
Շատ դեպքերում երթուղիչը VPN-ին միացնելը դժվար չէ, բայց եթե ցանկանում եք պաշտպանել ամբողջ ցանցը և միևնույն ժամանակ պահպանել կապի օպտիմալ արագությունը, ապա լավագույն լուծումը VPN թունել օգտագործելն է։ .
Երթուղիչներ Միկրոտիկ ապացուցեցին, որ հուսալի և շատ ճկուն լուծումներ են, բայց ցավոք դեռ ոչ և հայտնի չէ, թե երբ այն կհայտնվի և ինչ ներկայացմամբ։ Վերջերս որ VPN թունելի մշակողները WireGuard առաջարկեց , որը նրանց VPN թունելավորման ծրագիրը կդարձնի միջուկի մաս Linux, մենք հույս ունենք, որ սա կնպաստի RouterOS-ում ներդրմանը։
Բայց առայժմ, ցավոք, կարգավորման համար WireGuard Mikrotik ռաութերի firmware-ը պետք է փոխվի։
Թարթում է Mikrotik-ը, տեղադրում և կարգավորում OpenWrt-ը
Նախ պետք է համոզվեք, որ OpenWrt-ն աջակցում է ձեր մոդելին: Տեսեք՝ արդյոք մոդելը համապատասխանում է իր մարքեթինգային անվանն ու պատկերին .
Գնացեք openwrt.com .
Այս սարքի համար մեզ անհրաժեշտ է 2 ֆայլ.
Դուք պետք է ներբեռնեք երկու ֆայլերը. Տեղադրեք и Բարձրացնել.

1. Ցանցի կարգավորում, ներբեռնում և կարգավորում PXE սերվեր
Ներբեռնեք համար Windows վերջին տարբերակը։
Unzip առանձին թղթապանակ: Config.ini ֆայլում ավելացրեք պարամետրը rfc951=1 Բաժին [dhcp]. Այս պարամետրը նույնն է Mikrotik-ի բոլոր մոդելների համար:

Եկեք անցնենք ցանցի կարգավորումներին. անհրաժեշտ է գրանցել ստատիկ ip հասցե ձեր համակարգչի ցանցային ինտերֆեյսներից մեկում:

IP հասցե՝ 192.168.1.10
Ցանցային դիմակ՝ 255.255.255.0

Վազել Փոքրիկ PXE սերվեր Ադմինիստրատորի անունից և դաշտում ընտրեք DHCP սերվեր հասցեով սերվեր 192.168.1.10
Որոշ տարբերակների վրա Windows Այս ինտերֆեյսը կարող է հայտնվել միայն Ethernet-ը միացնելուց հետո։ Խորհուրդ եմ տալիս միացնել ռաութերը և անմիջապես միացնել ռաութերն ու համակարգիչը՝ օգտագործելով միացման լար։

Սեղմեք «...» կոճակը (ներքևում աջ) և նշեք այն թղթապանակը, որտեղ ներբեռնել եք Mikrotik-ի որոնվածը ֆայլերը:
Ընտրեք մի ֆայլ, որի անունը վերջանում է «initramfs-kernel.bin կամ elf»-ով:

2. Երթուղիչի բեռնում PXE սերվերից
Մենք համակարգիչը միացնում ենք մետաղալարով և երթուղիչի առաջին պորտով (wan, internet, poe in, ...): Դրանից հետո վերցնում ենք ատամհատիկ, կպցնում անցքի մեջ՝ «Վերականգնել» մակագրությամբ։

Միացնում ենք երթուղիչի հզորությունը և սպասում 20 վայրկյան, ապա բաց թողնում ատամհատիկը։
Հաջորդ րոպեի ընթացքում Tiny PXE Server պատուհանում պետք է հայտնվեն հետևյալ հաղորդագրությունները.

