Daugeliu atvejų prijungti maršrutizatorių prie VPN nėra sunku, tačiau jei norite apsaugoti visą tinklą ir tuo pačiu išlaikyti optimalų ryšio greitį, geriausias sprendimas yra naudoti VPN tunelį. .
Maršrutizatoriai mikrotikas pasirodė esąs patikimi ir labai lankstūs sprendimai, bet, deja vis dar ne ir nežinia kada pasirodys ir kokiame spektaklyje. Neseniai apie tai, ką pasiūlė WireGuard VPN tunelio kūrėjai , kuri pavers jų VPN tunelių programinę įrangą „Linux“ branduolio dalimi, tikimės, kad tai prisidės prie „RouterOS“ įdiegimo.
Tačiau kol kas, deja, norint sukonfigūruoti „WireGuard“ „Mikrotik“ maršrutizatoriuje, turite pakeisti programinę-aparatinę įrangą.
Mirksi Mikrotik, įdiegiu ir konfigūruoju OpenWrt
Pirmiausia turite įsitikinti, kad OpenWrt palaiko jūsų modelį. Pažiūrėkite, ar modelis atitinka jo rinkodaros pavadinimą ir įvaizdį .
Eikite į openwrt.com .
Šiam įrenginiui mums reikia 2 failų:
Turite atsisiųsti abu failus: įrengti и patobulinti.
1. Tinklo sąranka, atsisiųskite ir nustatykite PXE serverį
Atsisiųsti skirta Windows naujausiai versijai.
Išpakuokite į atskirą aplanką. Į failą config.ini pridėkite parametrą rfc951=1 skyrius [dhcp]. Šis parametras yra vienodas visiems Mikrotik modeliams.
Pereikime prie tinklo nustatymų: vienoje iš savo kompiuterio tinklo sąsajų turite užregistruoti statinį IP adresą.
IP adresas: 192.168.1.10
Tinklo kaukė: 255.255.255.0
Bėk Mažas PXE serveris administratoriaus vardu ir lauke pasirinkite DHCP Server serveris su adresu 192.168.1.10
Kai kuriose „Windows“ versijose ši sąsaja gali pasirodyti tik prijungus eternetą. Rekomenduoju prijungti maršrutizatorių ir nedelsiant perjungti maršrutizatorių ir kompiuterį naudojant pataisos laidą.
Paspauskite mygtuką "..." (apačioje dešinėje) ir nurodykite aplanką, kuriame atsisiuntėte mikrotik programinės įrangos failus.
Pasirinkite failą, kurio pavadinimas baigiasi „initramfs-kernel.bin arba elf“
2. Maršrutizatoriaus paleidimas iš PXE serverio
Sujungiame kompiuterį laidu ir pirmuoju maršrutizatoriaus prievadu (wan, internetas, poe in, ...). Po to paimame dantų krapštuką, įsmeigiame į skylutę su užrašu „Reset“.
Įjungiame maršrutizatoriaus maitinimą ir laukiame 20 sekundžių, tada atleidžiame dantų krapštuką.
Per kitą minutę „Tiny PXE Server“ lange turėtų pasirodyti šie pranešimai:
Jei pasirodo pranešimas, einate teisinga kryptimi!
Atkurkite tinklo adapterio nustatymus ir nustatykite, kad adresas būtų gautas dinamiškai (per DHCP).
Prijunkite prie Mikrotik maršrutizatoriaus LAN prievadų (mūsų atveju 2…5) naudodami tą patį pataisos laidą. Tiesiog perjunkite jį iš 1 prievado į 2 prievadą. Atidaryti adresą naršyklėje.
Prisijunkite prie OpenWRT administracinės sąsajos ir eikite į meniu skyrių „Sistema -> Atsarginė kopija / „Flash Firmware“
Poskyryje „Flash new firmware image“ spustelėkite mygtuką „Pasirinkti failą (naršyti)“.
Nurodykite kelią į failą, kurio pavadinimas baigiasi „-squashfs-sysupgrade.bin“.
Tada spustelėkite mygtuką „Flash Image“.
Kitame lange spustelėkite mygtuką „Tęsti“. Programinė įranga bus pradėta atsisiųsti į maršrutizatorių.
!!! JOKIU ATVEJU NEATJUNKITE MARŠRUTIVEČIO MAITINIMO PROGRAMINĖS PROCEDŪROS PROCESO METU !!!
Sumirksėję ir perkrovę maršrutizatorių gausite Mikrotik su OpenWRT programine įranga.
Galimos problemos ir sprendimai
Daugelis „Mikrotik“ įrenginių, išleistų 2019 m., naudoja GD25Q15 / Q16 tipo FLASH-NOR atminties lustą. Problema ta, kad kai mirksi, duomenys apie įrenginio modelį neišsaugomi.
Jei matote klaidą „Įkeltame vaizdo faile nėra palaikomo formato. Įsitikinkite, kad pasirinkote bendrą vaizdo formatą savo platformai." tada greičiausiai problema yra blykstė.
Tai lengva patikrinti: paleiskite komandą, kad patikrintumėte modelio ID įrenginio terminale
root@OpenWrt: cat /tmp/sysinfo/board_nameIr jei gausite atsakymą "nežinoma", tuomet turite rankiniu būdu nurodyti įrenginio modelį formoje "rb-951-2nd"
Norėdami gauti įrenginio modelį, paleiskite komandą
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndGavę įrenginio modelį, įdiekite jį rankiniu būdu:
echo 'rb-951-2nd' > /tmp/sysinfo/board_namePo to galite paleisti įrenginį naudodami žiniatinklio sąsają arba naudodami komandą „sysupgrade“.
Sukurkite VPN serverį naudodami „WireGuard“.
Jei jau turite sukonfigūruotą serverį su „WireGuard“, galite praleisti šį veiksmą.
Naudosiu programą asmeniniam VPN serveriui nustatyti apie katę aš jau .
„WireGuard Client“ konfigūravimas „OpenWRT“.
Prisijunkite prie maršrutizatoriaus per SSH protokolą:
ssh [email protected]Įdiekite „WireGuard“:
opkg update
opkg install wireguardParuoškite konfigūraciją (nukopijuokite žemiau esantį kodą į failą, pakeiskite nurodytas reikšmes savo ir paleiskite terminale).
Jei naudojate „MyVPN“, toliau pateiktoje konfigūracijoje tereikia pakeisti WG_SERV - Serverio IP WG_KEY - privatus raktas iš laidų apsaugos konfigūracijos failo ir WG_PUB - viešasis raktas.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartTai užbaigia „WireGuard“ sąranką! Dabar visas srautas visuose prijungtuose įrenginiuose yra apsaugotas VPN ryšiu.
Nuorodos
(papildomos instrukcijos, kaip nustatyti L2TP, PPTP standartinėje Mikrotik programinėje įrangoje)
Šaltinis: www.habr.com