ການຕັ້ງຄ່າ WireGuard ໃນເຣົາເຕີ Mikrotik ທີ່ໃຊ້ OpenWrt

ໃນກໍລະນີຫຼາຍທີ່ສຸດ, ການເຊື່ອມຕໍ່ router ກັບ VPN ແມ່ນບໍ່ຍາກ, ແຕ່ຖ້າຫາກວ່າທ່ານຕ້ອງການທີ່ຈະປົກປັກຮັກສາເຄືອຂ່າຍທັງຫມົດແລະໃນເວລາດຽວກັນຮັກສາຄວາມໄວການເຊື່ອມຕໍ່ທີ່ດີທີ່ສຸດ, ການແກ້ໄຂທີ່ດີທີ່ສຸດແມ່ນການນໍາໃຊ້ tunnel VPN. WireGuard.

ເຣົາເຕີ ມິກເຕີເຄັກ ພິສູດວ່າເປັນການແກ້ໄຂທີ່ເຊື່ອຖືໄດ້ແລະມີຄວາມຍືດຫຍຸ່ນຫຼາຍ, ແຕ່ຫນ້າເສຍດາຍ ຮອງຮັບ WireGurd ໃນ RouterOS ຍັງ​ບໍ່​ທັນ​ເປັນ​ທີ່​ຮູ້​ຈັກ​ໃນ​ເວ​ລາ​ທີ່​ມັນ​ຈະ​ປາ​ກົດ​ຂຶ້ນ​ແລະ​ໃນ​ການ​ປະ​ຕິ​ບັດ​ໃດ​. ເມື່ອບໍ່ດົນມານີ້ ມັນໄດ້ກາຍເປັນທີ່ຮູ້ຈັກ ກ່ຽວກັບສິ່ງທີ່ຜູ້ພັດທະນາອຸໂມງ WireGuard VPN ແນະນໍາ ຊຸດ patch, ເຊິ່ງຈະເຮັດໃຫ້ໂປແກຼມ VPN tunneling ຂອງພວກເຂົາເປັນສ່ວນຫນຶ່ງຂອງ Linux kernel, ພວກເຮົາຫວັງວ່ານີ້ຈະປະກອບສ່ວນເຂົ້າໃນການຮັບຮອງເອົາໃນ RouterOS.

ແຕ່ສໍາລັບຕອນນີ້, ແຕ່ຫນ້າເສຍດາຍ, ເພື່ອກໍານົດ WireGuard ໃນ router Mikrotik, ທ່ານຈໍາເປັນຕ້ອງປ່ຽນເຟີມແວ.

ກະພິບ Mikrotik, ການຕິດຕັ້ງ ແລະຕັ້ງຄ່າ OpenWrt

ທໍາອິດທ່ານຈໍາເປັນຕ້ອງໃຫ້ແນ່ໃຈວ່າ OpenWrt ສະຫນັບສະຫນູນຮູບແບບຂອງທ່ານ. ເບິ່ງວ່າຕົວແບບທີ່ກົງກັບຊື່ການຕະຫຼາດແລະຮູບພາບຂອງມັນ ທ່ານສາມາດໄປຢ້ຽມຢາມ mikrotik.com.

ໄປທີ່ openwrt.com ໄປຫາພາກສ່ວນດາວໂຫຼດເຟີມແວ.

ສໍາລັບອຸປະກອນນີ້, ພວກເຮົາຕ້ອງການ 2 ໄຟລ໌:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

ທ່ານຈໍາເປັນຕ້ອງໄດ້ດາວນ໌ໂຫລດທັງສອງໄຟລ໌: ຕິດຕັ້ງ и ການຍົກລະດັບ.

1. ການຕິດຕັ້ງເຄືອຂ່າຍ, ດາວໂຫຼດ ແລະຕິດຕັ້ງເຊີບເວີ PXE

ດາວໂຫລດ ເຊີບເວີ PXE ຂະໜາດນ້ອຍ ສໍາລັບ Windows ຮຸ່ນຫຼ້າສຸດ.

Unzip ໃສ່ໂຟນເດີແຍກຕ່າງຫາກ. ໃນໄຟລ໌ config.ini ເພີ່ມພາລາມິເຕີ rfc951=1 ພາກ [dhcp]. ພາລາມິເຕີນີ້ແມ່ນຄືກັນສໍາລັບທຸກແບບ Mikrotik.

ໃຫ້ຍ້າຍໄປທີ່ການຕັ້ງຄ່າເຄືອຂ່າຍ: ທ່ານຈໍາເປັນຕ້ອງລົງທະບຽນທີ່ຢູ່ ip static ຢູ່ໃນຫນຶ່ງໃນການໂຕ້ຕອບເຄືອຂ່າຍຂອງຄອມພິວເຕີຂອງທ່ານ.

