Dalam kebanyakan kasus, menghubungkan router ke VPN tidaklah sulit, tetapi jika Anda ingin melindungi seluruh jaringan dan pada saat yang sama mempertahankan kecepatan koneksi yang optimal, solusi terbaik adalah menggunakan terowongan VPN. .
Router Mikrotik terbukti menjadi solusi yang handal dan sangat fleksibel, tapi sayangnya masih belum dan belum diketahui kapan akan muncul dan dalam performa apa. Baru-baru ini tentang apa yang disarankan oleh pengembang terowongan VPN WireGuard , yang akan menjadikan perangkat lunak tunneling VPN mereka sebagai bagian dari kernel Linux, kami berharap ini akan berkontribusi pada adopsi di RouterOS.
Namun untuk saat ini, sayangnya, untuk mengkonfigurasi WireGuard di router Mikrotik, Anda perlu mengubah firmware.
Flashing Mikrotik, install dan konfigurasi OpenWrt
Pertama, Anda perlu memastikan bahwa OpenWrt mendukung model Anda. Lihat apakah model cocok dengan nama dan gambar pemasarannya .
Pergi ke openwrt.com .
Untuk perangkat ini, kami membutuhkan 2 file:
Anda perlu mengunduh kedua file: Install ΠΈ Meningkatkan.
1. Pengaturan jaringan, download dan setup server PXE
Unduh untuk Windows versi terbaru.
Buka zip ke folder terpisah. Di file config.ini tambahkan parameter rfc951=1 bagian [dhcp]. Parameter ini sama untuk semua model Mikrotik.
Mari beralih ke pengaturan jaringan: Anda perlu mendaftarkan alamat ip statis di salah satu antarmuka jaringan komputer Anda.
Alamat IP: 192.168.1.10
Netmask: 255.255.255.0
Lari Server PXE kecil atas nama Administrator dan pilih di kolom Server DHCP server dengan alamat 192.168.1.10
Pada beberapa versi Windows, antarmuka ini mungkin hanya muncul setelah koneksi Ethernet. Saya sarankan menghubungkan router dan segera mengganti router dan PC menggunakan kabel patch.
Tekan tombol "..." (kanan bawah) dan tentukan folder tempat Anda mengunduh file firmware untuk Mikrotik.
Pilih file yang namanya diakhiri dengan "initramfs-kernel.bin atau elf"
2. Mem-boot router dari server PXE
Kami menghubungkan PC dengan kabel dan port pertama (wan, internet, poe in, ...) dari router. Setelah itu kita ambil tusuk gigi, tancapkan ke lubang yang bertuliskan "Reset".
Kami menyalakan daya router dan menunggu 20 detik, lalu melepaskan tusuk gigi.
Dalam menit berikutnya, pesan berikut akan muncul di jendela Tiny PXE Server:
Jika pesan tersebut muncul, maka Anda berada di arah yang benar!
Kembalikan pengaturan pada adaptor jaringan dan atur untuk menerima alamat secara dinamis (melalui DHCP).
Sambungkan ke port LAN router Mikrotik (2β¦5 dalam kasus kami) menggunakan kabel patch yang sama. Alihkan saja dari port 1 ke port 2. Buka alamat di peramban.
Masuk ke antarmuka administratif OpenWRT dan buka bagian menu "System -> Backup/Flash Firmware"
Di subbagian "Flash gambar firmware baru", klik tombol "Pilih file (Jelajahi)".
Tentukan jalur ke file yang namanya diakhiri dengan "-squashfs-sysupgrade.bin".
Setelah itu, klik tombol "Flash Image".
Di jendela berikutnya, klik tombol "Lanjutkan". Firmware akan mulai mengunduh ke router.
!!! DALAM HAL APAPUN JANGAN PUTUSKAN KEKUATAN ROUTER SELAMA PROSES FIRMWARE !!!
Setelah mem-flash dan mem-boot ulang router, Anda akan menerima Mikrotik dengan firmware OpenWRT.
Kemungkinan masalah dan solusi
Banyak perangkat Mikrotik yang dirilis tahun 2019 menggunakan chip memori FLASH-NOR tipe GD25Q15/Q16. Masalahnya adalah saat mem-flash, data tentang model perangkat tidak disimpan.
Jika Anda melihat kesalahan "File gambar yang diunggah tidak berisi format yang didukung. Pastikan Anda memilih format gambar generik untuk platform Anda." maka kemungkinan besar masalahnya ada di flashdisk.
Sangat mudah untuk memeriksanya: jalankan perintah untuk memeriksa ID model di terminal perangkat
root@OpenWrt: cat /tmp/sysinfo/board_nameDan jika Anda mendapatkan jawaban "tidak diketahui", maka Anda perlu menentukan model perangkat secara manual dalam bentuk "rb-951-2nd"
Untuk mendapatkan model perangkat, jalankan perintah
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndSetelah menerima model perangkat, instal secara manual:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameSetelah itu, Anda dapat mem-flash perangkat melalui antarmuka web atau menggunakan perintah "sysupgrade".
Buat server VPN dengan WireGuard
Jika Anda sudah memiliki server dengan konfigurasi WireGuard, Anda dapat melewati langkah ini.
Saya akan menggunakan aplikasi untuk menyiapkan server VPN pribadi tentang kucing saya sudah .
Mengkonfigurasi Klien WireGuard di OpenWRT
Hubungkan ke router melalui protokol SSH:
ssh [email protected]Instal WireGuard:
opkg update
opkg install wireguardPersiapkan konfigurasi (salin kode di bawah ini ke file, ganti nilai yang ditentukan dengan milik Anda dan jalankan di terminal).
Jika Anda menggunakan MyVPN, maka pada konfigurasi di bawah ini Anda hanya perlu mengubah WG_SERV - IP server WG_KEY - kunci pribadi dari file konfigurasi wireguard dan WG_PUB - kunci publik.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ°
WG_PORT="51820" # ΠΏΠΎΡΡ wireguard
WG_ADDR="10.8.0.2/32" # Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ Π°Π΄ΡΠ΅ΡΠΎΠ² wireguard
WG_KEY="xxxxx" # ΠΏΡΠΈΠ²Π°ΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
WG_PUB="xxxxx" # ΠΏΡΠ±Π»ΠΈΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartIni menyelesaikan penyiapan WireGuard! Sekarang semua lalu lintas di semua perangkat yang terhubung dilindungi oleh koneksi VPN.
referensi
(selain itu tersedia petunjuk untuk setting L2TP, PPTP pada firmware Mikrotik standar)
Sumber: www.habr.com