🥇OpenWrt を実行している Mikrotik ルーターでの WireGuard のセットアップ

ほとんどの場合、ルーターを VPN に接続するのは難しくありませんが、ネットワーク全体を保護し、同時に最適な接続速度を維持したい場合、最良の解決策は VPN トンネルを使用することです。ワイヤガード.

ルーター ミクロチク 信頼性が高く、非常に柔軟なソリューションであることが証明されましたが、残念ながら RouterOS での WireGurd のサポートまだ登場しておらず、いつ、どのようなパフォーマンスで登場するかは不明です。最近それは知られていた WireGuard VPN トンネルの開発者が提案したことについてパッチセットは、VPN トンネリングソフトウェアを Linux カーネルの一部にする予定ですが、これが RouterOS での採用に貢献することを期待しています。

ただし、現時点では、残念ながら、Mikrotik ルーターで WireGuard を設定するには、ファームウェアを変更する必要があります。

Mikrotik のフラッシュ、OpenWrt のインストールと構成

まず、OpenWrt がモデルをサポートしていることを確認する必要があります。モデルがマーケティング名とイメージに一致するかどうかを確認する mikrotik.comにアクセスできます.

openwrt.com にアクセスしますファームウェアのダウンロードセクションへ.

このデバイスには 2 つのファイルが必要です。

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

両方のファイルをダウンロードする必要があります。 インストールを開始する и アップグレード.

1. ネットワークのセットアップ、PXE サーバーのダウンロードとセットアップ

ダウンロードする小型 PXE サーバー Windows 用の最新バージョン。

別のフォルダーに解凍します。 config.ini ファイルにパラメータを追加します rfc951=1 セクション [dhcp]。このパラメータはすべての Mikrotik モデルで同じです。

ネットワーク設定に進みましょう。コンピュータのネットワークインターフェイスの XNUMX つに静的 IP アドレスを登録する必要があります。

IPアドレス：192.168.1.10
ネットマスク: 255.255.255.0

走る 小型 PXE サーバー 管理者の代わりにフィールドで選択します DHCPサーバー アドレスのあるサーバー 192.168.1.10

Windows の一部のバージョンでは、このインターフェイスはイーサネット接続後にのみ表示される場合があります。ルーターを接続し、パッチコードを使用してルーターと PC をすぐに切り替えることをお勧めします。

「...」ボタン (右下) を押して、Mikrotik のファームウェアファイルをダウンロードしたフォルダーを指定します。

名前が「initramfs-kernel.bin または elf」で終わるファイルを選択してください

2. PXEサーバーからルーターを起動する

PC を有線とルーターの最初のポート (WAN、インターネット、POE 入力など) に接続します。その後、つまようじを取り、「リセット」と書かれた穴に差し込みます。

ルーターの電源をオンにして20秒待ってから、つまようじを放します。
次の XNUMX 分以内に、Tiny PXE Server ウィンドウに次のメッセージが表示されます。

メッセージが表示されたら、正しい方向に進んでいます。

ネットワークアダプターの設定を復元し、アドレスを動的に (DHCP 経由で) 受信するように設定します。

同じパッチコードを使用して、Mikrotik ルーターの LAN ポート (この例では 2 ～ 5) に接続します。 1番目のポートから2番目のポートに切り替えるだけです。オープンアドレス 192.168.1.1 ブラウザで。

OpenWRT 管理インターフェイスにログインし、[システム -> バックアップ/フラッシュファームウェア] メニューセクションに移動します。

「新しいファームウェアイメージをフラッシュ」サブセクションで、「ファイルを選択（参照）」ボタンをクリックします。

名前が「-squashfs-sysupgrade.bin」で終わるファイルへのパスを指定します。

その後、「Flash画像」ボタンをクリックします。

次のウィンドウで「続行」ボタンをクリックします。ファームウェアがルーターにダウンロードされ始めます。

!!! ファームウェアのプロセス中は、いかなる場合でもルーターの電源を切らないでください。

ルーターをフラッシュして再起動すると、OpenWRT ファームウェアを備えた Mikrotik を受け取ります。

考えられる問題と解決策

2019 年にリリースされた多くの Mikrotik デバイスは、GD25Q15 / Q16 タイプの FLASH-NOR メモリチップを使用しています。問題は、フラッシュ時にデバイスのモデルに関するデータが保存されないことです。

「アップロードされた画像ファイルにはサポートされている形式が含まれていません。」というエラーが表示された場合。必ずプラットフォームに応じた汎用の画像形式を選択してください。」その場合、問題はフラッシュにある可能性が高くなります。

これを確認するのは簡単です。デバイスのターミナルでコマンドを実行してモデル ID を確認します。

root@OpenWrt: cat /tmp/sysinfo/board_name

「不明」という答えが得られた場合は、「rb-951-2nd」の形式でデバイスモデルを手動で指定する必要があります。

デバイスモデルを取得するには、次のコマンドを実行します。

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

デバイスモデルを受け取ったら、手動でインストールします。

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

その後、Web インターフェイスまたは「sysupgrade」コマンドを使用してデバイスをフラッシュできます。

WireGuard を使用して VPN サーバーを作成する

すでに WireGuard が設定されたサーバーがある場合は、この手順をスキップできます。
アプリケーションを使用して個人用 VPN サーバーをセットアップします MyVPN.RUN 猫についてはすでにレビューを公開しました.

OpenWRT での WireGuard クライアントの構成

SSH プロトコル経由でルーターに接続します。

ssh [email protected]

WireGuard をインストールします。

opkg update
opkg install wireguard

構成を準備します (以下のコードをファイルにコピーし、指定された値を独自の値に置き換えてターミナルで実行します)。

MyVPN を使用している場合は、以下の設定を変更するだけで済みます。 WG_SERV - サーバーIP WG_KEY - ワイヤーガード設定ファイルからの秘密キーと WG_PUB - 公開鍵。

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

これでWireGuardのセットアップは完了です。これで、接続されているすべてのデバイス上のすべてのトラフィックが VPN 接続によって保護されます。

リファレンス

ソース #1
MyVPN の手順を変更しました (標準の Mikrotik ファームウェアで L2TP、PPTP をセットアップするための追加の手順も利用可能)
OpenWrt WireGuard クライアント

出所： habr.com

OpenWrt を実行している Mikrotik ルーターでの WireGuard のセットアップ