WireGuard-ի կարգավորում OpenWrt-ով աշխատող Mikrotik երթուղիչի վրա

Շատ դեպքերում երթուղիչը VPN-ին միացնելը դժվար չէ, բայց եթե ցանկանում եք պաշտպանել ամբողջ ցանցը և միևնույն ժամանակ պահպանել կապի օպտիմալ արագությունը, ապա լավագույն լուծումը VPN թունել օգտագործելն է։ WireGuard- ը.

Երթուղիչներ Միկրոտիկ ապացուցեցին, որ հուսալի և շատ ճկուն լուծումներ են, բայց ցավոք WireGurd-ի աջակցություն RouterOS-ում դեռ ոչ և հայտնի չէ, թե երբ այն կհայտնվի և ինչ ներկայացմամբ։ Վերջերս այն հայտնի դարձավ այն մասին, թե ինչ են առաջարկել WireGuard VPN թունելի մշակողները կարկատել հավաքածու, ինչը նրանց VPN թունելային ծրագրակազմը կդարձնի Linux միջուկի մաս, մենք հուսով ենք, որ դա կնպաստի RouterOS-ի ընդունմանը:

Բայց առայժմ, ցավոք, Mikrotik երթուղիչի վրա WireGuard-ը կարգավորելու համար հարկավոր է փոխել որոնվածը:

Թարթում է Mikrotik-ը, տեղադրում և կարգավորում OpenWrt-ը

Նախ պետք է համոզվեք, որ OpenWrt-ն աջակցում է ձեր մոդելին: Տեսեք՝ արդյոք մոդելը համապատասխանում է իր մարքեթինգային անվանն ու պատկերին կարող եք այցելել mikrotik.com.

Գնացեք openwrt.com դեպի որոնվածը ներբեռնելու բաժին.

Այս սարքի համար մեզ անհրաժեշտ է 2 ֆայլ.

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

Դուք պետք է ներբեռնեք երկու ֆայլերը. Տեղադրեք и Բարձրացնել.

1. Ցանցի կարգավորում, ներբեռնում և կարգավորում PXE սերվեր

Ներբեռնեք Փոքրիկ PXE սերվեր Windows-ի վերջին տարբերակի համար:

Unzip առանձին թղթապանակ: Config.ini ֆայլում ավելացրեք պարամետրը rfc951=1 Բաժին [dhcp]. Այս պարամետրը նույնն է Mikrotik-ի բոլոր մոդելների համար:

Եկեք անցնենք ցանցի կարգավորումներին. անհրաժեշտ է գրանցել ստատիկ ip հասցե ձեր համակարգչի ցանցային ինտերֆեյսներից մեկում:

IP հասցե՝ 192.168.1.10
Ցանցային դիմակ՝ 255.255.255.0

Վազել Փոքրիկ PXE սերվեր Ադմինիստրատորի անունից և դաշտում ընտրեք DHCP սերվեր հասցեով սերվեր 192.168.1.10

Windows-ի որոշ տարբերակներում այս ինտերֆեյսը կարող է հայտնվել միայն Ethernet միացումից հետո: Ես խորհուրդ եմ տալիս միացնել երթուղիչը և անմիջապես միացնել երթուղիչը և համակարգիչը՝ օգտագործելով կարկատել:

Սեղմեք «...» կոճակը (ներքևում աջ) և նշեք այն թղթապանակը, որտեղ ներբեռնել եք Mikrotik-ի որոնվածը ֆայլերը:

Ընտրեք մի ֆայլ, որի անունը վերջանում է «initramfs-kernel.bin կամ elf»-ով:

2. Երթուղիչի բեռնում PXE սերվերից

Մենք համակարգիչը միացնում ենք մետաղալարով և երթուղիչի առաջին պորտով (wan, internet, poe in, ...): Դրանից հետո վերցնում ենք ատամհատիկ, կպցնում անցքի մեջ՝ «Վերականգնել» մակագրությամբ։

Միացնում ենք երթուղիչի հզորությունը և սպասում 20 վայրկյան, ապա բաց թողնում ատամհատիկը։
Հաջորդ րոպեի ընթացքում Tiny PXE Server պատուհանում պետք է հայտնվեն հետևյալ հաղորդագրությունները.

