In pluribus iunctis iter ad VPN difficile non est, sed si vis totam reticulum tueri et simul meliorem nexum tenere, optima solutio est uti cuniculo VPN .
Iter Mikrotik probabuntur solutiones certae et flexibiles, sed proh dolor nec adhuc ignoratur quando et in quo opere appariturus sit. Nuper de illis quae de machinis de cuniculo WireGuard VPN suggesserunt quae ex parte programmatis Linux nuclei VPN effodiendi facient, speramus id fore ad adoptionem in RouterOS.
Sed nunc, proh dolor, WireGuard in Mikrotik iter configurare debes, firmware mutare.
Micans Mikrotik, installans et configurans OpenWrt
Primum opus fac ut OpenWrt exemplar tuum sustineat. Vide an exemplum venalicium nomen et imaginem eius aequet .
Perge ad openwrt.com .
Ad hanc machinam, 2 files opus est:
Vos postulo ut utrumque files download: Install и upgrade.
1. Network setup, download et PXE servo setup
download pro Fenestra novissimae versionis.
Unzip singulae folder. In config.ini fasciculi modulo adde rfc951=1 sectionem [dhcp]. Hic parameter idem est apud omnes exempla Mikrotik.
Ad uncinos retis transeamus: opus est ut electronica inscriptio stabilis subcriptio in una retis interfaces computatrum tuum.
IP oratio: 192.168.1.10
Netmask: 255.255.255.0
Curre Minima PXE Servo pro Administratore et eligere in agro Servo DHCP servo cum oratio 192.168.1.10
In nonnullis versionibus Fenestrarum, haec interface solum post nexum Ethernetti apparere potest. Commendo iter connectens et statim mutans iter et PC utens panni rudis.
Preme "..." puga pyga (dextra imo) et folder denota ubi tabulas firmware pro Mikrotik exposuisti.
Elige fasciculum cuius nomen finit cum "initramfs-kernel.bin vel elf"
2. Booting iter a PXE servo
PC filo coniungimus et primum portum (pallidum, penitus, poe in, ...) itineris. Post hoc dentiscalpium accipimus, in foveam inserendum cum inscriptione "Reset".
Nos in potestatem itineris convertimus et XX secundis exspectamus, tunc DENTISCALPIUM emittimus.
In momento sequenti, nuntii sequentes in fenestra Servo PXE Minima appareant:
Si nuntius apparuerit, tunc es in partem rectam!
Redde occasus in adaptor retis et pone ut inscriptio dynamice percipiatur (per DHCP).
Connectunt ad LAN portus itineris Mikrotik (2…5 in nostro casu) utentes funiculi plenitudine eadem. Just switch a 1st portu ad 2nd portum. Oratio aperta in pasco.
Stipes in ad interface administrativum OpenWRT et vade ad "System -> Tergum/Flash Firmware" sectionem menu
In "Flash imaginem firmware novam" subsection, preme in "tabula selecta (Browse)".
Denota semitam tabellae cuius nomen desinit cum "-squashfs-sysupgrade.bin".
Post hoc, preme deprimendo "Flash Imaginem".
In altera fenestra, "Perge" puga pyga. Firmware incipiet downloading ad iter itineris.
!!! NUSQUAM EXITUS NON POTESTATE ITERUM PER FIRMWARE PROCESSU DISJUNCTO !!!
Post coruscationem et iter itineris reboante, recipies Mikrotik cum firmware OpenWRT.
Possibile problemata et solutiones
Multae Mikrotik machinae in 2019 emissae utuntur quodam ictu memoriae GD25Q15 / Q16 fulgido-NOR. Difficultas est, cum coruscus, notitia de fabrica exemplar non servata est.
Si errorem videris "Tabula imaginis fasciculi impositi non continet forma firmata". Fac ut imaginem generalem eligat pro tribunali tuo. tunc verisimile forsit in mico est.
Facile est hoc inhibere: currite mandatum ut exemplar id in fabrica terminali sisto
root@OpenWrt: cat /tmp/sysinfo/board_nameEt si responsum "ignotum" accipias, tunc opus est ut manuale exemplar artificium in forma "rb-951-2nd" definias.
Ut in fabrica exemplar, imperium currunt
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndRecepta fabrica exemplar, manuale install illud:
echo 'rb-951-2nd' > /tmp/sysinfo/board_namePost hoc, machinam per interfaciem interfaciei micare potes vel per mandatum "sysupgradi" utens
Creare VPN servo cum WireGuard
Si iam servom cum WireGuard figuratum habes, hunc gradum transilire potes.
Ego uti application ut rationem personae VPN servo de cattus sum iam .
Vestibulum WireGuard Client in OpenWRT
Connectunt ad iter per SSH protocollum:
ssh [email protected]Install WireGuard:
opkg update
opkg install wireguardPraeparate configurationem (code infra ad limam effinge , valores definitos cum tuo proprio repone et in termino decurre).
Si MyVPN uteris, in configuratione infra tantum debes mutare WG_SERV - Servo IP WG_KEY - clavis privatis e lima configuratione wireguard et WG_PUB — Clavis publica.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartHoc perficit setup WireGuard! Nunc omnis negotiatio in omnibus machinis connexis munitur nexu VPN.
References
(Praesto insuper instructiones ad constituendum L2TP, PPTP in Mikrotik firmware vexillum)
Source: www.habr.com