Շատ դեպքերում երթուղիչը VPN-ին միացնելը դժվար չէ, բայց եթե ցանկանում եք պաշտպանել ամբողջ ցանցը և միևնույն ժամանակ պահպանել կապի օպտիմալ արագությունը, ապա լավագույն լուծումը VPN թունել օգտագործելն է։
Երթուղիչներ Միկրոտիկ ապացուցեցին, որ հուսալի և շատ ճկուն լուծումներ են, բայց ցավոք
Բայց առայժմ, ցավոք, Mikrotik երթուղիչի վրա WireGuard-ը կարգավորելու համար հարկավոր է փոխել որոնվածը:
Թարթում է Mikrotik-ը, տեղադրում և կարգավորում OpenWrt-ը
Նախ պետք է համոզվեք, որ OpenWrt-ն աջակցում է ձեր մոդելին: Տեսեք՝ արդյոք մոդելը համապատասխանում է իր մարքեթինգային անվանն ու պատկերին
Գնացեք openwrt.com
Այս սարքի համար մեզ անհրաժեշտ է 2 ֆայլ.
Դուք պետք է ներբեռնեք երկու ֆայլերը. Տեղադրեք и Բարձրացնել.
1. Ցանցի կարգավորում, ներբեռնում և կարգավորում PXE սերվեր
Ներբեռնեք
Unzip առանձին թղթապանակ: Config.ini ֆայլում ավելացրեք պարամետրը rfc951=1 Բաժին [dhcp]. Այս պարամետրը նույնն է Mikrotik-ի բոլոր մոդելների համար:
Եկեք անցնենք ցանցի կարգավորումներին. անհրաժեշտ է գրանցել ստատիկ ip հասցե ձեր համակարգչի ցանցային ինտերֆեյսներից մեկում:
IP հասցե՝ 192.168.1.10
Ցանցային դիմակ՝ 255.255.255.0
Վազել Փոքրիկ PXE սերվեր Ադմինիստրատորի անունից և դաշտում ընտրեք DHCP սերվեր հասցեով սերվեր 192.168.1.10
Windows-ի որոշ տարբերակներում այս ինտերֆեյսը կարող է հայտնվել միայն Ethernet միացումից հետո: Ես խորհուրդ եմ տալիս միացնել երթուղիչը և անմիջապես միացնել երթուղիչը և համակարգիչը՝ օգտագործելով կարկատել:
Սեղմեք «...» կոճակը (ներքևում աջ) և նշեք այն թղթապանակը, որտեղ ներբեռնել եք Mikrotik-ի որոնվածը ֆայլերը:
Ընտրեք մի ֆայլ, որի անունը վերջանում է «initramfs-kernel.bin կամ elf»-ով:
2. Երթուղիչի բեռնում PXE սերվերից
Մենք համակարգիչը միացնում ենք մետաղալարով և երթուղիչի առաջին պորտով (wan, internet, poe in, ...): Դրանից հետո վերցնում ենք ատամհատիկ, կպցնում անցքի մեջ՝ «Վերականգնել» մակագրությամբ։
Միացնում ենք երթուղիչի հզորությունը և սպասում 20 վայրկյան, ապա բաց թողնում ատամհատիկը։
Հաջորդ րոպեի ընթացքում Tiny PXE Server պատուհանում պետք է հայտնվեն հետևյալ հաղորդագրությունները.
Եթե հաղորդագրությունը հայտնվում է, ուրեմն դուք ճիշտ ուղղությամբ եք:
Վերականգնեք ցանցային ադապտերի կարգավորումները և դրեք հասցեն դինամիկ կերպով ստանալու համար (DHCP-ի միջոցով):
Միացեք Mikrotik երթուղիչի LAN պորտերին (մեր դեպքում՝ 2…5)՝ օգտագործելով նույն կարկատելը: Պարզապես միացրեք այն 1-ին պորտից 2-րդ պորտին: Բացել հասցեն
Մուտք գործեք OpenWRT ադմինիստրատիվ ինտերֆեյս և անցեք «System -> Backup/Flash Firmware» ցանկի բաժինը:
«Ֆլեշ նոր որոնվածի պատկեր» ենթաբաժնում սեղմեք «Ընտրել ֆայլը (Փնտրել)» կոճակը։
Նշեք ֆայլի ուղին, որի անունը վերջանում է «-squashfs-sysupgrade.bin»-ով:
Դրանից հետո սեղմեք «Flash Image» կոճակը:
Հաջորդ պատուհանում սեղմեք «Շարունակել» կոճակը: Որոնվածը կսկսի ներբեռնել երթուղիչ:
!!! ՈՉ ՄԻ ԴԵՊՔՈՒՄ ՄԻ ԱՆՋԱՏԵՔ երթուղիչի հոսանքազրկումը ծրագրային պրոցեսի ընթացքում !!!
Երթուղիչը թարթելուց և վերագործարկելուց հետո դուք կստանաք Mikrotik OpenWRT որոնվածով:
Հնարավոր խնդիրներ և լուծումներ
2019 թվականին թողարկված շատ Mikrotik սարքեր օգտագործում են GD25Q15 / Q16 տիպի FLASH-NOR հիշողության չիպ: Խնդիրն այն է, որ թարթելիս սարքի մոդելի մասին տվյալները չեն պահպանվում։
Եթե տեսնում եք սխալ «Վերբեռնված պատկերի ֆայլը չի պարունակում աջակցվող ձևաչափ: Համոզվեք, որ դուք ընտրել եք ընդհանուր պատկերի ձևաչափը ձեր հարթակի համար»: ապա, ամենայն հավանականությամբ, խնդիրը ֆլեշում է:
Սա հեշտ է ստուգել. գործարկեք հրամանը՝ սարքի տերմինալում մոդելի ID-ն ստուգելու համար
root@OpenWrt: cat /tmp/sysinfo/board_name
Եվ եթե դուք ստանում եք «անհայտ» պատասխանը, ապա դուք պետք է ձեռքով նշեք սարքի մոդելը «rb-951-2nd» ձևով:
Սարքի մոդելը ստանալու համար գործարկեք հրամանը
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Սարքի մոդելը ստանալուց հետո տեղադրեք այն ձեռքով.
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Դրանից հետո սարքը կարող եք վեբ ինտերֆեյսի միջոցով կամ «sysupgrade» հրամանի միջոցով թարթել
Ստեղծեք VPN սերվեր WireGuard-ով
Եթե դուք արդեն ունեք WireGuard կազմաձևված սերվեր, կարող եք բաց թողնել այս քայլը:
Ես կօգտագործեմ հավելվածը անձնական VPN սերվեր ստեղծելու համար
WireGuard Client-ի կարգավորում OpenWRT-ում
Միացեք երթուղիչին SSH արձանագրության միջոցով.
ssh [email protected]
Տեղադրեք WireGuard-ը.
opkg update
opkg install wireguard
Պատրաստեք կոնֆիգուրացիան (պատճենեք ստորև բերված կոդը ֆայլում, փոխարինեք նշված արժեքները ձեր արժեքներով և գործարկեք տերմինալում):
Եթե դուք օգտագործում եք MyVPN, ապա ներքևի կազմաձևում ձեզ միայն անհրաժեշտ է փոխել WG_SERV - Սերվերի IP WG_KEY - մասնավոր բանալին wireguard-ի կազմաձևման ֆայլից և WG_PUB - հանրային բանալին:
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Սա ավարտում է WireGuard-ի կարգավորումը: Այժմ բոլոր միացված սարքերի երթևեկությունը պաշտպանված է VPN կապով:
Սայլակ
Source: www.habr.com