Nan pifò ka yo, konekte yon routeur nan yon VPN se pa difisil, men si ou vle pwoteje tout rezo a epi an menm tan kenbe vitès koneksyon optimal, Lè sa a, solisyon an pi bon se sèvi ak yon tinèl VPN. .
Routeurs mikrotik pwouve yo dwe solisyon serye ak trè fleksib, men malerezman toujou pa epi li pa konnen ki lè li pral parèt ak nan ki pèfòmans. Dènyèman sou sa devlopè yo nan tinèl WireGuard VPN sijere , ki pral fè lojisyèl tinèl VPN yo yon pati nan nwayo Linux la, nou espere ke sa a pral kontribye nan adopsyon an nan RouterOS.
Men, pou kounye a, malerezman, konfigirasyon WireGuard sou yon routeur Mikrotik, ou bezwen chanje firmwèr la.
Flashing Mikrotik, enstale ak konfigirasyon OpenWrt
Premyèman, ou bezwen asire w ke OpenWrt sipòte modèl ou a. Gade si yon modèl matche ak non maketing li ak imaj .
Ale nan openwrt.com .
Pou aparèy sa a, nou bezwen 2 fichye:
Ou bezwen telechaje tou de fichye yo: Enstale и Upgrade.
1. Rezo konfigirasyon, telechaje ak konfigirasyon sèvè PXE
Download pou Windows dènye vèsyon an.
Dézip nan yon katab separe. Nan dosye a config.ini ajoute paramèt la rfc951=1 seksyon [dhcp]. Paramèt sa a se menm bagay la pou tout modèl Mikrotik.
Ann ale nan anviwònman rezo yo: ou bezwen anrejistre yon adrès IP estatik sou youn nan rezo interfaces nan òdinatè w lan.
Adrès IP: 192.168.1.10
Netmask: 255.255.255.0
Kouri Ti sèvè PXE sou non Administratè a epi chwazi nan jaden an DHCP sèvè sèvè ak adrès 192.168.1.10
Sou kèk vèsyon nan Windows, koòdone sa a ka parèt sèlman apre yon koneksyon Ethernet. Mwen rekòmande konekte yon routeur epi imedyatman chanje routeur la ak PC lè l sèvi avèk yon kòd patch.
Peze bouton an "..." (anba adwat) epi presize katab kote ou telechaje fichye firmwèr yo pou Mikrotik.
Chwazi yon dosye ki gen non fini ak "initramfs-kernel.bin oswa elf"
2. Bòt routeur la nan sèvè PXE la
Nou konekte PC a ak yon fil ak premye pò (wan, entènèt, poe nan, ...) nan routeur la. Apre sa, nou pran yon dan, kole li nan twou a ak inscription "Reset".
Nou vire sou pouvwa routeur la epi tann 20 segonn, Lè sa a, lage toothpick la.
Nan minit kap vini an, mesaj sa yo ta dwe parèt nan fenèt Tiny PXE sèvè a:
Si mesaj la parèt, Lè sa a, ou nan bon direksyon an!
Retabli anviwònman yo sou adaptè rezo a epi mete yo pou resevwa adrès la dinamik (via DHCP).
Konekte nan pò LAN routeur Mikrotik (2...5 nan ka nou an) lè l sèvi avèk menm kòd patch la. Jis chanje li soti nan 1ye pò a 2yèm pò. Louvri adrès nan navigatè a.
Konekte nan koòdone administratif OpenWRT epi ale nan seksyon meni "System -> Backup/Flash Firmware"
Nan seksyon "Flash nouvo firmwèr imaj la", klike sou bouton "Chwazi fichye (Browse)".
Espesifye chemen an nan yon dosye ki gen non fini ak "-squashfs-sysupgrade.bin".
Apre sa, klike sou bouton "Flash Imaj".
Nan pwochen fennèt la, klike sou bouton "Kontinye". Firmware a pral kòmanse telechaje sou routeur la.
!!! NAN OKENN KA PA DEKONEKTE PUISSAN ROUTE A PANDAN PWOSESIS FIRMWARE LA !!!
Apre flache ak rdemare routeur la, ou pral resevwa Mikrotik ak OpenWRT firmwèr.
Pwoblèm posib ak solisyon yo
Anpil aparèy Mikrotik ki te pibliye an 2019 sèvi ak yon chip memwa FLASH-NOR kalite GD25Q15 / Q16. Pwoblèm lan se ke lè flache, done sou modèl aparèy la pa sove.
Si w wè erè a "Fichiye imaj ki telechaje a pa genyen yon fòma sipòte. Asire w ke ou chwazi fòma imaj jenerik pou platfòm ou a." Lè sa a, gen plis chans pwoblèm nan se nan flash.
Li fasil pou tcheke sa a: kouri lòd la tcheke ID modèl la nan tèminal aparèy la
root@OpenWrt: cat /tmp/sysinfo/board_nameMen, si ou jwenn repons lan "enkoni", Lè sa a, ou bezwen manyèlman presize modèl aparèy la nan fòm nan "rb-951-2nd"
Pou jwenn modèl aparèy la, kouri lòd la
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndApre ou fin resevwa modèl aparèy la, enstale li manyèlman:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameApre sa, ou ka flash aparèy la atravè koòdone entènèt la oswa lè l sèvi avèk "sysupgrade" lòd la
Kreye yon sèvè VPN ak WireGuard
Si ou deja gen yon sèvè ak WireGuard configuré, ou ka sote etap sa a.
Mwen pral sèvi ak aplikasyon an pou mete sou pye yon sèvè VPN pèsonèl sou chat mwen deja .
Konfigirasyon WireGuard Kliyan sou OpenWRT
Konekte ak routeur la atravè pwotokòl SSH:
ssh [email protected]Enstale WireGuard:
opkg update
opkg install wireguardPrepare konfigirasyon an (kopi kòd ki anba a nan yon dosye, ranplase valè yo espesifye ak pwòp ou a epi kouri nan tèminal la).
Si w ap itilize MyVPN, Lè sa a, nan konfigirasyon ki anba a ou sèlman bezwen chanje WG_SERV - IP sèvè WG_KEY - kle prive ki soti nan fichye konfigirasyon wireguard la ak WG_PUB - kle piblik.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartSa a konplete konfigirasyon WireGuard la! Koulye a, tout trafik sou tout aparèy konekte pwoteje pa yon koneksyon VPN.
Referans
(Anplis enstriksyon ki disponib pou mete L2TP, PPTP sou firmwèr estanda Mikrotik)
Sous: www.habr.com