A legtöbb esetben az útválasztó VPN-hez csatlakoztatása nem nehéz, de ha meg akarja védeni a teljes hálózatot, és egyidejűleg fenntartani az optimális kapcsolati sebességet, akkor a legjobb megoldás a VPN alagút használata. .
Routerek mikrotic megbízható és nagyon rugalmas megoldásoknak bizonyult, de sajnos még mindig nem, és nem tudni, mikor és milyen előadásban jelenik meg. Mostanában arról, amit a WireGuard VPN alagút fejlesztői javasoltak , amely VPN-alagút-szoftverüket a Linux kernel részévé teszi, reméljük, hogy ez hozzájárul majd a RouterOS rendszerbe való átvételéhez.
De egyelőre sajnos a WireGuard Mikrotik útválasztón történő konfigurálásához meg kell változtatnia a firmware-t.
Mikrotik villogása, OpenWrt telepítése és konfigurálása
Először meg kell győződnie arról, hogy az OpenWrt támogatja-e az Ön modelljét. Nézze meg, hogy egy modell megfelel-e a marketingnévnek és az arculatának .
Menjen az openwrt.com oldalra .
Ehhez az eszközhöz 2 fájlra van szükségünk:
Mindkét fájlt le kell töltenie: felszerel и frissítés.
1. Hálózat beállítása, letöltése és beállítása PXE szerver
letöltés Windows legújabb verziójához.
Csomagolja ki egy külön mappába. Adja hozzá a paramétert a config.ini fájlhoz rfc951=1 szakasz [dhcp]. Ez a paraméter minden Mikrotik modellnél ugyanaz.
Térjünk át a hálózati beállításokra: regisztrálnia kell egy statikus IP-címet a számítógép egyik hálózati interfészén.
IP-cím: 192.168.1.10
Hálózati maszk: 255.255.255.0
Fuss Apró PXE szerver az Adminisztrátor nevében, és válassza ki a mezőben DHCP szerver szerver címmel 192.168.1.10
A Windows egyes verzióiban ez az interfész csak Ethernet-csatlakozás után jelenik meg. Azt javaslom, hogy csatlakoztasson egy útválasztót, és azonnal cserélje ki az útválasztót és a számítógépet patch kábel segítségével.
Nyomja meg a "..." gombot (jobbra lent), és adja meg a mappát, ahová letöltötte a Mikrotik firmware fájljait.
Válasszon egy fájlt, amelynek neve "initramfs-kernel.bin vagy elf"-re végződik
2. Az útválasztó indítása a PXE szerverről
Csatlakoztatjuk a PC-t egy vezetékkel és a router első portjával (wan, internet, poe in, ...). Ezután fogunk egy fogpiszkálót, szúrjuk a lyukba a "Reset" felirattal.
Kapcsoljuk be az útválasztót, várjunk 20 másodpercet, majd engedjük el a fogpiszkálót.
A következő percen belül a következő üzeneteknek kell megjelenniük a Tiny PXE Server ablakban:
Ha megjelenik az üzenet, akkor jó irányba halad!
Állítsa vissza a hálózati adapter beállításait, és állítsa be a cím dinamikus fogadását (DHCP-n keresztül).
Csatlakoztassa a Mikrotik router LAN portjaihoz (esetünkben 2…5) ugyanazzal a patch kábellel. Csak kapcsolja át az 1. portról a 2. portra. Nyissa meg a címet a böngészőben.
Jelentkezzen be az OpenWRT adminisztrációs felületére, és lépjen a "Rendszer -> Biztonsági mentés/Flash firmware" menübe.
A "Flash new firmware image" alszakaszban kattintson a "Fájl kiválasztása (Tallózás)" gombra.
Adja meg a fájl elérési útját, amelynek neve "-squashfs-sysupgrade.bin"-re végződik.
Ezt követően kattintson a "Flash kép" gombra.
A következő ablakban kattintson a "Tovább" gombra. A firmware letöltése megkezdődik az útválasztóra.
!!! A FIRMWARE FOLYAMAT ALATT SEMMILYEN ESETÉN NE SZAKÍTSA LE A ROUTER Tápellátását !!!
A router villogása és újraindítása után megkapja a Mikrotik-ot OpenWRT firmware-rel.
Lehetséges problémák és megoldások
Sok 2019-ben kiadott Mikrotik eszköz GD25Q15 / Q16 típusú FLASH-NOR memóriachipet használ. A probléma az, hogy villogáskor a készülék modelljére vonatkozó adatok nem kerülnek mentésre.
Ha a következő hibaüzenetet látja: „A feltöltött képfájl nem tartalmaz támogatott formátumot. Ügyeljen arra, hogy az általános képformátumot válassza a platformhoz." akkor nagy valószínűséggel flashben van a probléma.
Ezt könnyű ellenőrizni: futtassa a parancsot a modellazonosító ellenőrzéséhez az eszközterminálon
root@OpenWrt: cat /tmp/sysinfo/board_nameÉs ha az "ismeretlen" választ kapja, akkor manuálisan kell megadnia az eszköz modelljét az "rb-951-2nd" formában.
Az eszköz modelljének lekéréséhez futtassa a parancsot
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndMiután megkapta a készülék modelljét, telepítse manuálisan:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameEzt követően a webes felületen vagy a "sysupgrade" paranccsal villogtathatja az eszközt
Hozzon létre egy VPN-kiszolgálót a WireGuard segítségével
Ha már rendelkezik WireGuard konfigurálással rendelkező kiszolgálóval, kihagyhatja ezt a lépést.
Az alkalmazást személyes VPN szerver beállítására fogom használni a macskáról én már .
A WireGuard Client konfigurálása az OpenWRT-n
Csatlakozás a routerhez SSH protokollon keresztül:
ssh [email protected]A WireGuard telepítése:
opkg update
opkg install wireguardKészítse elő a konfigurációt (másolja az alábbi kódot egy fájlba, cserélje ki a megadott értékeket sajátjára, és futtassa a terminálban).
Ha MyVPN-t használ, akkor az alábbi konfigurációban csak módosítania kell WG_SERV - Szerver IP WG_KEY - privát kulcs a vezetékvédő konfigurációs fájlból és WG_PUB - nyilvános kulcs.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartEzzel a WireGuard beállítás befejeződött! Mostantól az összes csatlakoztatott eszköz minden forgalmát VPN-kapcsolat védi.
referenciák
(további elérhető utasítások az L2TP, PPTP beállításához szabványos Mikrotik firmware-en)
Forrás: will.com