🥇הגדרת WireGuard בנתב Mikrotik שמריץ OpenWrt

ברוב המקרים, חיבור נתב ל-VPN אינו קשה, אך אם אתה רוצה להגן על כל הרשת ובו זמנית לשמור על מהירות חיבור אופטימלית, אז הפתרון הטוב ביותר הוא להשתמש במנהרת VPN WireGuard.

נתבים מיקרוטיק הוכח כפתרונות אמינים וגמישים מאוד, אך למרבה הצער תמיכה ב-WireGurd ב-RouterOS עדיין לא ולא ידוע מתי הוא יופיע ובאיזה ביצוע. לאחרונה הוא נודע על מה שהציעו מפתחי מנהרת ה-VPN של WireGuard סט תיקון, מה שיהפוך את תוכנת מנהור ה-VPN שלהם לחלק מליבת לינוקס, אנו מקווים שזה יתרום לאימוץ ב-RouterOS.

אבל לעת עתה, למרבה הצער, כדי להגדיר את WireGuard בנתב Mikrotik, אתה צריך לשנות את הקושחה.

מהבהב Mikrotik, התקנה והגדרה של OpenWrt

ראשית עליך לוודא ש-OpenWrt תומך במודל שלך. בדוק אם דגם תואם את השם והתדמית השיווקית שלו אתה יכול לבקר mikrotik.com.

עבור אל openwrt.com לקטע הורדת קושחה.

עבור המכשיר הזה, אנחנו צריכים 2 קבצים:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf
downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

אתה צריך להוריד את שני הקבצים: התקן и שדרג.

1. הגדרת רשת, הורדה והגדרת שרת PXE

הורד שרת PXE זעיר עבור הגרסה האחרונה של Windows.

פתח את הדחוס לתיקיה נפרדת. בקובץ config.ini הוסף את הפרמטר rfc951=1 סָעִיף [dhcp]. פרמטר זה זהה עבור כל דגמי Mikrotik.

נעבור להגדרות הרשת: עליך לרשום כתובת IP סטטית באחד מממשקי הרשת של המחשב שלך.

כתובת IP: 192.168.1.10
מסיכת רשת: 255.255.255.0

רוץ שרת PXE זעיר מטעם המנהל ובחר בשדה שרת DHCP שרת עם כתובת 192.168.1.10

בגירסאות מסוימות של Windows, ממשק זה עשוי להופיע רק לאחר חיבור Ethernet. אני ממליץ לחבר נתב ולהחליף מיד את הנתב והמחשב באמצעות כבל תיקון.

לחץ על הלחצן "..." (למטה מימין) וציין את התיקיה שבה הורדת את קבצי הקושחה עבור Mikrotik.

בחר קובץ ששמו מסתיים ב-"initramfs-kernel.bin או elf"

2. אתחול הנתב משרת PXE

אנו מחברים את המחשב עם חוט ואת היציאה הראשונה (wan, אינטרנט, poe in, ...) של הנתב. לאחר מכן, אנו לוקחים קיסם, נועצים אותו לתוך החור עם הכיתוב "איפוס".

אנו מפעילים את כוח הנתב ומחכים 20 שניות, ואז משחררים את הקיסם.
בתוך הדקה הבאה, ההודעות הבאות אמורות להופיע בחלון Tiny PXE Server:

אם ההודעה מופיעה, אז אתה בכיוון הנכון!

שחזר את ההגדרות במתאם הרשת והגדר לקבל את הכתובת באופן דינמי (דרך DHCP).

התחבר ליציאות ה-LAN של הנתב Mikrotik (2…5 במקרה שלנו) באמצעות אותו כבל תיקון. פשוט החלף אותו מיציאה 1 ליציאה 2. פתח כתובת 192.168.1.1 בדפדפן.

היכנס לממשק הניהולי של OpenWRT ועבור לסעיף התפריט "מערכת -> גיבוי/קושמת פלאש"

בסעיף המשנה "תמונת קושחה חדשה של פלאש", לחץ על הלחצן "בחר קובץ (עיון)".

ציין את הנתיב לקובץ ששמו מסתיים ב-"-squashfs-sysupgrade.bin".

לאחר מכן, לחץ על כפתור "תמונת פלאש".

בחלון הבא, לחץ על כפתור "המשך". הורדת הקושחה תתחיל לנתב.

!!! בשום מקרה אין לנתק את החשמל של הנתב במהלך תהליך הקושחה !!!

לאחר הבהוב ואתחול מחדש של הנתב, תקבלו את Mikrotik עם קושחה של OpenWRT.

בעיות ופתרונות אפשריים

מכשירי Mikrotik רבים שיצאו בשנת 2019 משתמשים בשבב זיכרון FLASH-NOR מסוג GD25Q15 / Q16. הבעיה היא שכאשר מהבהב, נתונים על דגם המכשיר אינם נשמרים.

אם אתה רואה את השגיאה "קובץ התמונה שהועלה אינו מכיל פורמט נתמך. ודא שאתה בוחר בפורמט התמונה הגנרי עבור הפלטפורמה שלך." אז כנראה שהבעיה היא בפלאש.

קל לבדוק זאת: הפעל את הפקודה כדי לבדוק את מזהה הדגם במסוף המכשיר

root@OpenWrt: cat /tmp/sysinfo/board_name

ואם אתה מקבל את התשובה "לא ידוע", אז אתה צריך לציין באופן ידני את דגם המכשיר בצורה "rb-951-2nd"

כדי לקבל את דגם המכשיר, הפעל את הפקודה

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

לאחר קבלת דגם המכשיר, התקן אותו באופן ידני:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

לאחר מכן, תוכל להבהב את המכשיר דרך ממשק האינטרנט או באמצעות הפקודה "sysupgrade".

צור שרת VPN עם WireGuard

אם כבר יש לך שרת עם WireGuard מוגדר, אתה יכול לדלג על שלב זה.
אני אשתמש באפליקציה כדי להגדיר שרת VPN אישי MyVPN.RUN על החתול אני כבר פרסם ביקורת.

הגדרת לקוח WireGuard ב-OpenWRT

התחבר לנתב באמצעות פרוטוקול SSH:

ssh root@192.168.1.1

התקן את WireGuard:

opkg update
opkg install wireguard

הכן את התצורה (העתק את הקוד למטה לקובץ, החלף את הערכים שצוינו בערכים שלך והפעל בטרמינל).

אם אתה משתמש ב-MyVPN, אז בתצורה למטה אתה רק צריך לשנות WG_SERV - IP של שרת WG_KEY - מפתח פרטי מקובץ התצורה של wireguard ו WG_PUB - מפתח ציבורי.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

זה משלים את הגדרת ה-WireGuard! כעת כל התעבורה בכל המכשירים המחוברים מוגנת על ידי חיבור VPN.