ការដំឡើង WireGuard នៅលើរ៉ោតទ័រ Mikrotik ដែលដំណើរការ OpenWrt

ក្នុងករណីភាគច្រើន ការភ្ជាប់រ៉ោតទ័រទៅ VPN មិនពិបាកទេ ប៉ុន្តែប្រសិនបើអ្នកចង់ការពារបណ្តាញទាំងមូល ហើយក្នុងពេលតែមួយរក្សាល្បឿននៃការតភ្ជាប់បានល្អបំផុត នោះដំណោះស្រាយដ៏ល្អបំផុតគឺត្រូវប្រើផ្លូវរូងក្រោមដី VPN WireGuard.

រ៉ោតទ័រ មីក្រូទីក បានបង្ហាញថាជាដំណោះស្រាយដែលអាចទុកចិត្តបាន និងអាចបត់បែនបាន ប៉ុន្តែជាអកុសល ការគាំទ្រ WireGurd នៅលើ RouterOS មិន​ទាន់​ដឹង​ថា​នឹង​បង្ហាញ​ខ្លួន​នៅ​ពេល​ណា និង​សម្ដែង​បែប​ណា​នោះ​ទេ។ ថ្មីៗនេះ វាត្រូវបានគេស្គាល់ អំពីអ្វីដែលអ្នកអភិវឌ្ឍន៍នៃ WireGuard VPN tunnel បានស្នើ សំណុំបំណះដែលនឹងធ្វើឱ្យកម្មវិធី VPN tunneling របស់ពួកគេជាផ្នែកមួយនៃខឺណែលលីនុច យើងសង្ឃឹមថាវានឹងរួមចំណែកដល់ការអនុម័តនៅក្នុង RouterOS ។

ប៉ុន្តែសម្រាប់ពេលនេះ ជាអកុសល ដើម្បីកំណត់រចនាសម្ព័ន្ធ WireGuard នៅលើរ៉ោតទ័រ Mikrotik អ្នកត្រូវផ្លាស់ប្តូរកម្មវិធីបង្កប់។

បញ្ចេញពន្លឺ Mikrotik ដំឡើង និងកំណត់រចនាសម្ព័ន្ធ OpenWrt

ដំបូងអ្នកត្រូវប្រាកដថា OpenWrt គាំទ្រគំរូរបស់អ្នក។ មើលថាតើគំរូមួយត្រូវនឹងឈ្មោះទីផ្សារ និងរូបភាពរបស់វា។ អ្នកអាចចូលទៅកាន់គេហទំព័រ mikrotik.com.

ចូលទៅកាន់ openwrt.com ទៅផ្នែកទាញយកកម្មវិធីបង្កប់.

សម្រាប់ឧបករណ៍នេះ យើងត្រូវការឯកសារចំនួន 2៖

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

អ្នកត្រូវទាញយកឯកសារទាំងពីរ៖ ដំឡើង и ធ្វើឱ្យប្រសើរឡើង.

1. ការដំឡើងបណ្តាញ ទាញយក និងដំឡើងម៉ាស៊ីនមេ PXE

ទាញយក ម៉ាស៊ីនមេ PXE តូច សម្រាប់ Windows កំណែចុងក្រោយបំផុត។

ពន្លាទៅថតដាច់ដោយឡែក។ នៅក្នុងឯកសារ config.ini បន្ថែមប៉ារ៉ាម៉ែត្រ rfc951=1 ផ្នែក [dhcp]. ប៉ារ៉ាម៉ែត្រនេះគឺដូចគ្នាសម្រាប់ម៉ូដែល Mikrotik ទាំងអស់។

ចូរបន្តទៅការកំណត់បណ្តាញ៖ អ្នកត្រូវចុះឈ្មោះអាសយដ្ឋាន IP ឋិតិវន្តនៅលើចំណុចប្រទាក់បណ្តាញមួយនៃកុំព្យូទ័ររបស់អ្នក។

អាសយដ្ឋាន IP: 192.168.1.10
របាំងបណ្តាញ៖ 255.255.255.0

រត់ ម៉ាស៊ីនមេ PXE តូច ក្នុងនាមអ្នកគ្រប់គ្រង ហើយជ្រើសរើសក្នុងវាល ម៉ាស៊ីនបម្រើ DHCP ម៉ាស៊ីនមេដែលមានអាសយដ្ឋាន 192.168.1.10