Եթե հաղորդագրությունը հայտնվում է, ուրեմն դուք ճիշտ ուղղությամբ եք:
Վերականգնեք ցանցային ադապտերի կարգավորումները և դրեք հասցեն դինամիկ կերպով ստանալու համար (DHCP-ի միջոցով):
Միացեք Mikrotik երթուղիչի LAN պորտերին (մեր դեպքում՝ 2…5)՝ օգտագործելով նույն կարկատելը: Պարզապես միացրեք այն 1-ին պորտից 2-րդ պորտին: Բացել հասցեն բրաուզերում:

Մուտք գործեք OpenWRT ադմինիստրատիվ ինտերֆեյս և անցեք «System -> Backup/Flash Firmware» ցանկի բաժինը:

«Ֆլեշ նոր որոնվածի պատկեր» ենթաբաժնում սեղմեք «Ընտրել ֆայլը (Փնտրել)» կոճակը։

Նշեք ֆայլի ուղին, որի անունը վերջանում է «-squashfs-sysupgrade.bin»-ով:

Դրանից հետո սեղմեք «Flash Image» կոճակը:
Հաջորդ պատուհանում սեղմեք «Շարունակել» կոճակը: Որոնվածը կսկսի ներբեռնել երթուղիչ:

!!! ՈՉ ՄԻ ԴԵՊՔՈՒՄ ՄԻ ԱՆՋԱՏԵՔ երթուղիչի հոսանքազրկումը ծրագրային պրոցեսի ընթացքում !!!

Երթուղիչը թարթելուց և վերագործարկելուց հետո դուք կստանաք Mikrotik OpenWRT որոնվածով:
Հնարավոր խնդիրներ և լուծումներ
2019 թվականին թողարկված շատ Mikrotik սարքեր օգտագործում են GD25Q15 / Q16 տիպի FLASH-NOR հիշողության չիպ: Խնդիրն այն է, որ թարթելիս սարքի մոդելի մասին տվյալները չեն պահպանվում։
Եթե տեսնում եք սխալ «Վերբեռնված պատկերի ֆայլը չի պարունակում աջակցվող ձևաչափ: Համոզվեք, որ դուք ընտրել եք ընդհանուր պատկերի ձևաչափը ձեր հարթակի համար»: ապա, ամենայն հավանականությամբ, խնդիրը ֆլեշում է:
Սա հեշտ է ստուգել. գործարկեք հրամանը՝ սարքի տերմինալում մոդելի ID-ն ստուգելու համար
root@OpenWrt: cat /tmp/sysinfo/board_nameԵվ եթե դուք ստանում եք «անհայտ» պատասխանը, ապա դուք պետք է ձեռքով նշեք սարքի մոդելը «rb-951-2nd» ձևով:
Սարքի մոդելը ստանալու համար գործարկեք հրամանը
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndՍարքի մոդելը ստանալուց հետո տեղադրեք այն ձեռքով.
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameԴրանից հետո սարքը կարող եք վեբ ինտերֆեյսի միջոցով կամ «sysupgrade» հրամանի միջոցով թարթել
Ստեղծեք VPN սերվեր՝ օգտագործելով WireGuard
Եթե արդեն ունեք կարգավորված սերվեր WireGuard, ապա կարող եք բաց թողնել այս կետը։
Ես կօգտագործեմ հավելվածը անձնական VPN սերվեր ստեղծելու համար կատվի մասին ես արդեն .
հարմարեցում WireGuard Հաճախորդ OpenWRT-ում
Միացեք երթուղիչին SSH արձանագրության միջոցով.
ssh root@192.168.1.1Տեղադրեք WireGuard:
opkg update
opkg install wireguardՊատրաստեք կոնֆիգուրացիան (պատճենեք ստորև բերված կոդը ֆայլում, փոխարինեք նշված արժեքները ձեր արժեքներով և գործարկեք տերմինալում):
Եթե դուք օգտագործում եք MyVPN, ապա ներքևի կազմաձևում ձեզ միայն անհրաժեշտ է փոխել WG_SERV - Սերվերի IP WG_KEY — կոնֆիգուրացիայի ֆայլից ստացված անձնական բանալին wireguard и WG_PUB - հանրային բանալին:
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartԱյսքանը կարգավորման համար WireGuard Ավարտված է։ Այժմ բոլոր միացված սարքերի ամբողջ երթևեկությունը պաշտպանված է VPN կապով։
Սայլակ
(Լրացուցիչ հասանելի հրահանգներ L2TP, PPTP ստանդարտ Mikrotik որոնվածի վրա տեղադրելու համար)
Source: www.habr.com
