WireGuard-ის დაყენება Mikrotik როუტერზე, რომელიც მუშაობს OpenWrt

უმეტეს შემთხვევაში, როუტერის VPN-თან დაკავშირება არ არის რთული, მაგრამ თუ გსურთ დაიცვათ მთელი ქსელი და ამავე დროს შეინარჩუნოთ კავშირის ოპტიმალური სიჩქარე, მაშინ საუკეთესო გამოსავალია VPN გვირაბის გამოყენება. WireGuard.

მარშრუტიზატორები მიკროტიკი აღმოჩნდა საიმედო და ძალიან მოქნილი გადაწყვეტილებები, მაგრამ სამწუხაროდ WireGurd მხარდაჭერა RouterOS-ზე ჯერ კიდევ არა და უცნობია როდის გამოჩნდება და რა სპექტაკლში. ცოტა ხნის წინ ცნობილი გახდა იმის შესახებ, თუ რას შემოგვთავაზეს WireGuard VPN გვირაბის დეველოპერები პატჩის ნაკრები, რომელიც გახდის მათ VPN გვირაბის პროგრამულ უზრუნველყოფას Linux-ის ბირთვის ნაწილად, ვიმედოვნებთ, რომ ეს ხელს შეუწყობს RouterOS-ის მიღებას.

მაგრამ ახლა, სამწუხაროდ, Mikrotik როუტერზე WireGuard-ის კონფიგურაციისთვის, თქვენ უნდა შეცვალოთ firmware.

Mikrotik Flashing, OpenWrt-ის ინსტალაცია და კონფიგურაცია

ჯერ უნდა დარწმუნდეთ, რომ OpenWrt მხარს უჭერს თქვენს მოდელს. ნახეთ, შეესაბამება თუ არა მოდელი მის მარკეტინგულ სახელსა და იმიჯს შეგიძლიათ ეწვიოთ mikrotik.com.

გადადით openwrt.com-ზე firmware ჩამოტვირთვის განყოფილებაში.

ამ მოწყობილობისთვის ჩვენ გვჭირდება 2 ფაილი:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

თქვენ უნდა ჩამოტვირთოთ ორივე ფაილი: ინსტალაცია и გაუმჯობესების.

1. ქსელის დაყენება, ჩამოტვირთვა და PXE სერვერის დაყენება

გადმოწერა პატარა PXE სერვერი ვინდოუსის უახლესი ვერსიისთვის.

გახსენით ცალკე საქაღალდეში. config.ini ფაილში დაამატეთ პარამეტრი rfc951=1 განყოფილება [dhcp]. ეს პარამეტრი ერთნაირია Mikrotik-ის ყველა მოდელისთვის.

მოდით გადავიდეთ ქსელის პარამეტრებზე: თქვენ უნდა დაარეგისტრიროთ სტატიკური IP მისამართი თქვენი კომპიუტერის ერთ-ერთ ქსელურ ინტერფეისზე.

IP მისამართი: 192.168.1.10
ქსელის ნიღაბი: 255.255.255.0

გარბოდა პატარა PXE სერვერი ადმინისტრატორის სახელით და აირჩიეთ ველში DHCP სერვერი სერვერი მისამართით 192.168.1.10

Windows-ის ზოგიერთ ვერსიაზე ეს ინტერფეისი შეიძლება გამოჩნდეს მხოლოდ Ethernet კავშირის შემდეგ. მე გირჩევთ დააკავშიროთ როუტერი და დაუყოვნებლივ გადართოთ როუტერი და კომპიუტერი პატჩის გამოყენებით.

დააჭირეთ ღილაკს "..." (ქვედა მარჯვნივ) და მიუთითეთ საქაღალდე, სადაც ჩამოტვირთეთ firmware ფაილები Mikrotik-ისთვის.

აირჩიეთ ფაილი, რომლის სახელი მთავრდება "initramfs-kernel.bin ან elf"-ით

2. როუტერის ჩატვირთვა PXE სერვერიდან

კომპიუტერს ვაკავშირებთ მავთულით და როუტერის პირველი პორტით (wan, ინტერნეტი, poe in, ...). ამის შემდეგ ვიღებთ კბილის ჩხირს, ჩავსვამთ ხვრელში წარწერით "გადატვირთვის".

ჩართეთ როუტერის დენი და ველოდებით 20 წამს, შემდეგ ვათავისუფლებთ კბილის ჩხირს.
მომდევნო წუთში, Tiny PXE სერვერის ფანჯარაში უნდა გამოჩნდეს შემდეგი შეტყობინებები:

თუ შეტყობინება გამოჩნდება, მაშინ თქვენ სწორ გზაზე ხართ!

აღადგინეთ პარამეტრები ქსელის ადაპტერზე და დააყენეთ მისამართის დინამიურად მიღება (DHCP-ის საშუალებით).

