Daugeliu atvejų prijungti maršrutizatorių prie VPN nėra sunku, tačiau jei norite apsaugoti visą tinklą ir tuo pačiu išlaikyti optimalų ryšio greitį, geriausias sprendimas yra naudoti VPN tunelį.
Maršrutizatoriai mikrotikas pasirodė esąs patikimi ir labai lankstūs sprendimai, bet, deja
Tačiau kol kas, deja, norint sukonfigūruoti „WireGuard“ „Mikrotik“ maršrutizatoriuje, turite pakeisti programinę-aparatinę įrangą.
Mirksi Mikrotik, įdiegiu ir konfigūruoju OpenWrt
Pirmiausia turite įsitikinti, kad OpenWrt palaiko jūsų modelį. Pažiūrėkite, ar modelis atitinka jo rinkodaros pavadinimą ir įvaizdį
Eikite į openwrt.com
Šiam įrenginiui mums reikia 2 failų:
Turite atsisiųsti abu failus: įrengti и patobulinti.
1. Tinklo sąranka, atsisiųskite ir nustatykite PXE serverį
Atsisiųsti
Išpakuokite į atskirą aplanką. Į failą config.ini pridėkite parametrą rfc951=1 skyrius [dhcp]. Šis parametras yra vienodas visiems Mikrotik modeliams.
Pereikime prie tinklo nustatymų: vienoje iš savo kompiuterio tinklo sąsajų turite užregistruoti statinį IP adresą.
IP adresas: 192.168.1.10
Tinklo kaukė: 255.255.255.0
Bėk Mažas PXE serveris administratoriaus vardu ir lauke pasirinkite DHCP Server serveris su adresu 192.168.1.10
Kai kuriose „Windows“ versijose ši sąsaja gali pasirodyti tik prijungus eternetą. Rekomenduoju prijungti maršrutizatorių ir nedelsiant perjungti maršrutizatorių ir kompiuterį naudojant pataisos laidą.
Paspauskite mygtuką "..." (apačioje dešinėje) ir nurodykite aplanką, kuriame atsisiuntėte mikrotik programinės įrangos failus.
Pasirinkite failą, kurio pavadinimas baigiasi „initramfs-kernel.bin arba elf“
2. Maršrutizatoriaus paleidimas iš PXE serverio
Sujungiame kompiuterį laidu ir pirmuoju maršrutizatoriaus prievadu (wan, internetas, poe in, ...). Po to paimame dantų krapštuką, įsmeigiame į skylutę su užrašu „Reset“.
Įjungiame maršrutizatoriaus maitinimą ir laukiame 20 sekundžių, tada atleidžiame dantų krapštuką.
Per kitą minutę „Tiny PXE Server“ lange turėtų pasirodyti šie pranešimai:
Jei pasirodo pranešimas, einate teisinga kryptimi!
Atkurkite tinklo adapterio nustatymus ir nustatykite, kad adresas būtų gautas dinamiškai (per DHCP).
Prijunkite prie Mikrotik maršrutizatoriaus LAN prievadų (mūsų atveju 2…5) naudodami tą patį pataisos laidą. Tiesiog perjunkite jį iš 1 prievado į 2 prievadą. Atidaryti adresą
Prisijunkite prie OpenWRT administracinės sąsajos ir eikite į meniu skyrių „Sistema -> Atsarginė kopija / „Flash Firmware“
Poskyryje „Flash new firmware image“ spustelėkite mygtuką „Pasirinkti failą (naršyti)“.
Nurodykite kelią į failą, kurio pavadinimas baigiasi „-squashfs-sysupgrade.bin“.
Tada spustelėkite mygtuką „Flash Image“.
Kitame lange spustelėkite mygtuką „Tęsti“. Programinė įranga bus pradėta atsisiųsti į maršrutizatorių.
!!! JOKIU ATVEJU NEATJUNKITE MARŠRUTIVEČIO MAITINIMO PROGRAMINĖS PROCEDŪROS PROCESO METU !!!
Sumirksėję ir perkrovę maršrutizatorių gausite Mikrotik su OpenWRT programine įranga.
Galimos problemos ir sprendimai
Daugelis „Mikrotik“ įrenginių, išleistų 2019 m., naudoja GD25Q15 / Q16 tipo FLASH-NOR atminties lustą. Problema ta, kad kai mirksi, duomenys apie įrenginio modelį neišsaugomi.
Jei matote klaidą „Įkeltame vaizdo faile nėra palaikomo formato. Įsitikinkite, kad pasirinkote bendrą vaizdo formatą savo platformai." tada greičiausiai problema yra blykstė.
Tai lengva patikrinti: paleiskite komandą, kad patikrintumėte modelio ID įrenginio terminale
root@OpenWrt: cat /tmp/sysinfo/board_name
Ir jei gausite atsakymą "nežinoma", tuomet turite rankiniu būdu nurodyti įrenginio modelį formoje "rb-951-2nd"
Norėdami gauti įrenginio modelį, paleiskite komandą
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Gavę įrenginio modelį, įdiekite jį rankiniu būdu:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Po to galite paleisti įrenginį naudodami žiniatinklio sąsają arba naudodami komandą „sysupgrade“.
Sukurkite VPN serverį naudodami „WireGuard“.
Jei jau turite sukonfigūruotą serverį su „WireGuard“, galite praleisti šį veiksmą.
Naudosiu programą asmeniniam VPN serveriui nustatyti
„WireGuard Client“ konfigūravimas „OpenWRT“.
Prisijunkite prie maršrutizatoriaus per SSH protokolą:
ssh [email protected]
Įdiekite „WireGuard“:
opkg update
opkg install wireguard
Paruoškite konfigūraciją (nukopijuokite žemiau esantį kodą į failą, pakeiskite nurodytas reikšmes savo ir paleiskite terminale).
Jei naudojate „MyVPN“, toliau pateiktoje konfigūracijoje tereikia pakeisti WG_SERV - Serverio IP WG_KEY - privatus raktas iš laidų apsaugos konfigūracijos failo ir WG_PUB - viešasis raktas.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Tai užbaigia „WireGuard“ sąranką! Dabar visas srautas visuose prijungtuose įrenginiuose yra apsaugotas VPN ryšiu.
Nuorodos
Šaltinis: www.habr.com