នៅលើកំណែមួយចំនួនរបស់ Windows ចំណុចប្រទាក់នេះអាចលេចឡើងបន្ទាប់ពីការតភ្ជាប់អ៊ីសឺរណិតប៉ុណ្ណោះ។ ខ្ញុំសូមណែនាំឱ្យភ្ជាប់រ៉ោតទ័រ ហើយប្តូររ៉ោតទ័រ និងកុំព្យូទ័រភ្លាមៗ ដោយប្រើខ្សែបំណះ។

ចុចប៊ូតុង "..." (ខាងស្តាំខាងក្រោម) ហើយបញ្ជាក់ថតដែលអ្នកបានទាញយកឯកសារកម្មវិធីបង្កប់សម្រាប់ Mikrotik ។

ជ្រើសរើសឯកសារដែលឈ្មោះបញ្ចប់ដោយ "initramfs-kernel.bin ឬ elf"

2. ចាប់ផ្ដើមរ៉ោតទ័រពីម៉ាស៊ីនមេ PXE

យើងភ្ជាប់កុំព្យូទ័រជាមួយខ្សែ និងច្រកទីមួយ (wan, internet, poe in, ...) នៃរ៉ោតទ័រ។ បន្ទាប់ពីនោះយើងយកឈើចាក់ធ្មេញបិទវាចូលទៅក្នុងរន្ធដែលមានសិលាចារឹក "កំណត់ឡើងវិញ" ។

យើងបើកថាមពលរបស់រ៉ោតទ័រ ហើយរង់ចាំ 20 វិនាទី បន្ទាប់មកបញ្ចេញឈើចាក់ធ្មេញ។
ក្នុង​មួយ​នាទី​បន្ទាប់ សារ​ដូច​ខាង​ក្រោម​គួរ​តែ​លេច​ឡើង​ក្នុង​បង្អួច​ម៉ាស៊ីន​បម្រើ PXE តូច៖

បើ​សារ​លេច​ឡើង នោះ​អ្នក​ដើរ​ត្រូវ​ហើយ!

ស្ដារការកំណត់នៅលើអាដាប់ទ័របណ្តាញ ហើយកំណត់ដើម្បីទទួលបានអាសយដ្ឋានថាមវន្ត (តាមរយៈ DHCP) ។

ភ្ជាប់ទៅច្រក LAN នៃរ៉ោតទ័រ Mikrotik (2…5 ក្នុងករណីរបស់យើង) ដោយប្រើខ្សែបំណះដូចគ្នា។ គ្រាន់តែប្តូរវាពីច្រកទី 1 ទៅច្រកទី 2 ។ បើកអាសយដ្ឋាន 192.168.1.1 នៅក្នុងកម្មវិធីរុករក។

ចូលទៅកាន់ចំណុចប្រទាក់រដ្ឋបាល OpenWRT ហើយចូលទៅកាន់ផ្នែកម៉ឺនុយ "ប្រព័ន្ធ -> បម្រុងទុក / កម្មវិធីបង្កប់ Flash" ។

នៅក្នុងផ្នែករង "Flash new firmware image" ចុចលើប៊ូតុង "Select file (Browse)"។

បញ្ជាក់ផ្លូវទៅកាន់ឯកសារដែលឈ្មោះរបស់វាបញ្ចប់ដោយ "-squashfs-sysupgrade.bin" ។

បន្ទាប់ពីនោះចុចប៊ូតុង "Flash Image" ។

នៅក្នុងបង្អួចបន្ទាប់ចុចប៊ូតុង "បន្ត" ។ កម្មវិធីបង្កប់នឹងចាប់ផ្តើមទាញយកទៅរ៉ោតទ័រ។

!!! នៅក្នុងករណីណាមួយ កុំផ្តាច់ថាមពលនៃរ៉ោតទ័រក្នុងអំឡុងពេលដំណើរការកម្មវិធីបង្កប់!!!

