U većini slučajeva povezivanje rutera s VPN-om nije teško, no ako želite zaštititi cijelu mrežu i pritom održati optimalnu brzinu veze, onda je najbolje rješenje koristiti VPN tunel .
Usmjerivači MikroTik pokazali su se pouzdanim i vrlo fleksibilnim rješenjima, ali nažalost još uvijek nije i ne zna se kada će se pojaviti i u kakvoj izvedbi. Nedavno o tome što su programeri WireGuard VPN tunela predložili , koji će njihov softver za VPN tuneliranje učiniti dijelom Linux kernela, nadamo se da će to pridonijeti usvajanju u RouterOS-u.
Ali za sada, nažalost, da biste konfigurirali WireGuard na Mikrotik usmjerivaču, morate promijeniti firmware.
Flashing Mikrotik, instalacija i konfiguracija OpenWrt-a
Najprije morate biti sigurni da OpenWrt podržava vaš model. Provjerite odgovara li model njegovom marketinškom nazivu i slici .
Idite na openwrt.com .
Za ovaj uređaj trebaju nam 2 datoteke:
Morate preuzeti obje datoteke: Instalirati и Nadogradnja.
1. Postavljanje mreže, preuzimanje i postavljanje PXE poslužitelja
preuzimanje datoteka za najnoviju verziju sustava Windows.
Raspakirajte u zasebnu mapu. U datoteku config.ini dodajte parametar rfc951=1 odjeljak [dhcp]. Ovaj parametar je isti za sve Mikrotik modele.
Prijeđimo na mrežne postavke: trebate registrirati statičku IP adresu na jednom od mrežnih sučelja vašeg računala.
IP adresa: 192.168.1.10
Mrežna maska: 255.255.255.0
Trčanje Mali PXE poslužitelj u ime Administratora i odaberite u polju DHCP poslužitelj poslužitelj s adresom 192.168.1.10
Na nekim verzijama sustava Windows ovo se sučelje može pojaviti tek nakon Ethernet veze. Preporučam povezivanje usmjerivača i odmah prebacivanje usmjerivača i računala pomoću patch kabela.
Pritisnite gumb "..." (dolje desno) i odredite mapu u koju ste preuzeli firmware datoteke za Mikrotik.
Odaberite datoteku čije ime završava s "initramfs-kernel.bin ili elf"
2. Dizanje usmjerivača s PXE poslužitelja
Spojimo PC žicom i prvi port (wan, internet, poe in, ...) rutera. Nakon toga uzmemo čačkalicu, zabodemo je u rupu s natpisom "Reset".
Uključimo napajanje rutera i pričekamo 20 sekundi, a zatim otpustimo čačkalicu.
Unutar sljedeće minute, sljedeće bi se poruke trebale pojaviti u prozoru Tiny PXE poslužitelja:
Ako se poruka pojavi, onda ste na dobrom putu!
Vratite postavke na mrežnom adapteru i postavite dinamičko primanje adrese (preko DHCP-a).
Spojite se na LAN portove Mikrotik routera (2…5 u našem slučaju) koristeći isti patch kabel. Samo ga prebacite s 1. priključka na 2. priključak. Otvorena adresa u pregledniku.
Prijavite se na OpenWRT administrativno sučelje i idite na odjeljak izbornika "Sustav -> Sigurnosna kopija/Flash firmware"
U pododjeljku "Flash new firmware image" kliknite gumb "Select file (Browse)".
Navedite stazu do datoteke čije ime završava s "-squashfs-sysupgrade.bin".
Nakon toga kliknite gumb "Flash Image".
U sljedećem prozoru kliknite gumb "Nastavi". Firmware će se početi preuzimati na usmjerivač.
!!! NI U KOJEM SLUČAJU NEMOJTE ISKLJUČIVATI NAPAJANJE RUTERA TIJEKOM PROCESA Firmvera !!!
Nakon flashanja i ponovnog dizanja routera dobit ćete Mikrotik s OpenWRT firmwareom.
Mogući problemi i rješenja
Mnogi Mikrotik uređaji izdani 2019. koriste FLASH-NOR memorijski čip tipa GD25Q15 / Q16. Problem je što se prilikom treptanja podaci o modelu uređaja ne spremaju.
Ako vidite pogrešku "Učitana slikovna datoteka ne sadrži podržani format. Provjerite jeste li odabrali generički format slike za svoju platformu." onda je najvjerojatnije problem u flashu.
To je lako provjeriti: pokrenite naredbu za provjeru ID-a modela na terminalu uređaja
root@OpenWrt: cat /tmp/sysinfo/board_nameA ako dobijete odgovor "nepoznato", morate ručno navesti model uređaja u obliku "rb-951-2nd"
Da biste dobili model uređaja, pokrenite naredbu
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndNakon što primite model uređaja, instalirajte ga ručno:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameNakon toga možete flash uređaj putem web sučelja ili pomoću naredbe "sysupgrade".
Stvorite VPN poslužitelj s WireGuardom
Ako već imate poslužitelj s konfiguriranim WireGuardom, možete preskočiti ovaj korak.
Aplikaciju ću koristiti za postavljanje osobnog VPN poslužitelja o mački sam već .
Konfiguriranje WireGuard klijenta na OpenWRT-u
Spojite se na ruter putem SSH protokola:
ssh [email protected]Instalirajte WireGuard:
opkg update
opkg install wireguardPripremite konfiguraciju (kopirajte donji kod u datoteku, zamijenite navedene vrijednosti svojima i pokrenite u terminalu).
Ako koristite MyVPN, tada u donjoj konfiguraciji trebate samo promijeniti WG_SERV - IP poslužitelja WG_KEY - privatni ključ iz konfiguracijske datoteke wireguarda i WG_PUB - javni ključ.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartOvo dovršava postavljanje WireGuarda! Sada je sav promet na svim povezanim uređajima zaštićen VPN vezom.
reference
(dodatno dostupne upute za postavljanje L2TP, PPTP na standardni Mikrotik firmware)
Izvor: www.habr.com