Í flestum tilfellum er ekki erfitt að tengja beini við VPN, en ef þú vilt vernda allt netið og á sama tíma viðhalda hámarks tengihraða, þá er besta lausnin að nota VPN göng
Beinar Mikrotik reyndust áreiðanlegar og mjög sveigjanlegar lausnir, en því miður
En í bili, því miður, til að stilla WireGuard á Mikrotik beini þarftu að breyta vélbúnaðinum.
Blikkandi Mikrotik, setur upp og stillir OpenWrt
Fyrst þarftu að ganga úr skugga um að OpenWrt styður líkanið þitt. Athugaðu hvort líkan passi við markaðsheiti og ímynd
Farðu á openwrt.com
Fyrir þetta tæki þurfum við 2 skrár:
Þú þarft að hlaða niður báðar skrárnar: setja и Uppfærsla.
1. Netuppsetning, niðurhal og uppsetning PXE netþjóns
Niðurhal
Renndu niður í sérstaka möppu. Bættu við færibreytunni í config.ini skrána rfc951=1 kafla [dhcp]. Þessi færibreyta er sú sama fyrir allar Mikrotik gerðir.
Við skulum halda áfram að netstillingunum: þú þarft að skrá fasta ip tölu á einu af netviðmótum tölvunnar þinnar.
IP-tala: 192.168.1.10
Netmaski: 255.255.255.0
Hlaupa Pínulítill PXE netþjónn fyrir hönd stjórnanda og veldu í reitinn DHCP Server þjónn með heimilisfangi 192.168.1.10
Í sumum útgáfum af Windows gæti þetta viðmót aðeins birst eftir Ethernet tengingu. Ég mæli með því að tengja beini og skipta strax um beini og tölvu með plástursnúru.
Ýttu á "..." hnappinn (neðst til hægri) og tilgreindu möppuna þar sem þú sóttir fastbúnaðarskrárnar fyrir Mikrotik.
Veldu skrá sem endar á "initramfs-kernel.bin eða álfur"
2. Ræsir beininn frá PXE þjóninum
Við tengjum tölvuna með vír og fyrsta tengi (wan, internet, poe in, ...) á beininum. Eftir það tökum við tannstöngli, stingum honum í holuna með áletruninni "Endurstilla".
Við kveikjum á beini og bíðum í 20 sekúndur og sleppum síðan tannstönglinum.
Innan næstu mínútu ættu eftirfarandi skilaboð að birtast í Tiny PXE Server glugganum:
Ef skilaboðin birtast, þá ertu á réttri leið!
Endurheimtu stillingarnar á netmillistykkinu og stilltu til að taka á móti heimilisfanginu á virkan hátt (í gegnum DHCP).
Tengstu við LAN tengi á Mikrotik beininum (2…5 í okkar tilfelli) með sömu plástursnúru. Skiptu því bara úr 1. porti í 2. port. Opið heimilisfang
Skráðu þig inn á OpenWRT stjórnunarviðmótið og farðu í "System -> Backup/Flash Firmware" valmyndarhlutann
Í undirkaflanum „Flash new firmware image“, smelltu á hnappinn „Veldu skrá (Browse)“.
Tilgreindu slóðina að skrá sem endar á "-squashfs-sysupgrade.bin".
Eftir það, smelltu á "Flash Image" hnappinn.
Í næsta glugga, smelltu á "Áfram" hnappinn. Fastbúnaðinn mun byrja að hlaða niður í beininn.
!!! Í ENGUM TILKYNNI MUNIÐ EKKI AFTENGJA RAFLINN Á BEIÐINNI Á FIRMWARE FERLINU!!!
Eftir að hafa blikkað og endurræst beininn færðu Mikrotik með OpenWRT fastbúnaði.
Möguleg vandamál og lausnir
Mörg Mikrotik tæki sem gefin voru út árið 2019 nota FLASH-NOR minniskubba af gerðinni GD25Q15 / Q16. Vandamálið er að þegar blikkar eru gögn um gerð tækisins ekki vistuð.
Ef þú sérð villuna „Myndskráin sem hlaðið var upp inniheldur ekki studd snið. Gakktu úr skugga um að þú veljir almenna myndsniðið fyrir vettvang þinn." þá er vandamálið líklegast í flash.
Það er auðvelt að athuga þetta: keyrðu skipunina til að athuga auðkenni tegundar í útstöð tækisins
root@OpenWrt: cat /tmp/sysinfo/board_name
Og ef þú færð svarið "óþekkt", þá þarftu að tilgreina tækjagerðina handvirkt á formi "rb-951-2nd"
Til að fá tækjagerðina skaltu keyra skipunina
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Eftir að hafa fengið tækislíkanið skaltu setja það upp handvirkt:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Eftir það geturðu flassað tækinu í gegnum vefviðmótið eða með "sysupgrade" skipuninni
Búðu til VPN netþjón með WireGuard
Ef þú ert nú þegar með netþjón með WireGuard stilltan geturðu sleppt þessu skrefi.
Ég mun nota forritið til að setja upp persónulegan VPN netþjón
Stillir WireGuard viðskiptavin á OpenWRT
Tengstu við beininn í gegnum SSH samskiptareglur:
ssh [email protected]
Settu upp WireGuard:
opkg update
opkg install wireguard
Undirbúðu stillingarnar (afritaðu kóðann hér að neðan í skrá, skiptu út tilgreindum gildum fyrir þín eigin og keyrðu í flugstöðinni).
Ef þú ert að nota MyVPN, þá þarftu aðeins að breyta í stillingunum hér að neðan WG_SERV - IP miðlara WG_KEY - einkalykill úr wireguard stillingarskránni og WG_PUB - opinber lykill.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Þetta lýkur uppsetningu WireGuard! Nú er öll umferð á öllum tengdum tækjum varin með VPN tengingu.
tilvísanir
Heimild: www.habr.com