カスタマイズする WireGuard OpenWrtを実行しているMikrotikルーター上で

ほとんどの場合、ルーターを VPN に接続するのは難しくありませんが、ネットワーク全体を保護し、同時に最適な接続速度を維持したい場合、最良の解決策は VPN トンネルを使用することです。 WireGuard.

ルーター ミクロチク 信頼性が高く、非常に柔軟なソリューションであることが証明されましたが、残念ながら RouterOS での WireGurd のサポート まだ登場しておらず、いつ、どのようなパフォーマンスで登場するかは不明です。 最近 それは知られていた VPNトンネルの開発者 WireGuard 提案された パッチセットこれにより、VPNトンネルソフトウェアがコアの一部となる Linuxこれにより、RouterOSへの実装が容易になることを期待しています。

しかし今のところ、残念ながら、 WireGuard Mikrotikルーターのファームウェアを変更する必要があります。

Mikrotik のフラッシュ、OpenWrt のインストールと構成

まず、OpenWrt がモデルをサポートしていることを確認する必要があります。 モデルがマーケティング名とイメージに一致するかどうかを確認する mikrotik.comにアクセスできます.

openwrt.com にアクセスします ファームウェアのダウンロードセクションへ.

このデバイスには 2 つのファイルが必要です。

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

両方のファイルをダウンロードする必要があります。 インストールを開始する и アップグレード.

1. ネットワークのセットアップ、PXE サーバーのダウンロードとセットアップ

ダウンロードする 小型 PXE サーバー のために Windows 最新バージョン。

別のフォルダーに解凍します。 config.ini ファイルにパラメータを追加します rfc951=1 セクション [dhcp]。 このパラメータはすべての Mikrotik モデルで同じです。

ネットワーク設定に進みましょう。コンピュータのネットワーク インターフェイスの XNUMX つに静的 IP アドレスを登録する必要があります。

IPアドレス：192.168.1.10
ネットマスク: 255.255.255.0

走る 小型 PXE サーバー 管理者の代わりにフィールドで選択します DHCPサーバー アドレスのあるサーバー 192.168.1.10

一部のバージョンでは Windows このインターフェースはイーサネット接続後にのみ表示される場合があります。ルーターを接続したら、すぐにパッチコードを使ってルーターとPCを接続することをお勧めします。

「...」ボタン (右下) を押して、Mikrotik のファームウェア ファイルをダウンロードしたフォルダーを指定します。

名前が「initramfs-kernel.bin または elf」で終わるファイルを選択してください

2. PXEサーバーからルーターを起動する

PC を有線とルーターの最初のポート (WAN、インターネット、POE 入力など) に接続します。 その後、つまようじを取り、「リセット」と書かれた穴に差し込みます。

ルーターの電源をオンにして20秒待ってから、つまようじを放します。
次の XNUMX 分以内に、Tiny PXE Server ウィンドウに次のメッセージが表示されます。

メッセージが表示されたら、正しい方向に進んでいます。

ネットワーク アダプターの設定を復元し、アドレスを動的に (DHCP 経由で) 受信するように設定します。

同じパッチコードを使用して、Mikrotik ルーターの LAN ポート (この例では 2 ～ 5) に接続します。 1番目のポートから2番目のポートに切り替えるだけです。 オープンアドレス 192.168.1.1 ブラウザで。

OpenWRT 管理インターフェイスにログインし、[システム -> バックアップ/フラッシュ ファームウェア] メニュー セクションに移動します。

「新しいファームウェアイメージをフラッシュ」サブセクションで、「ファイルを選択（参照）」ボタンをクリックします。

名前が「-squashfs-sysupgrade.bin」で終わるファイルへのパスを指定します。

その後、「Flash画像」ボタンをクリックします。

次のウィンドウで「続行」ボタンをクリックします。 ファームウェアがルーターにダウンロードされ始めます。

!!! ファームウェアのプロセス中は、いかなる場合でもルーターの電源を切らないでください。

ルーターをフラッシュして再起動すると、OpenWRT ファームウェアを備えた Mikrotik を受け取ります。

考えられる問題と解決策

2019 年にリリースされた多くの Mikrotik デバイスは、GD25Q15 / Q16 タイプの FLASH-NOR メモリ チップを使用しています。 問題は、フラッシュ時にデバイスのモデルに関するデータが保存されないことです。

「アップロードされた画像ファイルにはサポートされている形式が含まれていません。」というエラーが表示された場合。 必ずプラットフォームに応じた汎用の画像形式を選択してください。」 その場合、問題はフラッシュにある可能性が高くなります。

これを確認するのは簡単です。デバイスのターミナルでコマンドを実行してモデル ID を確認します。

root@OpenWrt: cat /tmp/sysinfo/board_name

「不明」という答えが得られた場合は、「rb-951-2nd」の形式でデバイス モデルを手動で指定する必要があります。

デバイス モデルを取得するには、次のコマンドを実行します。

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

デバイス モデルを受け取ったら、手動でインストールします。

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

その後、Web インターフェイスまたは「sysupgrade」コマンドを使用してデバイスをフラッシュできます。

VPNサーバーを作成する WireGuard

既にサーバーが設定されている場合 WireGuardその場合は、この項目はスキップできます。
アプリケーションを使用して個人用 VPN サーバーをセットアップします MyVPN.RUN 猫についてはすでに レビューを公開しました.

調整 WireGuard OpenWRT上のクライアント

SSH プロトコル経由でルーターに接続します。

ssh root@192.168.1.1

セット WireGuard:

opkg update
opkg install wireguard

構成を準備します (以下のコードをファイルにコピーし、指定された値を独自の値に置き換えてターミナルで実行します)。

MyVPN を使用している場合は、以下の設定を変更するだけで済みます。 WG_SERV - サーバーIP WG_KEY — 設定ファイルからの秘密鍵 wireguard и WG_PUB - 公開鍵。

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

セットアップは以上です。 WireGuard 完了！これで、接続されているすべてのデバイス上のすべての通信がVPN接続によって保護されました。

リファレンス

ソース #1
MyVPN の手順を変更しました (標準の Mikrotik ファームウェアで L2TP、PPTP をセットアップするための追加の手順も利用可能)
OpenWrt WireGuard クライアント

出所： habr.com