OpenWrt를 실행하는 Mikrotik 라우터에서 WireGuard 설정

대부분의 경우 라우터를 VPN에 연결하는 것은 어렵지 않지만 전체 네트워크를 보호하면서 동시에 최적의 연결 속도를 유지하려면 VPN 터널을 사용하는 것이 가장 좋습니다. 와이어 가드.

라우터 미크 로틱 신뢰할 수 있고 매우 유연한 솔루션임이 입증되었지만 불행히도 RouterOS에서 WireGurd 지원 여전히 존재하지 않으며 언제 어떤 성능으로 나타날지 알 수 없습니다. 최근에 그것은 알려졌다 WireGuard VPN 터널 개발자가 제안한 내용에 대해 패치 세트, VPN 터널링 소프트웨어를 Linux 커널의 일부로 만들 것이며 이것이 RouterOS의 채택에 기여하기를 바랍니다.

하지만 안타깝게도 Mikrotik 라우터에서 WireGuard를 구성하려면 펌웨어를 변경해야 합니다.

Mikrotik 깜박임, OpenWrt 설치 및 구성

먼저 OpenWrt가 모델을 지원하는지 확인해야 합니다. 모델이 마케팅 이름 및 이미지와 일치하는지 확인 mikrotik.com을 방문할 수 있습니다..

openwrt.com으로 이동 펌웨어 다운로드 섹션으로.

이 장치에는 2개의 파일이 필요합니다.

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

두 파일을 모두 다운로드해야 합니다. 설치 и 업그레이드.

1. 네트워크 설정, PXE 서버 다운로드 및 설정

다운로드 초소형 PXE 서버 Windows 최신 버전의 경우.

별도의 폴더에 압축을 풉니다. config.ini 파일에서 매개변수를 추가합니다. RFC951=1 부분 [DHCP]. 이 매개변수는 모든 Mikrotik 모델에 대해 동일합니다.

네트워크 설정으로 이동해 보겠습니다. 컴퓨터의 네트워크 인터페이스 중 하나에 고정 IP 주소를 등록해야 합니다.

IP 주소: 192.168.1.10
넷마스크: 255.255.255.0

실행 초소형 PXE 서버 관리자를 대신하여 필드에서 선택 DHCP 서버 주소가 있는 서버 192.168.1.10

일부 Windows 버전에서는 이 인터페이스가 이더넷 연결 후에만 나타날 수 있습니다. 라우터를 연결하고 즉시 패치 코드를 사용하여 라우터와 PC를 전환하는 것이 좋습니다.

"..." 버튼(오른쪽 하단)을 누르고 Mikrotik용 펌웨어 파일을 다운로드한 폴더를 지정합니다.

이름이 "initramfs-kernel.bin 또는 elf"로 끝나는 파일을 선택하십시오.

2. PXE 서버에서 라우터 부팅

우리는 라우터의 첫 번째 포트(wan, 인터넷, poe in, ...)와 유선으로 PC를 연결합니다. 그 후 이쑤시개를 가져다가 "재설정"이라고 적힌 구멍에 붙입니다.

라우터의 전원을 켜고 20초간 기다린 다음 이쑤시개를 놓습니다.
다음 XNUMX분 이내에 다음 메시지가 Tiny PXE 서버 창에 나타납니다.

메시지가 나타나면 올바른 방향으로 가고 있는 것입니다!

네트워크 어댑터의 설정을 복원하고 주소를 동적으로 수신하도록 설정합니다(DHCP를 통해).

동일한 패치 코드를 사용하여 Mikrotik 라우터(이 경우 2…5)의 LAN 포트에 연결합니다. 1번 포트에서 2번 포트로 바꿔주시면 됩니다. 공개 주소 192.168.1.1 브라우저에서.

OpenWRT 관리 인터페이스에 로그인하고 "시스템 -> 백업/플래시 펌웨어" 메뉴 섹션으로 이동합니다.

"새 펌웨어 이미지 플래시" 하위 섹션에서 "파일 선택(찾아보기)" 버튼을 클릭합니다.

이름이 "-squashfs-sysupgrade.bin"으로 끝나는 파일의 경로를 지정합니다.

그런 다음 "플래시 이미지"버튼을 클릭하십시오.

다음 창에서 "진행" 버튼을 클릭합니다. 펌웨어가 라우터로 다운로드되기 시작합니다.

!!! 어떤 경우에도 펌웨어 프로세스 중에 라우터의 전원을 분리하지 마십시오!!!

라우터를 플래싱하고 재부팅하면 OpenWRT 펌웨어가 포함된 Mikrotik을 받게 됩니다.

가능한 문제 및 해결 방법

2019년에 출시된 많은 Mikrotik 장치는 GD25Q15/Q16 유형의 FLASH-NOR 메모리 칩을 사용합니다. 문제는 깜박일 때 장치 모델에 대한 데이터가 저장되지 않는다는 것입니다.

"업로드된 이미지 파일에 지원되는 형식이 없습니다. 플랫폼에 맞는 일반 이미지 형식을 선택했는지 확인하세요." 그러면 문제가 플래시에 있을 가능성이 큽니다.

이것을 확인하는 것은 쉽습니다: 장치 터미널에서 모델 ID를 확인하는 명령을 실행하십시오.

root@OpenWrt: cat /tmp/sysinfo/board_name

"알 수 없음"이라는 대답을 받으면 "rb-951-2nd" 형식으로 장치 모델을 수동으로 지정해야 합니다.

장치 모델을 가져오려면 다음 명령을 실행하십시오.

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

기기 모델을 받은 후 수동으로 설치합니다.

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

그런 다음 웹 인터페이스를 통해 또는 "sysupgrade" 명령을 사용하여 장치를 플래시할 수 있습니다.

WireGuard로 VPN 서버 만들기

WireGuard가 구성된 서버가 이미 있는 경우 이 단계를 건너뛸 수 있습니다.
애플리케이션을 사용하여 개인 VPN 서버를 설정하겠습니다. MyVPN.RUN 나는 이미 고양이에 대해 리뷰를 게시했습니다.

OpenWRT에서 WireGuard 클라이언트 구성

SSH 프로토콜을 통해 라우터에 연결:

ssh [email protected]

WireGuard 설치:

opkg update
opkg install wireguard

구성을 준비합니다(아래 코드를 파일에 복사하고 지정된 값을 자신의 값으로 바꾸고 터미널에서 실행).

MyVPN을 사용하는 경우 아래 구성에서 변경만 하면 됩니다. WG_SERV - 서버 IP WG_KEY - wireguard 구성 파일의 개인 키 및 WG_PUB - 공개 키.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

이것으로 WireGuard 설정이 완료되었습니다! 이제 연결된 모든 장치의 모든 트래픽이 VPN 연결로 보호됩니다.

참조

출처 #1
MyVPN에 대한 수정된 지침 (표준 Mikrotik 펌웨어에서 L2TP, PPTP 설정을 위한 추가 지침 사용 가능)
OpenWrt WireGuard 클라이언트

출처 : habr.com