A’ stèidheachadh WireGuard air router Mikrotik a’ ruith OpenWrt

Anns a 'mhòr-chuid de chùisean, chan eil e doirbh a bhith a' ceangal router ri VPN, ach ma tha thu airson an lìonra gu lèir a dhìon agus aig an aon àm an astar ceangail as fheàrr a chumail suas, is e am fuasgladh as fheàrr tunail VPN a chleachdadh Air adhart gu clàr na làraich.

Routers Mikrotik air a bhith nan fuasglaidhean earbsach agus gu math sùbailte, ach gu mì-fhortanach Taic WireGurd air RouterOS chan eil fhathast agus chan eil fios cuin a nochdas e agus dè an coileanadh. O chionn ghoirid dh'fhàs e aithnichte mu na mhol luchd-leasachaidh an tunail WireGuard VPN seata paiste, a nì am bathar-bog tunail VPN aca mar phàirt den kernel Linux, tha sinn an dòchas gun cuir seo ris an uchd-mhacachd ann an RouterOS.

Ach airson a-nis, gu mì-fhortanach, gus WireGuard a rèiteachadh air router Mikrotik, feumaidh tu am firmware atharrachadh.

A’ frasadh Mikrotik, a’ stàladh agus a’ rèiteachadh OpenWrt

An toiseach feumaidh tu dèanamh cinnteach gu bheil OpenWrt a’ toirt taic don mhodail agad. Feuch a bheil modail a rèir an ainm margaidheachd agus an ìomhaigh aige faodaidh tu tadhal air mikrotik.com.

Rach gu openwrt.com gu roinn luchdachadh sìos firmware.

Airson an inneal seo, feumaidh sinn 2 fhaidhle:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

Feumaidh tu an dà fhaidhle a luchdachadh sìos: Stàlaich и ùrachadh.

1. Network setup, download agus setup PXE fhrithealaiche

Luchdaich sìos Frithealaiche beag PXE airson Windows tionndadh as ùire.

Unzip gu pasgan air leth. Anns an fhaidhle config.ini cuir am paramadair rfc951=1 earrann [dhcp]. Tha am paramadair seo mar an ceudna airson a h-uile modal Mikrotik.

Nach gluais sinn air adhart gu roghainnean an lìonraidh: feumaidh tu seòladh ip statach a chlàradh air aon de eadar-aghaidh lìonra a’ choimpiutair agad.

Seòladh IP: 192.168.1.10
Netmask: 255.255.255.0

Ruith Frithealaiche beag PXE às leth an Rianaire agus tagh san raon Neach-frithealaidh DHCP frithealaiche le seòladh 192.168.1.10

Air cuid de dhreachan de Windows, chan fhaod an eadar-aghaidh seo nochdadh ach às deidh ceangal Ethernet. Tha mi a 'moladh a bhith a' ceangal router agus ag atharrachadh an rothaiche agus am PC sa bhad a 'cleachdadh crann-clèithe.

Brùth am putan “...” (gu h-ìosal air an làimh dheis) agus sònraich am pasgan far an do luchdaich thu sìos na faidhlichean firmware airson Mikrotik.

Tagh faidhle leis an ainm a’ crìochnachadh le “initramfs-kernel.bin or elf”

2. Booting an router bhon fhrithealaiche PXE

Bidh sinn a 'ceangal a' PC le uèir agus a 'chiad phort (wan, eadar-lìon, poe a-steach, ...) den router. Às deidh sin, bidh sinn a 'toirt poca fhiaclan, ga chuir a-steach don toll leis an sgrìobhadh "Ath-shuidheachadh".

Bidh sinn a 'tionndadh air cumhachd an rothaiche agus a' feitheamh 20 diog, agus an uairsin a 'leigeil às a' phìob fhiaclan.
Taobh a-staigh an ath mhionaid, bu chòir na teachdaireachdan a leanas nochdadh ann an uinneag Tiny PXE Server:

Ma nochdas an teachdaireachd, tha thu air an t-slighe cheart!

Thoir air ais na roghainnean air an adapter lìonra agus suidhich gus an seòladh fhaighinn gu dinamach (tro DHCP).

