Көпчүлүк учурларда, роутерди VPNге туташтыруу кыйын эмес, бирок сиз бүт тармакты коргоп, ошол эле учурда оптималдуу туташуу ылдамдыгын сактап калгыңыз келсе, анда эң жакшы чечим VPN туннелин колдонуу болуп саналат. .
Маршрутизаторлор Микротик ишенимдүү жана абдан ийкемдүү чечимдер болуп чыкты, бирок, тилекке каршы дагы деле жок жана качан жана кандай спектаклде пайда болоору белгисиз. Жакында WireGuard VPN туннелин иштеп чыгуучулар сунуш кылган нерселер жөнүндө , алардын VPN туннелдик программалык камсыздоосун Linux ядросунун бир бөлүгү кылат, биз бул RouterOSдо кабыл алынууга салым кошот деп үмүттөнөбүз.
Бирок азыр, тилекке каршы, WireGuardды Mikrotik роутеринде конфигурациялоо үчүн микропрограмманы өзгөртүү керек.
Flashing Mikrotik, орнотуу жана OpenWrt конфигурациялоо
Биринчиден, OpenWrt сиздин моделиңизди колдогонуна ынанышыңыз керек. Модель анын маркетингдик аталышына жана сүрөтүнө дал келеби же жокпу, көрүңүз .
openwrt.com сайтына өтүңүз .
Бул түзмөк үчүн бизге 2 файл керек:
Сиз эки файлды тең жүктөп алышыңыз керек: орнотуу и жогорулатуу.
1. Тармакты орнотуу, PXE серверин жүктөө жана орнотуу
жүктөп алуу Windows акыркы версиясы үчүн.
өзүнчө папкага ачыңыз. config.ini файлына параметрди кошуңуз rfc951=1 бөлүм [dhcp]. Бул параметр бардык Mikrotik моделдер үчүн бирдей.
Тармак орнотууларына өтөбүз: компьютериңиздин тармактык интерфейстеринин биринде статикалык IP даректи катташыңыз керек.
IP дареги: 192.168.1.10
Желе маскасы: 255.255.255.0
баштоо Кичинекей PXE сервери Администратордун атынан жана талаада тандаңыз DHCP сервери дареги менен сервер 192.168.1.10
Windowsтун кээ бир версияларында бул интерфейс Ethernet туташуусунан кийин гана пайда болушу мүмкүн. Мен роутерди туташтырууну жана дароо роутерди жана компьютерди патч шнурунун жардамы менен алмаштырууну сунуштайм.
"..." баскычын басыңыз (төмөнкү оң жакта) жана Микротик үчүн микропрограмма файлдарын жүктөп алган папканы көрсөтүңүз.
Аты "initramfs-kernel.bin же elf" менен аяктаган файлды тандаңыз
2. Роутерди PXE серверинен жүктөө
Биз компьютерди зым жана роутердин биринчи порту (wan, internet, poe in, ...) менен туташтырабыз. Андан кийин, биз тиш чукугуч алып, аны "Калыбына келтирүү" деген жазуусу бар тешикке жабабыз.
Биз роутердин күчүн күйгүзүп, 20 секунд күтөбүз, андан кийин тиш чукукту коёбуз.
Кийинки мүнөттүн ичинде Tiny PXE Server терезесинде төмөнкү билдирүүлөр пайда болушу керек:
Эгер билдирүү пайда болсо, анда сиз туура багыттасыз!
Тармак адаптериндеги орнотууларды калыбына келтириңиз жана даректи динамикалык түрдө (DHCP аркылуу) алуу үчүн орнотуңуз.
Микротик роутердин LAN портторуна (биздин учурда 2…5) ошол эле патч шнурун колдонуп туташыңыз. Жөн гана аны 1-порттон 2-портко которуңуз. Ачык дарек браузерде.
OpenWRT административдик интерфейсине кирип, "Система -> Камдык көчүрмөнү сактоо/Флеш микропрограммасы" меню бөлүмүнө өтүңүз
"Жаңы микропрограмманын сүрөтүн жарк" бөлүмүндө "Файлды тандоо (карап чыгуу)" баскычын чыкылдатыңыз.
Аты "-squashfs-sysupgrade.bin" менен аяктаган файлдын жолун көрсөтүңүз.
Андан кийин, "Flash Image" баскычын чыкылдатыңыз.
Кийинки терезеде "Улантуу" баскычын чыкылдатыңыз. Микропрограмма роутерге жүктөлүп баштайт.
!!! ЭЧ КАНДАЙ БОЛГОНДО РОЮТЕРДИН ПРОЦЕССИН ФИРМИКА ПРОЦЕССИНДЕ АЖЫРАТПАҢЫЗ!!!
Маршрутизаторду жаркылдап, кайра жүктөгөндөн кийин, сиз OpenWRT микропрограммасы менен Микротикти аласыз.
Мүмкүн болгон көйгөйлөр жана чечимдер
2019-жылы чыгарылган көптөгөн Mikrotik аппараттары GD25Q15 / Q16 тибиндеги FLASH-NOR эстутум чиптерин колдонушат. Көйгөй, жарк эткенде, түзмөк модели жөнүндө маалыматтар сакталбайт.
Эгер сиз катаны көрсөңүз: "Жүктөлгөн сүрөт файлында колдоого алынган формат жок. Платформаңыз үчүн жалпы сүрөт форматын тандаганыңызды текшериңиз." анда көйгөй флеште болушу мүмкүн.
Муну текшерүү оңой: түзмөк терминалында моделдин идентификаторун текшерүү үчүн буйрукту иштетиңиз
root@OpenWrt: cat /tmp/sysinfo/board_nameАл эми "белгисиз" деген жоопту алсаңыз, анда "rb-951-2nd" формасында аппараттын моделин кол менен көрсөтүшүңүз керек.
Түзмөктүн моделин алуу үчүн буйрукту иштетиңиз
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndТүзмөктүн моделин алгандан кийин, аны кол менен орнотуңуз:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameАндан кийин, сиз түзмөктү веб-интерфейс аркылуу же "sysupgrade" буйругун колдонуп жаркырата аласыз
WireGuard менен VPN серверин түзүңүз
Эгер сизде WireGuard конфигурацияланган сервериңиз болсо, бул кадамды өткөрүп жиберсеңиз болот.
Мен жеке VPN серверин орнотуу үчүн колдонмону колдоном мышык жөнүндө мен буга чейин .
OpenWRTде WireGuard кардарын конфигурациялоо
SSH протоколу аркылуу роутерге туташыңыз:
ssh [email protected]WireGuard орнотуу:
opkg update
opkg install wireguardКонфигурацияны даярдаңыз (төмөндөгү кодду файлга көчүрүңүз, көрсөтүлгөн маанилерди өзүңүзгө алмаштырыңыз жана терминалда иштетиңиз).
Эгер сиз MyVPN колдонуп жатсаңыз, анда төмөнкү конфигурацияда сиз жөн гана өзгөртүү керек WG_SERV - Server IP WG_KEY - wireguard конфигурация файлынан купуя ачкыч жана WG_PUB - ачык ачкыч.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartБул WireGuard орнотуусун аяктайт! Эми бардык туташкан түзмөктөрдөгү трафик VPN туташуусу менен корголот.
шилтемелер
(стандарттык Mikrotik микропрограммасында L2TP, PPTP орнотуу боюнча кошумча жеткиликтүү нускамалар)
Source: www.habr.com