Di pir rewşan de, girêdana routerek bi VPN-ê re ne dijwar e, lê heke hûn dixwazin tevahiya torê biparêzin û di heman demê de leza pêwendiya çêtirîn biparêzin, wê hingê çareseriya çêtirîn ev e ku hûn tunelek VPN bikar bînin. .
Routers mikrotîk îsbat kir ku çareseriyên pêbawer û pir maqûl in, lê mixabin hîn jî ne û nayê zanîn wê kengê û di kîjan performansê de derkeve holê. Berî demekê li ser tiştê ku pêşdebirên tunela WireGuard VPN pêşniyar kirin , ku dê nermalava tunekirina VPN ya wan bibe beşek ji kernel Linux, em hêvî dikin ku ev ê beşdarî pejirandina li RouterOS bibe.
Lê heya niha, mixabin, ji bo mîhengkirina WireGuard li ser routerek Mikrotik, hûn hewce ne ku firmware biguherînin.
Mikrotik dihejîne, OpenWrt saz dike û mîheng dike
Pêşî hûn hewce ne ku pê ewle bin ku OpenWrt modela we piştgirî dike. Binêrin ka modelek nav û wêneya xwe ya kirrûbirrê li hev dike .
Biçe openwrt.com .
Ji bo vê cîhazê, em hewceyê 2 pelan in:
Pêdivî ye ku hûn herdu pelan dakêşin: Lêkirin и upgrade.
1. Sazkirina torê, dakêşandin û sazkirina servera PXE
Download ji bo guhertoya herî dawî ya Windows.
Ji peldankek cuda vekin. Di pelê config.ini de pîvanê zêde bike rfc951=1 liq [dhcp]. Ev pîvan ji bo hemî modelên Mikrotik yek e.
Ka em biçin mîhengên torê: hûn hewce ne ku navnîşek IP-ya statîk li yek ji navgînên torê yên komputera xwe tomar bikin.
Navnîşana IP: 192.168.1.10
Netmask: 255.255.255.0
Rev Pêşkêşkara PXE ya piçûk li ser navê Rêvebir û li qadê hilbijêrin Servera DHCP server bi navnîşan 192.168.1.10
Li ser hin guhertoyên Windows-ê, dibe ku ev navber tenê piştî pêwendiyek Ethernet xuya bibe. Ez pêşniyar dikim ku routerek ve girêbide û tavilê router û PC-ê bi karanîna kabloyek patchê biguhezîne.
Bişkojka "..." (li jêr rastê) bikirtînin û peldanka ku we pelên firmware ji bo Mikrotik dakêşandiye diyar bikin.
Pelê ku navê wê bi "initramfs-kernel.bin an elf" diqede hilbijêrin
2. Bootkirina routerê ji servera PXE
Em PC-yê bi têl û porta yekem (wan, internet, poe in, ...) ya routerê ve girêdidin. Piştî wê, em çîçek diranan digirin, bi sernivîsa "Reset" di qulikê de dixin.
Em hêza routerê vedikin û 20 saniyeyan li bendê dimînin, dûv re qulika diranê berdidin.
Di deqeya paşîn de, divê peyamên jêrîn di pencereya Pêşkêşkara Tiny PXE de xuya bibin:
Ger peyam xuya bibe, wê hingê hûn di rêça rast de ne!
Mîhengên li ser adapterê torê vegerînin û destnîşan bikin ku navnîşan bi dînamîk (bi rêya DHCP) bistînin.
Bi benderên LAN-ê yên routerê Mikrotik (di doza me de 2…5) bi karanîna heman pêlavê ve girêdin. Tenê wê ji porta 1-an veguherînin porta 2-an. Navnîşan vekin di gerokê de.
Têkeve navbeynkariya îdarî OpenWRT û biçin beşa menuya "Pergal -> Backup/Flash Firmware".
Di binbeşa "Flash image firmware new", bişkoka "Pelê Hilbijêre (Browse)" bikirtînin.
Rêya pelê ku navê wê bi "-squashfs-sysupgrade.bin" diqede diyar bike.
Piştî wê, bişkojka "Wêneya Flash" bikirtînin.
Di pencereya paşîn de, bişkojka "Bidomîne" bikirtînin. Firmware dê dest bi dakêşana routerê bike.
!!! DI TU BÛYERÊ DE DI PÊVAJOYA FIRMWARE DE HÊZA RÛTERÊ QÊ NEKIN!!!
Piştî ronîkirin û ji nû ve destpêkirina routerê, hûn ê Mikrotik bi firmware OpenWRT bistînin.
Pirsgirêk û çareseriyên gengaz
Gelek cîhazên Mikrotik ku di sala 2019-an de hatine berdan çîpek bîranînê ya FLASH-NOR ya celebê GD25Q15 / Q16 bikar tînin. Pirsgirêk ev e ku dema ku dibiriqe, daneyên di derbarê modela cîhazê de nayê hilanîn.
Heke hûn xeletiyê bibînin "Pelê wêneya hatî barkirin formatek piştgirî nagire. Bawer bikin ku hûn ji bo platforma xwe forma wêneya gelemperî hilbijêrin." hingê bi îhtîmaleke mezin pirsgirêk di flash e.
Kontrolkirina vê hêsan e: fermanê bişopînin da ku nasnameya modela di termînala cîhazê de kontrol bikin
root@OpenWrt: cat /tmp/sysinfo/board_nameÛ heke hûn bersiva "nenas" bistînin, wê hingê hûn hewce ne ku modela cîhazê bi destan bi forma "rb-951-2nd" diyar bikin.
Ji bo ku modela cîhazê bistînin, fermanê bimeşînin
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndPiştî wergirtina modela cîhazê, wê bi destan saz bikin:
echo 'rb-951-2nd' > /tmp/sysinfo/board_namePiştî wê, hûn dikarin amûrê bi navgîniya webê an jî bi fermana "sysupgrade" bikar bînin
Bi WireGuard re serverek VPN biafirînin
Ger we jixwe serverek bi WireGuard ve hatî mîheng kirin heye, hûn dikarin vê gavê berdin.
Ez ê serîlêdanê bikar bînim da ku serverek VPN-ya kesane saz bikim li ser pisîkê ez berê .
Veavakirina Xerîdar WireGuard li ser OpenWRT
Bi protokola SSH ve bi routerê ve girêdin:
ssh [email protected]WireGuard saz bikin:
opkg update
opkg install wireguardVeavakirinê amade bikin (koda jêrîn li pelek kopî bikin, nirxên diyarkirî bi yên xwe veguherînin û di termînalê de bimeşînin).
Heke hûn MyVPN bikar tînin, wê hingê di veavakirina jêrîn de hûn tenê hewce ne ku biguhezînin WG_SERV - IP-ya serverê WG_KEY - mifteya taybet ji pelê veavakirina wireguard û WG_PUB - mifteya giştî.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartEv sazkirina WireGuard temam dike! Naha hemî seyrûsefera li ser hemî cîhazên girêdayî bi girêdanek VPN ve tê parastin.
references
(ji bo sazkirina L2TP, PPTP li ser firmware standard Mikrotik rêwerzên din hene)
Source: www.habr.com