I bhformhór na gcásanna, níl sé deacair ródaire a nascadh le VPN, ach más mian leat an líonra iomlán a chosaint agus an luas nasc is fearr a choinneáil ag an am céanna, is é an réiteach is fearr ná tollán VPN a úsáid.
Ródairí Micreatach réitigh iontaofa agus an-solúbtha iad, ach ar an drochuair
Ach faoi láthair, ar an drochuair, chun WireGuard a chumrú ar ródaire Mikrotik, ní mór duit an firmware a athrú.
Gealánacha Mikrotik, suiteáil agus cumraíocht OpenWrt
Ar dtús ní mór duit a chinntiú go dtacaíonn OpenWrt le do mhúnla. Féach an bhfuil samhail ag teacht lena hainm margaíochta agus lena íomhá
Téigh go openwrt.com
Don ghléas seo, teastaíonn 2 chomhad uainn:
Ní mór duit an dá chomhad a íoslódáil: shuiteáil и uasghrádú.
1. Socrú líonra, íoslódáil agus socrú freastalaí PXE
Íoslódáil
Unzip chuig fillteán ar leith. Sa chomhad config.ini cuir an paraiméadar leis rfc951=1 alt [dhcp]. Tá an paraiméadar seo mar an gcéanna do gach samhlacha Mikrotik.
Bogfaimid ar aghaidh chuig na socruithe líonra: ní mór duit seoladh IP statach a chlárú ar cheann de chomhéadain líonra do ríomhaire.
Seoladh IP: 192.168.1.10
Measca glan: 255.255.255.0
Rith Freastalaí PXE beag bídeach thar ceann an Riarthóra agus roghnaigh sa réimse Freastalaí DHCP freastalaí le seoladh 192.168.1.10
Ar roinnt leaganacha de Windows, ní fhéadfaidh an comhéadan seo a bheith le feiceáil ach amháin tar éis nasc Ethernet. Molaim ródaire a nascadh agus an ródaire agus an ríomhaire a athrú láithreach ag baint úsáide as corda paiste.
Brúigh an cnaipe "..." (bun ar dheis) agus sonraigh an fillteán inar íoslódáil tú na comhaid firmware do Mikrotik.
Roghnaigh comhad a gcríochnaíonn a ainm le "initramfs-kernel.bin or elf"
2. Booting an ródaire ón bhfreastalaí PXE
Ceanglaíonn muid an ríomhaire le sreang agus an chéad phort (wan, internet, poe in, ...) den ródaire. Tar éis sin, glacaimid toothpick, greamaigh sé isteach sa pholl leis an inscríbhinn "Athshocraigh".
Casaimid ar chumhacht an ródaire agus fanacht 20 soicind, ansin scaoileadh an toothpick.
Laistigh den chéad nóiméad eile, ba cheart go mbeadh na teachtaireachtaí seo a leanas le feiceáil i bhfuinneog Tiny PXE Server:
Má tá an teachtaireacht le feiceáil, ansin tá tú sa treo ceart!
Athchóirigh na socruithe ar an adapter líonra agus socraigh chun an seoladh a fháil go dinimiciúil (trí DHCP).
Ceangail le calafoirt LAN an ródaire Mikrotik (2…5 inár gcás) ag baint úsáide as an téad paiste céanna. Ní gá ach é a aistriú ón 1ú port go dtí an 2ú calafort. Seoladh oscailte
Logáil isteach i gcomhéadan riaracháin OpenWRT agus téigh go dtí an roinn roghchláir "Córas -> Cúltaca / Firmware Flash"
Sa fho-alt "Flash íomhá firmware nua", cliceáil ar an gcnaipe "Roghnaigh comhad (Brabhsáil)".
Sonraigh an cosán chuig comhad a chríochnaíonn a ainm le "-squashfs-sysupgrade.bin".
Tar éis sin, cliceáil ar an gcnaipe "Flash Image".
Sa chéad fhuinneog eile, cliceáil ar an gcnaipe "Ar aghaidh". Tosóidh an firmware a íoslódáil chuig an ródaire.
!!! IN AON IMEACHTA NÁ DÍONN CUMHACHT AN ródaire le linn PHRÓISIS NA DTREOIRÍ !!!
Tar éis duit an ródaire a splancadh agus a atosú, gheobhaidh tú Mikrotik le firmware OpenWRT.
Fadhbanna agus réitigh féideartha
Úsáideann go leor feistí Mikrotik a scaoiltear in 2019 sliseanna cuimhne FLASH-NOR den chineál GD25Q15 / Q16. Is í an fhadhb atá ann, nuair a flashing, nach bhfuil sonraí faoi mhúnla an gléas a shábháil.
Má fheiceann tú an earráid "Níl formáid tacaithe sa chomhad íomhá uaslódáilte. Bí cinnte go roghnaíonn tú an fhormáid íomhá cineálach do d'ardán." ansin is dócha go bhfuil an fhadhb i flash.
Tá sé éasca é seo a sheiceáil: reáchtáil an t-ordú chun ID an mhúnla a sheiceáil i gcríochfort an fheiste
root@OpenWrt: cat /tmp/sysinfo/board_name
Agus má fhaigheann tú an freagra "anaithnid", ansin is gá duit a shonrú de láimh ar an tsamhail gléas san fhoirm "rb-951-2"
Chun múnla an fheiste a fháil, rith an t-ordú
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Tar éis múnla an fheiste a fháil, é a shuiteáil de láimh:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Tar éis sin, is féidir leat an gléas a splancadh tríd an gcomhéadan gréasáin nó ag baint úsáide as an ordú "sysupgrade".
Cruthaigh freastalaí VPN le WireGuard
Má tá freastalaí agat cheana féin le WireGuard cumraithe, is féidir leat an chéim seo a scipeáil.
Úsáidfidh mé an feidhmchlár chun freastalaí VPN pearsanta a bhunú
Cliant WireGuard a chumrú ar OpenWRT
Ceangail leis an ródaire trí phrótacal SSH:
ssh [email protected]
Suiteáil WireGuard:
opkg update
opkg install wireguard
Ullmhaigh an chumraíocht (cóipeáil an cód thíos chuig comhad, cuir do chuid féin in ionad na luachanna sonraithe agus reáchtáil sa chríochfort).
Má tá MyVPN á úsáid agat, sa chumraíocht thíos ní gá duit ach athrú WG_SERV - IP freastalaí WG_KEY - eochair phríobháideach ón gcomhad cumraíochta garda sreinge agus WG_PUB - eochair phoiblí.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Críochnaíonn sé seo an socrú WireGuard! Anois tá an trácht ar gach feiste nasctha cosanta ag nasc VPN.
tagairtí
Foinse: will.com