ທີ່ຢູ່ IP: 192.168.1.10
Netmask: 255.255.255.0

ແລ່ນ ເຊີບເວີ PXE ຂະໜາດນ້ອຍ ໃນນາມຂອງ Administrator ແລະເລືອກໃນພາກສະຫນາມ DHCP Server ເຊີບເວີທີ່ມີທີ່ຢູ່ 192.168.1.10

ໃນບາງລຸ້ນຂອງ Windows, ການໂຕ້ຕອບນີ້ອາດຈະປາກົດຫຼັງຈາກການເຊື່ອມຕໍ່ອີເທີເນັດເທົ່ານັ້ນ. ຂ້ອຍຂໍແນະນໍາໃຫ້ເຊື່ອມຕໍ່ router ແລະທັນທີປ່ຽນ router ແລະ PC ໂດຍໃຊ້ສາຍ patch.

ກົດປຸ່ມ "..." (ຂວາລຸ່ມ) ແລະລະບຸໂຟນເດີທີ່ທ່ານໄດ້ດາວໂຫລດໄຟລ໌ເຟີມແວສໍາລັບ Mikrotik.

ເລືອກໄຟລ໌ທີ່ມີຊື່ລົງທ້າຍດ້ວຍ "initramfs-kernel.bin ຫຼື elf"

2. Booting router ຈາກເຄື່ອງແມ່ຂ່າຍ PXE

ພວກເຮົາເຊື່ອມຕໍ່ PC ດ້ວຍສາຍແລະພອດທໍາອິດ (wan, internet, poe in, ...) ຂອງ router. ຫຼັງຈາກນັ້ນ, ພວກເຮົາເອົາໄມ້ຖູແຂ້ວ, ຕິດມັນເຂົ້າໄປໃນຂຸມທີ່ມີ inscription "Reset".

ພວກເຮົາເປີດໄຟຂອງ router ແລະລໍຖ້າ 20 ວິນາທີ, ຫຼັງຈາກນັ້ນປ່ອຍໄມ້ຖູແຂ້ວ.
ພາຍໃນນາທີຕໍ່ໄປ, ຂໍ້ຄວາມຕໍ່ໄປນີ້ຄວນຈະປາກົດຢູ່ໃນປ່ອງຢ້ຽມຂະຫນາດນ້ອຍ PXE Server:

ຖ້າຂໍ້ຄວາມປາກົດ, ຫຼັງຈາກນັ້ນທ່ານຢູ່ໃນທິດທາງທີ່ຖືກຕ້ອງ!

ຟື້ນຟູການຕັ້ງຄ່າໃນອະແດັບເຕີເຄືອຂ່າຍ ແລະຕັ້ງໃຫ້ຮັບທີ່ຢູ່ແບບໄດນາມິກ (ຜ່ານ DHCP).

ເຊື່ອມຕໍ່ກັບພອດ LAN ຂອງ router Mikrotik (2…5 ໃນກໍລະນີຂອງພວກເຮົາ) ໂດຍໃຊ້ສາຍ patch ດຽວກັນ. ພຽງແຕ່ປ່ຽນມັນຈາກພອດທີ 1 ໄປຫາພອດທີ 2. ເປີດທີ່ຢູ່ 192.168.1.1 ໃນ browser.

ເຂົ້າ​ສູ່​ລະ​ບົບ​ການ​ໂຕ້​ຕອບ​ການ​ບໍ​ລິ​ຫານ OpenWRT ແລະ​ໄປ​ທີ່ "ລະ​ບົບ -​> Backup / Flash Firmware​" ພາກ​ສ່ວນ​ເມ​ນູ

ໃນສ່ວນຍ່ອຍ "Flash new firmware image", ໃຫ້ຄລິກໃສ່ປຸ່ມ "ເລືອກໄຟລ໌ (Browse)".

ລະບຸເສັ້ນທາງໄປຫາໄຟລ໌ທີ່ມີຊື່ລົງທ້າຍດ້ວຍ "-squashfs-sysupgrade.bin".

ຫຼັງຈາກນັ້ນ, ໃຫ້ຄລິກໃສ່ປຸ່ມ "ຮູບພາບ Flash".

ໃນປ່ອງຢ້ຽມຕໍ່ໄປ, ໃຫ້ຄລິກໃສ່ປຸ່ມ "ດໍາເນີນການ". ເຟີມແວຈະເລີ່ມດາວໂຫຼດໃສ່ router.

!!! ໃນກໍລະນີໃດກໍ່ຕາມ, ຢ່າຕັດສາຍໄຟຂອງ Router ໃນລະຫວ່າງຂະບວນການເຟີມແວ !!!

ຫຼັງຈາກການກະພິບແລະ reboot router, ທ່ານຈະໄດ້ຮັບ Mikrotik ກັບ firmware OpenWRT.

ບັນຫາທີ່ເປັນໄປໄດ້ແລະວິທີແກ້ໄຂ

ອຸປະກອນ Mikrotik ຈໍານວນຫຼາຍທີ່ປ່ອຍອອກມາໃນປີ 2019 ໃຊ້ຊິບຫນ່ວຍຄວາມຈໍາ FLASH-NOR ຂອງປະເພດ GD25Q15 / Q16. ບັນຫາແມ່ນວ່າໃນເວລາທີ່ກະພິບ, ຂໍ້ມູນກ່ຽວກັບຮູບແບບອຸປະກອນບໍ່ໄດ້ຖືກບັນທຶກໄວ້.