Ceangail ri puirt LAN an router Mikrotik (2… 5 sa chùis againn) a’ cleachdadh an aon sreang paiste. Dìreach gluais e bhon 1d port gu 2na port. Seòladh fosgailte 192.168.1.1 sa bhrobhsair.

Log a-steach don eadar-aghaidh rianachd OpenWRT agus rach chun roinn clàr “System -> Backup / Flash Firmware”

Anns an fho-earrann "Flash image firmware ùr", cliog air a 'phutan "Tagh faidhle (Browse)".

Sònraich an t-slighe gu faidhle aig a bheil ainm a’ crìochnachadh le “-squashfs-sysupgrade.bin”.

Às deidh sin, cliog air a’ phutan “Flash Image”.

Anns an ath uinneag, briog air a 'phutan "Air adhart". Tòisichidh am firmware a luchdachadh sìos chun router.

!!! CHAN EIL AON TACHARTAS NA cuir às do chumhachd an router ri linn Pròiseas Bathar-cruaidh !!!

Às deidh dhut an router a lasadh agus ath-thòiseachadh, gheibh thu Mikrotik le firmware OpenWRT.

Duilgheadasan agus fuasglaidhean a dh’ fhaodadh a bhith ann

Bidh mòran de dh ’innealan Mikrotik a chaidh an leigeil ma sgaoil ann an 2019 a’ cleachdadh chip cuimhne FLASH-NOR den t-seòrsa GD25Q15 / Q16. Is e an duilgheadas a th’ ann, nuair a bhios tu a’ frasadh, nach tèid dàta mun mhodail inneal a shàbhaladh.

Ma chì thu a’ mhearachd “Chan eil cruth le taic anns an fhaidhle dealbh a chaidh a luchdachadh suas. Dèan cinnteach gun tagh thu an cruth ìomhaigh coitcheann airson an àrd-ùrlar agad." an uairsin is coltaiche gu bheil an duilgheadas ann am flash.

Tha e furasta seo a dhearbhadh: ruith an àithne gus sùil a thoirt air ID a’ mhodail ann an inneal-crìochnachaidh an uidheim

root@OpenWrt: cat /tmp/sysinfo/board_name

Agus ma gheibh thu am freagairt "neo-aithnichte", feumaidh tu modal an uidheim a shònrachadh le làimh san fhoirm "rb-951-2nd"

Gus am modail inneal fhaighinn, ruith an àithne

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

Às deidh dhut am modail inneal fhaighinn, stàlaich e le làimh:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

Às deidh sin, faodaidh tu an inneal a lasadh tron ​​​​eadar-aghaidh lìn no a ’cleachdadh an àithne“ sysupgrade ”.

Cruthaich frithealaiche VPN le WireGuard

Ma tha frithealaiche agad mu thràth le WireGuard air a rèiteachadh, faodaidh tu an ceum seo a leum.
Cleachdaidh mi an aplacaid gus frithealaiche VPN pearsanta a stèidheachadh MyVPN.RUN mun chat a tha mi mu thràth fhoillseachadh lèirmheas.

A’ rèiteachadh Client WireGuard air OpenWRT

Ceangail ris an router tro phròtacal SSH:

ssh [email protected]

Stàlaich WireGuard:

opkg update
opkg install wireguard

Ullaich an rèiteachadh (dèan lethbhreac den chòd gu h-ìosal gu faidhle, cuir do chuid fhèin an àite na luachan ainmichte agus ruith san inneal-crìochnachaidh).

Ma tha thu a’ cleachdadh MyVPN, an uairsin anns an rèiteachadh gu h-ìosal chan fheum thu ach atharrachadh WG_SERV - IP frithealaiche WG_KEY - iuchair phrìobhaideach bhon fhaidhle rèiteachaidh geàrd-uèir agus WG_PUB - iuchair phoblach.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

Bidh seo a’ crìochnachadh suidheachadh WireGuard! A-nis tha a h-uile trafaic air a h-uile inneal ceangailte air a dhìon le ceangal VPN.

iomraidhean

Stòr #1
Stiùireadh atharraichte air MyVPN (stiùireadh a bharrachd ri fhaighinn airson a bhith a’ stèidheachadh L2TP, PPTP air firmware àbhaisteach Mikrotik)
Client OpenWrt WireGuard

Source: www.habr.com