpenWRT-firmware.

Mooglike problemen en oplossings

In protte Mikrotik-apparaten útbrocht yn 2019 brûke in FLASH-NOR-ûnthâldchip fan it GD25Q15 / Q16-type. It probleem is dat by bliksem gegevens oer it apparaatmodel net bewarre wurde.

As jo ​​​​de flater sjogge "It opladen ôfbyldingsbestân befettet gjin stipe formaat. Soargje derfoar dat jo it generyske ôfbyldingsformaat kieze foar jo platfoarm." dan is it wierskynlik it probleem yn flash.

It is maklik om dit te kontrolearjen: útfiere it kommando om de model-ID te kontrolearjen yn 'e apparaatterminal

root@OpenWrt: cat /tmp/sysinfo/board_name

En as jo it antwurd krije "ûnbekend", dan moatte jo it apparaatmodel manuell opjaan yn 'e foarm "rb-951-2nd"

Om it apparaatmodel te krijen, útfiere it kommando

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

Nei it ûntfangen fan it apparaatmodel, ynstallearje it manuell:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

Dêrnei kinne jo it apparaat flashje fia de webynterface of mei it kommando "sysupgrade".

Meitsje in VPN-tsjinner mei WireGuard

As jo ​​al in tsjinner hawwe mei WireGuard ynsteld, kinne jo dizze stap oerslaan.
Ik sil de applikaasje brûke om in persoanlike VPN-tsjinner yn te stellen MyVPN.RUN oer de kat ik al publisearre in resinsje.

WireGuard Client konfigurearje op OpenWRT

Ferbine mei de router fia SSH-protokol:

ssh [email protected]

Ynstallearje WireGuard:

opkg update
opkg install wireguard

Tariede de konfiguraasje (kopiearje de koade hjirûnder nei in bestân, ferfange de opjûne wearden mei jo eigen en rinne yn 'e terminal).

As jo ​​​​MyVPN brûke, dan moatte jo yn 'e konfiguraasje hjirûnder allinich feroarje WG_SERV - Server IP WG_KEY - privee kaai út de wireguard konfiguraasje triem en WG_PUB - iepenbiere kaai.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

Dit foltôget de WireGuard-opset! No is alle ferkear op alle ferbûne apparaten beskerme troch in VPN-ferbining.

referinsjes

Boarne #1
Wizige ynstruksjes op MyVPN (ekstra beskikbere ynstruksjes foar it ynstellen fan L2TP, PPTP op standert Mikrotik-firmware)
OpenWrt WireGuard Client

Boarne: www.habr.com

Add a comment