Եթե ​​հաղորդագրությունը հայտնվում է, ուրեմն դուք ճիշտ ուղղությամբ եք:

Վերականգնեք ցանցային ադապտերի կարգավորումները և դրեք հասցեն դինամիկ կերպով ստանալու համար (DHCP-ի միջոցով):

Միացեք Mikrotik երթուղիչի LAN պորտերին (մեր դեպքում՝ 2…5)՝ օգտագործելով նույն կարկատելը: Պարզապես միացրեք այն 1-ին պորտից 2-րդ պորտին: Բացել հասցեն 192.168.1.1 բրաուզերում:

Մուտք գործեք OpenWRT ադմինիստրատիվ ինտերֆեյս և անցեք «System -> Backup/Flash Firmware» ցանկի բաժինը:

«Ֆլեշ նոր որոնվածի պատկեր» ենթաբաժնում սեղմեք «Ընտրել ֆայլը (Փնտրել)» կոճակը։

Նշեք ֆայլի ուղին, որի անունը վերջանում է «-squashfs-sysupgrade.bin»-ով:

Դրանից հետո սեղմեք «Flash Image» կոճակը:

Հաջորդ պատուհանում սեղմեք «Շարունակել» կոճակը: Որոնվածը կսկսի ներբեռնել երթուղիչ:

!!! ՈՉ ՄԻ ԴԵՊՔՈՒՄ ՄԻ ԱՆՋԱՏԵՔ երթուղիչի հոսանքազրկումը ծրագրային պրոցեսի ընթացքում !!!

Երթուղիչը թարթելուց և վերագործարկելուց հետո դուք կստանաք Mikrotik OpenWRT որոնվածով:

Հնարավոր խնդիրներ և լուծումներ

2019 թվականին թողարկված շատ Mikrotik սարքեր օգտագործում են GD25Q15 / Q16 տիպի FLASH-NOR հիշողության չիպ: Խնդիրն այն է, որ թարթելիս սարքի մոդելի մասին տվյալները չեն պահպանվում։

Եթե ​​տեսնում եք սխալ «Վերբեռնված պատկերի ֆայլը չի ​​պարունակում աջակցվող ձևաչափ: Համոզվեք, որ դուք ընտրել եք ընդհանուր պատկերի ձևաչափը ձեր հարթակի համար»: ապա, ամենայն հավանականությամբ, խնդիրը ֆլեշում է:

Սա հեշտ է ստուգել. գործարկեք հրամանը՝ սարքի տերմինալում մոդելի ID-ն ստուգելու համար

root@OpenWrt: cat /tmp/sysinfo/board_name

Եվ եթե դուք ստանում եք «անհայտ» պատասխանը, ապա դուք պետք է ձեռքով նշեք սարքի մոդելը «rb-951-2nd» ձևով:

Սարքի մոդելը ստանալու համար գործարկեք հրամանը

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

Սարքի մոդելը ստանալուց հետո տեղադրեք այն ձեռքով.

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

Դրանից հետո սարքը կարող եք վեբ ինտերֆեյսի միջոցով կամ «sysupgrade» հրամանի միջոցով թարթել

Ստեղծեք VPN սերվեր WireGuard-ով

Եթե ​​դուք արդեն ունեք WireGuard կազմաձևված սերվեր, կարող եք բաց թողնել այս քայլը:
Ես կօգտագործեմ հավելվածը անձնական VPN սերվեր ստեղծելու համար MyVPN.RUN կատվի մասին ես արդեն հրապարակել է ակնարկ.

WireGuard Client-ի կարգավորում OpenWRT-ում

Միացեք երթուղիչին SSH արձանագրության միջոցով.

ssh root@192.168.1.1

Տեղադրեք WireGuard-ը.

opkg update
opkg install wireguard

Պատրաստեք կոնֆիգուրացիան (պատճենեք ստորև բերված կոդը ֆայլում, փոխարինեք նշված արժեքները ձեր արժեքներով և գործարկեք տերմինալում):

Եթե ​​դուք օգտագործում եք MyVPN, ապա ներքևի կազմաձևում ձեզ միայն անհրաժեշտ է փոխել WG_SERV - Սերվերի IP WG_KEY - մասնավոր բանալին wireguard-ի կազմաձևման ֆայլից և WG_PUB - հանրային բանալին:

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

Սա ավարտում է WireGuard-ի կարգավորումը: Այժմ բոլոր միացված սարքերի երթևեկությունը պաշտպանված է VPN կապով:

Սայլակ

Աղբյուր թիվ 1
Փոփոխված հրահանգներ MyVPN-ում (Լրացուցիչ հասանելի հրահանգներ L2TP, PPTP ստանդարտ Mikrotik որոնվածի վրա տեղադրելու համար)
OpenWrt WireGuard հաճախորդ

Source: www.habr.com