დაუკავშირდით Mikrotik როუტერის LAN პორტებს (ჩვენს შემთხვევაში 2…5) იგივე პაჩ კაბელის გამოყენებით. უბრალოდ გადართე 1-ლი პორტიდან მე-2 პორტზე. გახსენი მისამართი 192.168.1.1 ბრაუზერში.

შედით OpenWRT ადმინისტრაციულ ინტერფეისში და გადადით მენიუს განყოფილებაში "System -> Backup/Flash Firmware"

"Flash new firmware image" ქვეგანყოფილებაში დააწკაპუნეთ ღილაკზე "Select file (Browse)".

მიუთითეთ ფაილის გზა, რომლის სახელი მთავრდება "-squashfs-sysupgrade.bin".

ამის შემდეგ დააჭირეთ ღილაკს "Flash Image".

შემდეგ ფანჯარაში დააჭირეთ ღილაკს "გაგრძელება". პროგრამული უზრუნველყოფის ჩამოტვირთვა დაიწყება როუტერზე.

!!! არავითარ შემთხვევაში არ გამორთოთ როუტერის დენი პროგრამული უზრუნველყოფის პროცესის დროს !!!

როუტერის ციმციმის და გადატვირთვის შემდეგ მიიღებთ Mikrotik-ს OpenWRT firmware-ით.

შესაძლო პრობლემები და გადაწყვეტილებები

2019 წელს გამოშვებული Mikrotik-ის მრავალი მოწყობილობა იყენებს GD25Q15 / Q16 ტიპის FLASH-NOR მეხსიერების ჩიპს. პრობლემა ის არის, რომ ციმციმის დროს მონაცემები არ ინახება მოწყობილობის მოდელის შესახებ.

თუ ხედავთ შეცდომას "ატვირთული სურათის ფაილი არ შეიცავს მხარდაჭერილ ფორმატს. დარწმუნდით, რომ შეარჩიეთ ზოგადი გამოსახულების ფორმატი თქვენი პლატფორმისთვის." მაშინ დიდი ალბათობით პრობლემა ფლეშშია.

ამის შემოწმება მარტივია: გაუშვით ბრძანება მოდელის ID-ის შესამოწმებლად მოწყობილობის ტერმინალში

root@OpenWrt: cat /tmp/sysinfo/board_name

და თუ მიიღებთ პასუხს "უცნობი", მაშინ ხელით უნდა მიუთითოთ მოწყობილობის მოდელი ფორმაში "rb-951-2nd"

მოწყობილობის მოდელის მისაღებად, გაუშვით ბრძანება

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

მოწყობილობის მოდელის მიღების შემდეგ დააინსტალირეთ ხელით:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

ამის შემდეგ, თქვენ შეგიძლიათ განაახლოთ მოწყობილობა ვებ ინტერფეისის საშუალებით ან "sysupgrade" ბრძანების გამოყენებით

შექმენით VPN სერვერი WireGuard-ით

თუ უკვე გაქვთ სერვერი კონფიგურირებული WireGuard-ით, შეგიძლიათ გამოტოვოთ ეს ნაბიჯი.
მე გამოვიყენებ აპლიკაციას პირადი VPN სერვერის დასაყენებლად MyVPN.RUN კატის შესახებ მე უკვე გამოაქვეყნა მიმოხილვა.

WireGuard კლიენტის კონფიგურაცია OpenWRT-ზე

დაუკავშირდით როუტერს SSH პროტოკოლით:

ssh [email protected]

დააინსტალირეთ WireGuard:

opkg update
opkg install wireguard

მოამზადეთ კონფიგურაცია (დააკოპირეთ ქვემოთ მოცემული კოდი ფაილში, შეცვალეთ მითითებული მნიშვნელობები თქვენით და გაუშვით ტერმინალში).

თუ იყენებთ MyVPN-ს, მაშინ ქვემოთ მოცემულ კონფიგურაციაში მხოლოდ შეცვლა გჭირდებათ WG_SERV - სერვერის IP WG_KEY - პირადი გასაღები wireguard-ის კონფიგურაციის ფაილიდან და WG_PUB - საჯარო გასაღები.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

ეს ასრულებს WireGuard-ის დაყენებას! ახლა ყველა დაკავშირებულ მოწყობილობაზე მთელი ტრაფიკი დაცულია VPN კავშირით.

ლიტერატურა

წყარო #1
შეცვლილი ინსტრუქციები MyVPN-ზე (დამატებით ხელმისაწვდომი ინსტრუქციები L2TP, PPTP სტანდარტული Mikrotik firmware-ზე დასაყენებლად)
OpenWrt WireGuard კლიენტი

წყარო: www.habr.com