Nella maggior parte dei casi, collegare un router a una VPN non è difficile, ma se si desidera proteggere l'intera rete e allo stesso tempo mantenere una velocità di connessione ottimale, allora la soluzione migliore è utilizzare un tunnel VPN
Router Mikrotik si sono rivelate soluzioni affidabili e molto flessibili, ma sfortunatamente
Ma per ora, sfortunatamente, per configurare WireGuard su un router Mikrotik, è necessario modificare il firmware.
Mikrotik lampeggiante, installazione e configurazione di OpenWrt
Per prima cosa devi assicurarti che OpenWrt supporti il tuo modello. Verifica se un modello corrisponde al nome commerciale e all'immagine
Vai su openwrt.com
Per questo dispositivo, abbiamo bisogno di 2 file:
Devi scaricare entrambi i file: Installazione и Upgrade.
1. Configurazione della rete, download e configurazione del server PXE
Scarica
Decomprimere in una cartella separata. Nel file config.ini aggiungi il parametro rfc951=1 sezione [DHCP]. Questo parametro è lo stesso per tutti i modelli Mikrotik.
Passiamo alle impostazioni di rete: è necessario registrare un indirizzo ip statico su una delle interfacce di rete del proprio computer.
Indirizzo IP: 192.168.1.10
Maschera di rete: 255.255.255.0
inizio Piccolo server PXE per conto dell'amministratore e selezionare nel campo Server DHCP server con indirizzo 192.168.1.10
In alcune versioni di Windows, questa interfaccia potrebbe apparire solo dopo una connessione Ethernet. Consiglio di collegare un router e di cambiare immediatamente router e PC utilizzando un cavo patch.
Premi il pulsante "..." (in basso a destra) e specifica la cartella in cui hai scaricato i file del firmware per Mikrotik.
Scegli un file il cui nome termina con "initramfs-kernel.bin o elf"
2. Avvio del router dal server PXE
Colleghiamo con un filo il PC e la prima porta (wan, internet, poe in, ...) del router. Dopodiché, prendiamo uno stuzzicadenti, lo infiliamo nel foro con la scritta "Reset".
Accendiamo l'alimentazione del router e aspettiamo 20 secondi, quindi rilasciamo lo stuzzicadenti.
Entro il prossimo minuto, nella finestra Tiny PXE Server dovrebbero apparire i seguenti messaggi:
Se viene visualizzato il messaggio, allora sei nella giusta direzione!
Ripristinare le impostazioni sulla scheda di rete e impostare per ricevere l'indirizzo in modo dinamico (tramite DHCP).
Connettersi alle porte LAN del router Mikrotik (2…5 nel nostro caso) utilizzando lo stesso cavo patch. Basta passare dalla 1a porta alla 2a porta. Indirizzo aperto
Accedi all'interfaccia amministrativa di OpenWRT e vai alla sezione del menu "Sistema -> Backup/Firmware flash".
Nella sottosezione "Flash nuova immagine firmware", fare clic sul pulsante "Seleziona file (Sfoglia)".
Specificare il percorso di un file il cui nome termina con "-squashfs-sysupgrade.bin".
Successivamente, fai clic sul pulsante "Flash Image".
Nella finestra successiva, fai clic sul pulsante "Procedi". Il firmware inizierà a scaricarsi sul router.
!!! IN NESSUN CASO NON SCOLLEGARE L'ALIMENTAZIONE DEL ROUTER DURANTE IL PROCESSO DEL FIRMWARE!!!
Dopo aver lampeggiato e riavviato il router, riceverai Mikrotik con il firmware OpenWRT.
Possibili problemi e soluzioni
Molti dispositivi Mikrotik rilasciati nel 2019 utilizzano un chip di memoria FLASH-NOR del tipo GD25Q15 / Q16. Il problema è che durante il flashing, i dati sul modello del dispositivo non vengono salvati.
Se visualizzi l'errore "Il file immagine caricato non contiene un formato supportato. Assicurati di scegliere il formato immagine generico per la tua piattaforma." allora molto probabilmente il problema è in flash.
È facile verificarlo: esegui il comando per controllare l'ID del modello nel terminale del dispositivo
root@OpenWrt: cat /tmp/sysinfo/board_name
E se ottieni la risposta "sconosciuto", devi specificare manualmente il modello del dispositivo nel modulo "rb-951-2nd"
Per ottenere il modello del dispositivo, eseguire il comando
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Dopo aver ricevuto il modello del dispositivo, installalo manualmente:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Successivamente, puoi eseguire il flashing del dispositivo tramite l'interfaccia web o utilizzando il comando "sysupgrade".
Crea un server VPN con WireGuard
Se disponi già di un server con WireGuard configurato, puoi saltare questo passaggio.
Userò l'applicazione per configurare un server VPN personale
Configurazione del client WireGuard su OpenWRT
Connettiti al router tramite protocollo SSH:
ssh [email protected]
Installa WireGuard:
opkg update
opkg install wireguard
Prepara la configurazione (copia il codice qui sotto in un file, sostituisci i valori specificati con i tuoi ed esegui nel terminale).
Se stai utilizzando MyVPN, nella configurazione di seguito devi solo modificare WG_SERV - IP del server WG_KEY - chiave privata dal file di configurazione wireguard e WG_PUB - chiave pubblica.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Questo completa la configurazione di WireGuard! Ora tutto il traffico su tutti i dispositivi connessi è protetto da una connessione VPN.
riferimenti
Fonte: habr.com