បន្ទាប់ពីបញ្ចេញពន្លឺ និងចាប់ផ្ដើមរ៉ោតទ័រឡើងវិញ អ្នកនឹងទទួលបាន Mikrotik ជាមួយកម្មវិធីបង្កប់ OpenWRT ។

បញ្ហាដែលអាចកើតមាន និងដំណោះស្រាយ

ឧបករណ៍ Mikrotik ជាច្រើនដែលបានចេញផ្សាយក្នុងឆ្នាំ 2019 ប្រើប្រាស់បន្ទះឈីបអង្គចងចាំ FLASH-NOR នៃប្រភេទ GD25Q15/Q16 ។ បញ្ហាគឺថានៅពេលបញ្ចេញពន្លឺ ទិន្នន័យអំពីម៉ូដែលឧបករណ៍មិនត្រូវបានរក្សាទុកទេ។

ប្រសិនបើអ្នកឃើញកំហុស "ឯកសាររូបភាពដែលបានផ្ទុកឡើងមិនមានទម្រង់ដែលគាំទ្រទេ។ សូមប្រាកដថាអ្នកជ្រើសរើសទម្រង់រូបភាពទូទៅសម្រាប់វេទិការបស់អ្នក។" បន្ទាប់មកភាគច្រើនទំនងជាបញ្ហាគឺនៅក្នុងពន្លឺ។

វាងាយស្រួលក្នុងការពិនិត្យមើលវា៖ ដំណើរការពាក្យបញ្ជាដើម្បីពិនិត្យមើលលេខសម្គាល់ម៉ូដែលនៅក្នុងស្ថានីយឧបករណ៍

root@OpenWrt: cat /tmp/sysinfo/board_name

ហើយប្រសិនបើអ្នកទទួលបានចម្លើយ "មិនស្គាល់" នោះអ្នកត្រូវបញ្ជាក់ម៉ូដែលឧបករណ៍ដោយដៃក្នុងទម្រង់ "rb-951-2nd" ។

ដើម្បីទទួលបានម៉ូដែលឧបករណ៍ សូមដំណើរការពាក្យបញ្ជា

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

បន្ទាប់ពីទទួលបានម៉ូដែលឧបករណ៍ សូមដំឡើងវាដោយដៃ៖

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

បន្ទាប់ពីនោះ អ្នកអាចបញ្ចេញពន្លឺឧបករណ៍តាមរយៈចំណុចប្រទាក់បណ្ដាញ ឬប្រើពាក្យបញ្ជា "sysupgrade"

បង្កើតម៉ាស៊ីនមេ VPN ជាមួយ WireGuard

ប្រសិនបើអ្នកមានម៉ាស៊ីនមេដែលមាន WireGuard បានកំណត់រចនាសម្ព័ន្ធរួចហើយ អ្នកអាចរំលងជំហាននេះ។
ខ្ញុំនឹងប្រើកម្មវិធីដើម្បីដំឡើងម៉ាស៊ីនមេ VPN ផ្ទាល់ខ្លួន MyVPN.RUN អំពីឆ្មាដែលខ្ញុំរួចហើយ បានចេញផ្សាយការពិនិត្យឡើងវិញ.

កំណត់រចនាសម្ព័ន្ធ WireGuard Client នៅលើ OpenWRT

ភ្ជាប់ទៅរ៉ោតទ័រតាមរយៈពិធីការ SSH៖

ssh [email protected]

ដំឡើង WireGuard៖

opkg update
opkg install wireguard

រៀបចំការកំណត់រចនាសម្ព័ន្ធ (ចម្លងកូដខាងក្រោមទៅឯកសារមួយ ជំនួសតម្លៃដែលបានបញ្ជាក់ដោយខ្លួនអ្នក ហើយដំណើរការក្នុងស្ថានីយ)។

ប្រសិនបើអ្នកកំពុងប្រើ MyVPN បន្ទាប់មកនៅក្នុងការកំណត់ខាងក្រោមអ្នកគ្រាន់តែត្រូវការផ្លាស់ប្តូរប៉ុណ្ណោះ។ WG_SERV - ម៉ាស៊ីនមេ IP WG_KEY - កូនសោឯកជនពីឯកសារកំណត់រចនាសម្ព័ន្ធ wireguard និង WG_PUB - សោសាធារណៈ។

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

វាបញ្ចប់ការដំឡើង WireGuard! ឥឡូវនេះចរាចរណ៍ទាំងអស់នៅលើឧបករណ៍ដែលបានភ្ជាប់ទាំងអស់ត្រូវបានការពារដោយការភ្ជាប់ VPN ។

សេចក្តីយោង

ប្រភព #1
ការណែនាំដែលបានកែប្រែនៅលើ MyVPN (មានការណែនាំបន្ថែមសម្រាប់ការដំឡើង L2TP, PPTP នៅលើកម្មវិធីបង្កប់ Mikrotik ស្តង់ដារ)
ម៉ាស៊ីនភ្ញៀវ OpenWrt WireGuard

ប្រភព: www.habr.com