Na maioría dos casos, conectar un enrutador a unha VPN non é difícil, pero se queres protexer toda a rede e ao mesmo tempo manter unha velocidade de conexión óptima, a mellor solución é utilizar un túnel VPN. .
Enrutadores Micrótica demostraron ser solucións fiables e moi flexibles, pero por desgraza aínda non e non se sabe cando aparecerá e en que actuación. Recentemente sobre o que suxeriron os desenvolvedores do túnel VPN WireGuard , que fará que o seu software de túnel VPN forme parte do núcleo de Linux, esperamos que isto contribúa á adopción en RouterOS.
Pero por agora, por desgraza, para configurar WireGuard nun enrutador Mikrotik, cómpre cambiar o firmware.
Flashing Mikrotik, instalación e configuración de OpenWrt
Primeiro debes asegurarte de que OpenWrt admite o teu modelo. Vexa se un modelo coincide co seu nome e imaxe de mercadotecnia .
Vai a openwrt.com .
Para este dispositivo, necesitamos 2 ficheiros:
Debes descargar os dous ficheiros: Instalar и Mellorar.
1. Configuración da rede, descarga e configuración do servidor PXE
Descargar para a última versión de Windows.
Descomprimir nun cartafol separado. No ficheiro config.ini engade o parámetro rfc951=1 sección [dhcp]. Este parámetro é o mesmo para todos os modelos Mikrotik.
Pasemos á configuración de rede: cómpre rexistrar un enderezo IP estático nunha das interfaces de rede do seu ordenador.
Enderezo IP: 192.168.1.10
Máscara de rede: 255.255.255.0
Corre Servidor PXE pequeno en nome do Administrador e seleccione no campo Servidor DHCP servidor con enderezo 192.168.1.10
Nalgunhas versións de Windows, esta interface só pode aparecer despois dunha conexión Ethernet. Recomendo conectar un enrutador e cambiar inmediatamente o enrutador e o PC mediante un cable de conexión.
Prema o botón "..." (abaixo á dereita) e especifique o cartafol onde descargou os ficheiros de firmware para Mikrotik.
Escolla un ficheiro cuxo nome remate con "initramfs-kernel.bin ou elf"
2. Arrancar o router desde o servidor PXE
Conectamos o PC cun cable e o primeiro porto (wan, internet, poe in,...) do router. Despois diso, collemos un palito, pegámolo no burato coa inscrición "Reiniciar".
Acendemos o router e agardamos 20 segundos, despois soltamos o palito.
No minuto seguinte, deberían aparecer as seguintes mensaxes na xanela de Tiny PXE Server:
Se aparece a mensaxe, estás na dirección correcta!
Restablece a configuración do adaptador de rede e configúraa para recibir o enderezo de forma dinámica (a través de DHCP).
Conéctate aos portos LAN do router Mikrotik (2...5 no noso caso) usando o mesmo cable de conexión. Simplemente cámbiao do 1º porto ao 2º porto. Abrir enderezo no navegador.
Inicie sesión na interface administrativa de OpenWRT e vaia á sección de menú "Sistema -> Copia de seguranza/Firmware Flash"
Na subsección "Flash nova imaxe de firmware", faga clic no botón "Seleccionar ficheiro (Examinar)".
Especifique o camiño a un ficheiro cuxo nome remate con "-squashfs-sysupgrade.bin".
Despois diso, faga clic no botón "Imaxe Flash".
Na seguinte xanela, faga clic no botón "Proceder". O firmware comezará a descargarse no router.
!!! EN NINGÚN CASO NON DESCONECTE A ALIMENTACIÓN DO ENRUTADOR DURANTE O PROCESO DO FIRMWARE !!!
Despois de flashear e reiniciar o enrutador, recibirá Mikrotik co firmware OpenWRT.
Posibles problemas e solucións
Moitos dispositivos Mikrotik lanzados en 2019 usan un chip de memoria FLASH-NOR do tipo GD25Q15 / Q16. O problema é que ao parpadear, os datos sobre o modelo do dispositivo non se gardan.
Se ves o erro "O ficheiro de imaxe cargado non contén un formato compatible. Asegúrate de escoller o formato de imaxe xenérico para a túa plataforma". entón o máis probable é que o problema estea en flash.
É doado comprobar isto: executa o comando para comprobar o ID do modelo no terminal do dispositivo
root@OpenWrt: cat /tmp/sysinfo/board_nameE se obtén a resposta "descoñecido", entón debes especificar manualmente o modelo do dispositivo no formulario "rb-951-2nd"
Para obter o modelo do dispositivo, executa o comando
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndDespois de recibir o modelo do dispositivo, instáleo manualmente:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameDespois diso, pode flashear o dispositivo a través da interface web ou usando o comando "sysupgrade".
Crea un servidor VPN con WireGuard
Se xa tes un servidor con WireGuard configurado, podes omitir este paso.
Usarei a aplicación para configurar un servidor VPN persoal sobre o gato xa .
Configurando o cliente WireGuard en OpenWRT
Conéctese ao enrutador mediante o protocolo SSH:
ssh [email protected]Instalar WireGuard:
opkg update
opkg install wireguardPrepare a configuración (copie o código a continuación nun ficheiro, substitúa os valores especificados polos seus propios e execute no terminal).
Se estás a usar MyVPN, na configuración a continuación só tes que cambiar WG_SERV - IP do servidor WG_KEY - chave privada do ficheiro de configuración de wireguard e WG_PUB - chave pública.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartIsto completa a configuración de WireGuard! Agora todo o tráfico en todos os dispositivos conectados está protexido por unha conexión VPN.
referencias
(Instrucións adicionais dispoñibles para configurar L2TP, PPTP no firmware estándar de Mikrotik)
Fonte: www.habr.com