ຖ້າ​ຫາກ​ທ່ານ​ເຫັນ​ຄວາມ​ຜິດ​ພາດ "ໄຟລ​໌​ຮູບ​ພາບ​ທີ່​ອັບ​ໂຫຼດ​ບໍ່​ມີ​ຮູບ​ແບບ​ທີ່​ສະ​ຫນັບ​ສະ​ຫນູນ​. ໃຫ້ແນ່ໃຈວ່າທ່ານເລືອກຮູບແບບຮູບພາບທົ່ວໄປສໍາລັບເວທີຂອງທ່ານ." ຫຼັງຈາກນັ້ນ, ບັນຫາສ່ວນຫຼາຍແມ່ນຢູ່ໃນ flash.

ມັນງ່າຍທີ່ຈະກວດເບິ່ງນີ້: ດໍາເນີນການຄໍາສັ່ງເພື່ອກວດເບິ່ງ ID ຕົວແບບຢູ່ໃນເຄື່ອງອຸປະກອນ

root@OpenWrt: cat /tmp/sysinfo/board_name

ແລະຖ້າທ່ານໄດ້ຮັບຄໍາຕອບ "ບໍ່ຮູ້", ຫຼັງຈາກນັ້ນທ່ານຈໍາເປັນຕ້ອງກໍານົດຮູບແບບອຸປະກອນດ້ວຍຕົນເອງໃນຮູບແບບ "rb-951-2nd"

ເພື່ອໃຫ້ໄດ້ຮັບຮູບແບບອຸປະກອນ, ດໍາເນີນການຄໍາສັ່ງ

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

ຫຼັງຈາກໄດ້ຮັບຮູບແບບອຸປະກອນ, ຕິດຕັ້ງມັນດ້ວຍຕົນເອງ:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

ຫຼັງຈາກນັ້ນ, ທ່ານສາມາດ flash ອຸປະກອນໂດຍຜ່ານການໂຕ້ຕອບເວັບໄຊຕ໌ຫຼືການນໍາໃຊ້ຄໍາສັ່ງ "sysupgrade".

ສ້າງເຊີບເວີ VPN ດ້ວຍ WireGuard

ຖ້າທ່ານມີເຄື່ອງແມ່ຂ່າຍທີ່ມີ WireGuard ຕັ້ງຄ່າແລ້ວ, ທ່ານສາມາດຂ້າມຂັ້ນຕອນນີ້.
ຂ້ອຍຈະໃຊ້ແອັບພລິເຄຊັນເພື່ອຕັ້ງຄ່າເຄື່ອງແມ່ຂ່າຍ VPN ສ່ວນຕົວ MyVPN.RUN ກ່ຽວກັບແມວຂ້ອຍແລ້ວ ຈັດພີມມາການທົບທວນຄືນ.

ການຕັ້ງຄ່າ WireGuard Client ໃນ OpenWRT

ເຊື່ອມຕໍ່ກັບ router ຜ່ານ SSH protocol:

ssh [email protected]

ຕິດຕັ້ງ WireGuard:

opkg update
opkg install wireguard

ກະກຽມການຕັ້ງຄ່າ (ຄັດລອກລະຫັດຂ້າງລຸ່ມນີ້ໃສ່ໄຟລ໌, ທົດແທນຄ່າທີ່ລະບຸໄວ້ດ້ວຍຕົວຂອງທ່ານເອງແລະດໍາເນີນການໃນ terminal).

ຖ້າທ່ານກໍາລັງໃຊ້ MyVPN, ຫຼັງຈາກນັ້ນໃນການຕັ້ງຄ່າຂ້າງລຸ່ມນີ້ທ່ານພຽງແຕ່ຕ້ອງການປ່ຽນ WG_SERV - IP ຂອງເຊີບເວີ WG_KEY - ກະແຈສ່ວນຕົວຈາກໄຟລ໌ການຕັ້ງຄ່າ wireguard ແລະ WG_PUB - ກະແຈສາທາລະນະ.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

ນີ້ຈະສຳເລັດການຕິດຕັ້ງ WireGuard! ດຽວນີ້ການຈະລາຈອນທັງໝົດຢູ່ໃນອຸປະກອນທີ່ເຊື່ອມຕໍ່ທັງໝົດຖືກປົກປ້ອງໂດຍການເຊື່ອມຕໍ່ VPN.

ເອກະສານ

ທີ່ມາ #1
ແກ້ໄຂຄໍາແນະນໍາກ່ຽວກັບ MyVPN (ມີຄໍາແນະນໍາເພີ່ມເຕີມສໍາລັບການຕັ້ງຄ່າ L2TP, PPTP ໃນເຟີມແວ Mikrotik ມາດຕະຖານ)
ລູກຄ້າ OpenWrt WireGuard

ແຫຼ່ງຂໍ້ມູນ: www.habr.com