An deene meeschte Fäll ass e Router mat engem VPN ze verbannen net schwéier, awer wann Dir de ganze Netz schütze wëllt a gläichzäiteg eng optimal Verbindungsgeschwindegkeet behalen, dann ass déi bescht Léisung e VPN Tunnel ze benotzen .
Router mikrotesch bewisen zouverlässeg a ganz flexibel Léisungen gin, mä leider nach ëmmer net an et ass net gewosst wéini et erschéngt an a wéi enger Leeschtung. Viru kuerzem iwwer wat d'Entwéckler vum WireGuard VPN Tunnel proposéiert hunn , déi hir VPN-Tunnel-Software Deel vum Linux-Kernel maachen, hoffen mir datt dëst zu der Adoptioun am RouterOS bäidroe wäert.
Awer fir de Moment, leider, fir WireGuard op engem Mikrotik Router ze konfiguréieren, musst Dir d'Firmware änneren.
Blénkt Mikrotik, Installatioun a Konfiguratioun vun OpenWrt
Als éischt musst Dir sécher sinn datt OpenWrt Äre Modell ënnerstëtzt. Kuckt ob e Modell mat sengem Marketingnumm an dem Bild entsprécht .
Gitt op openwrt.com .
Fir dësen Apparat brauche mir 2 Dateien:
Dir musst béid Dateien eroflueden: installéieren и Aktualiséierung.
1. Network Ariichten, download an Ariichten PXE Server
Eroflueden fir Windows lescht Versioun.
Unzip an e separaten Dossier. An der config.ini Datei addéiere de Parameter rfc951=1 Sektioun [dhcp]. Dëse Parameter ass d'selwecht fir all Mikrotik Modeller.
Loosst eis op d'Netzwierk Astellunge goen: Dir musst eng statesch IP Adress op enger vun den Netzwierkschnëttplazen vun Ärem Computer registréieren.
IP Adress: 192.168.1.10
Netmask: 255.255.255.0
Lafen Tiny PXE Server am Numm vum Administrator a wielt am Feld DHCP Server Server mat Adress 192.168.1.10
Op e puer Versioune vu Windows kann dës Interface nëmmen no enger Ethernet Verbindung erschéngen. Ech recommandéieren e Router ze verbannen an direkt de Router an de PC mat engem Patchkabel ze wiesselen.
Dréckt den "..." Knäppchen (ënnen riets) a spezifizéiert den Dossier wou Dir d'Firmwaredateien fir Mikrotik erofgelueden hutt.
Wielt e Fichier deem säin Numm endet mat "initramfs-kernel.bin oder elf"
2. De Router vum PXE Server booten
Mir verbannen de PC mat engem Drot an dem éischte Port (Wan, Internet, Poe in, ...) vum Router. Duerno huele mir e Zännpick, stieche se an d'Lach mat der Inskriptioun "Reset".
Mir schalten d'Kraaft vum Router un a waart 20 Sekonnen, loosst dann den Zännpick.
Bannent der nächster Minutt sollten déi folgend Messagen an der Tiny PXE Server Fënster erscheinen:
Wann de Message erschéngt, da sidd Dir an déi richteg Richtung!
Restauréiert d'Astellunge vum Netzadapter a setze fir d'Adress dynamesch ze kréien (iwwer DHCP).
Connectéiert mat de LAN Ports vum Mikrotik Router (2…5 an eisem Fall) mam selwechte Patchkabel. Schalt et einfach vum 1. Hafen op 2. Hafen. Opzemaachen Adress am Browser.
Loggt Iech op d'OpenWRT administrativ Interface a gitt op d'Menüsektioun "System -> Backup / Flash Firmware"
An der Ënnersektioun "Flash nei Firmware Image" klickt op de "Fichier auswielen (Browsen)" Knäppchen.
Gitt de Wee op eng Datei un, deem säin Numm op en Enn geet mat "-squashfs-sysupgrade.bin".
Duerno, klickt op de "Flash Image" Knäppchen.
An der nächster Fënster, klickt op de "Weiderféieren" Knäppchen. D'Firmware fänkt un de Router erofzelueden.
!!! OP KENG EVENT NET D'KRAFT VUM ROUTER WEIDER DER FIRMWARE PROCESS DISCONNECT!!!
Nodeems Dir de Router blénkt an nei gestart hutt, kritt Dir Mikrotik mat OpenWRT Firmware.
Méiglech Problemer a Léisungen
Vill Mikrotik Apparater, déi am Joer 2019 verëffentlecht goufen, benotzen e FLASH-NOR Memory Chip vum GD25Q15 / Q16 Typ. De Problem ass datt wann Dir blénkt, Daten iwwer den Apparatmodell net gespäichert ginn.
Wann Dir de Feeler gesitt "Déi eropgeluede Bilddatei enthält keen ënnerstëtzt Format. Gitt sécher datt Dir de generesche Bildformat fir Är Plattform wielt." dann ass héchstwahrscheinlech de Problem am Flash.
Et ass einfach dëst ze kontrolléieren: fuert de Kommando fir d'Modell ID am Apparatterminal ze kontrolléieren
root@OpenWrt: cat /tmp/sysinfo/board_nameA wann Dir d'Äntwert "onbekannt" kritt, da musst Dir den Apparatmodell manuell an der Form "rb-951-2nd" spezifizéieren
Fir den Apparatmodell ze kréien, lafen de Kommando
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndNodeems Dir den Apparatmodell kritt hutt, installéiere se manuell:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameDuerno kënnt Dir den Apparat duerch d'Webinterface flashen oder de Kommando "sysupgrade" benotzen
Erstellt e VPN Server mat WireGuard
Wann Dir schonn e Server mat WireGuard konfiguréiert hutt, kënnt Dir dëse Schrëtt iwwersprangen.
Ech benotzen d'Applikatioun fir e perséinleche VPN Server opzestellen iwwer d'Kaz ech schonn .
WireGuard Client op OpenWRT konfiguréieren
Connect mam Router iwwer SSH Protokoll:
ssh [email protected]Installéiert WireGuard:
opkg update
opkg install wireguardPreparéiert d'Konfiguratioun (kopéiert de Code hei ënnen an eng Datei, ersetzt déi spezifizéiert Wäerter mat Ären eegenen a lafen am Terminal).
Wann Dir MyVPN benotzt, da musst Dir an der Konfiguratioun hei drënner nëmmen änneren WG_SERV - Server IP WG_KEY - private Schlëssel aus der wireguard Configuratiounsdatei an WG_PUB - ëffentleche Schlëssel.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartDëst fäerdeg de WireGuard Setup! Elo ass all Traffic op all verbonne Geräter geschützt duerch eng VPN Verbindung.
Referenze
(zousätzlech verfügbar Instruktioune fir L2TP, PPTP op Standard Mikrotik Firmware opzestellen)
Source: will.com