Көп жағдайда маршрутизаторды VPN желісіне қосу қиын емес, бірақ егер сіз бүкіл желіні қорғағыңыз келсе және сонымен бірге оңтайлы қосылу жылдамдығын сақтағыңыз келсе, онда ең жақсы шешім VPN туннелін пайдалану болып табылады. .
Маршрутизаторлар Микротик сенімді және өте икемді шешімдер болып шықты, бірақ өкінішке орай әлі де жоқ және оның қашан және қандай спектакльде пайда болатыны белгісіз. Жақында WireGuard VPN туннелінің әзірлеушілері не ұсынғаны туралы , бұл олардың VPN туннельдік бағдарламалық құралын Linux ядросының бір бөлігіне айналдырады, бұл RouterOS жүйесінде қабылдауға ықпал етеді деп үміттенеміз.
Бірақ қазір, өкінішке орай, WireGuard-ты Mikrotik маршрутизаторында конфигурациялау үшін микробағдарламаны өзгерту керек.
Микротикті жыпылықтау, OpenWrt орнату және конфигурациялау
Алдымен OpenWrt сіздің үлгіңізді қолдайтынына көз жеткізуіңіз керек. Модельдің маркетингтік атауы мен суретіне сәйкес келетінін тексеріңіз .
openwrt.com сайтына өтіңіз .
Бұл құрылғы үшін бізге 2 файл қажет:
Екі файлды да жүктеп алу керек: орнату и жаңарту.
1. PXE серверін желіні орнату, жүктеп алу және орнату
Жүктеу Windows соңғы нұсқасы үшін.
Бөлек қалтаға файлды ашыңыз. config.ini файлында параметрді қосыңыз rfc951=1 бөлім [dhcp]. Бұл параметр барлық Mikrotik үлгілері үшін бірдей.
Желі параметрлеріне көшейік: компьютердің желілік интерфейстерінің бірінде статикалық IP мекенжайын тіркеу керек.
IP мекенжайы: 192.168.1.10
Желі маскасы: 255.255.255.0
Жүгіру Кішкентай PXE сервері Әкімші атынан және өрісте таңдаңыз DHCP сервері мекенжайы бар сервер 192.168.1.10
Windows жүйесінің кейбір нұсқаларында бұл интерфейс тек Ethernet қосылымынан кейін пайда болуы мүмкін. Мен маршрутизаторды қосуды және маршрутизатор мен компьютерді патч сымын пайдаланып дереу ауыстыруды ұсынамын.
«...» түймесін басыңыз (төменгі оң жақта) және Mikrotik үшін микробағдарлама файлдарын жүктеп алған қалтаны көрсетіңіз.
Аты "initramfs-kernel.bin немесе elf" деп аяқталатын файлды таңдаңыз.
2. Маршрутизаторды PXE серверінен жүктеу
Біз компьютерді сыммен және маршрутизатордың бірінші портымен (wan, internet, poe in, ...) қосамыз. Осыдан кейін біз тіс тазалағышты аламыз, оны «Қалпына келтіру» жазуы бар тесікке жабыстырамыз.
Біз маршрутизатордың қуатын қосып, 20 секунд күтеміз, содан кейін тіс тазалағышты босатамыз.
Келесі минут ішінде Tiny PXE серверінің терезесінде келесі хабарламалар пайда болуы керек:
Егер хабарлама пайда болса, сіз дұрыс бағыттасыз!
Желілік адаптердегі параметрлерді қалпына келтіріп, мекенжайды динамикалық (DHCP арқылы) алу үшін орнатыңыз.
Микротик маршрутизаторының LAN порттарына (біздің жағдайда 2…5) бірдей патч сымын пайдаланып қосылыңыз. Тек оны 1-ші порттан 2-ші портқа ауыстырыңыз. Ашық мекенжай браузерде.
OpenWRT әкімшілік интерфейсіне кіріп, «Жүйе -> Сақтық көшірме/Флэш микробағдарламасы» мәзір бөліміне өтіңіз.
«Жаңа микробағдарлама кескінін жарқылдату» бөлімінде «Файлды таңдау (Шолу)» түймесін басыңыз.
Аты "-squashfs-sysupgrade.bin" деп аяқталатын файлға жолды көрсетіңіз.
Осыдан кейін «Flash Image» түймесін басыңыз.
Келесі терезеде «Жалғастыру» түймесін басыңыз. Микробағдарлама маршрутизаторға жүктеле бастайды.
!!! ЕШҚАНДАЙ ЖАҒДАЙДА МОШИНА ЖАСАУ ПРОЦЕСІ БОЙЫНША РОУТЕР ҚУАТЫН АЖЫРАТПАҢЫЗ!!!
Маршрутизаторды жыпылықтап, қайта жүктегеннен кейін сіз OpenWRT микробағдарламасы бар Mikrotik аласыз.
Мүмкін мәселелер мен шешімдер
2019 жылы шығарылған көптеген Mikrotik құрылғылары GD25Q15 / Q16 типті FLASH-NOR жад микросхемасын пайдаланады. Мәселе мынада, жыпылықтаған кезде құрылғы үлгісі туралы деректер сақталмайды.
«Жүктеп салынған сурет файлында қолдау көрсетілетін пішім жоқ. Платформаңыз үшін жалпы кескін пішімін таңдағаныңызға көз жеткізіңіз." онда мәселе флеште болуы мүмкін.
Мұны тексеру оңай: құрылғы терминалында үлгі идентификаторын тексеру үшін пәрменді орындаңыз
root@OpenWrt: cat /tmp/sysinfo/board_nameАл егер сіз «белгісіз» деген жауап алсаңыз, онда құрылғы үлгісін «rb-951-2nd» түрінде қолмен көрсету керек.
Құрылғы үлгісін алу үшін пәрменді іске қосыңыз
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndҚұрылғы үлгісін алғаннан кейін оны қолмен орнатыңыз:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameОсыдан кейін сіз құрылғыны веб-интерфейс арқылы немесе «sysupgrade» пәрменін пайдаланып жыпылықтай аласыз
WireGuard көмегімен VPN серверін жасаңыз
Егер сізде WireGuard конфигурацияланған сервер болса, бұл қадамды өткізіп жіберуге болады.
Мен жеке VPN серверін орнату үшін қолданбаны пайдаланамын Мен қазірдің өзінде мысық туралы .
OpenWRT жүйесінде WireGuard клиентін конфигурациялау
SSH протоколы арқылы маршрутизаторға қосылыңыз:
ssh [email protected]WireGuard орнату:
opkg update
opkg install wireguardКонфигурацияны дайындаңыз (төмендегі кодты файлға көшіріп, көрсетілген мәндерді өзіңіздікімен ауыстырыңыз және терминалда іске қосыңыз).
Егер сіз MyVPN пайдалансаңыз, төмендегі конфигурацияда сізге тек өзгерту қажет WG_SERV - сервер IP WG_KEY - wireguard конфигурация файлынан жеке кілт және WG_PUB - ашық кілт.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartБұл WireGuard орнатуды аяқтайды! Енді барлық қосылған құрылғылардағы барлық трафик VPN қосылымы арқылы қорғалған.
сілтемелер
(стандартты Mikrotik микробағдарламасында L2TP, PPTP орнату бойынша қосымша қол жетімді нұсқаулар)
Ақпарат көзі: www.habr.com