VairumÄ gadÄ«jumu marÅ”rutÄtÄja savienoÅ”ana ar VPN nav grÅ«ta, taÄu, ja vÄlaties aizsargÄt visu tÄ«klu un vienlaikus uzturÄt optimÄlu savienojuma Ätrumu, vislabÄkais risinÄjums ir izmantot VPN tuneli.
MarÅ”rutÄtÄji Mikrotik izrÄdÄ«jÄs uzticami un ļoti elastÄ«gi risinÄjumi, bet diemžÄl
Bet pagaidÄm diemžÄl, lai konfigurÄtu WireGuard Mikrotik marÅ”rutÄtÄjÄ, ir jÄmaina programmaparatÅ«ra.
Mikrotik mirgoÅ”ana, OpenWrt instalÄÅ”ana un konfigurÄÅ”ana
Vispirms jums jÄpÄrliecinÄs, vai OpenWrt atbalsta jÅ«su modeli. PÄrbaudiet, vai modelis atbilst tÄ mÄrketinga nosaukumam un attÄlam
Dodieties uz vietni openwrt.com
Šai ierīcei mums ir nepiecieŔami 2 faili:
Jums jÄlejupielÄdÄ abi faili: instalÄt Šø Upgrade.
1. TÄ«kla iestatÄ«Å”ana, lejupielÄde un PXE servera iestatÄ«Å”ana
LejupielÄdÄt
IzsaiÅojiet to atseviÅ”Ä·Ä mapÄ. FailÄ config.ini pievienojiet parametru rfc951=1 sadaÄ¼Ä [dhcp]. Å is parametrs ir vienÄds visiem Mikrotik modeļiem.
PÄrejam pie tÄ«kla iestatÄ«jumiem: jums ir jÄreÄ£istrÄ statiskÄ IP adrese vienÄ no datora tÄ«kla saskarnÄm.
IP adrese: 192.168.1.10
TÄ«kla maska: 255.255.255.0
Skrien Mazs PXE serveris administratora vÄrdÄ un laukÄ atlasiet DHCP serveris serveris ar adresi 192.168.1.10
DažÄs Windows versijÄs Ŕī saskarne var parÄdÄ«ties tikai pÄc Ethernet savienojuma. Es iesaku pievienot marÅ”rutÄtÄju un nekavÄjoties pÄrslÄgt marÅ”rutÄtÄju un datoru, izmantojot plÄkstera vadu.
Nospiediet pogu "..." (apakÅ”Ä pa labi) un norÄdiet mapi, kurÄ lejupielÄdÄjÄt Mikrotik programmaparatÅ«ras failus.
IzvÄlieties failu, kura nosaukums beidzas ar "initramfs-kernel.bin vai elf"
2. MarÅ”rutÄtÄja sÄknÄÅ”ana no PXE servera
MÄs savienojam datoru ar vadu un pirmo marÅ”rutÄtÄja portu (wan, internet, poe in, ...). PÄc tam mÄs paÅemam zobu bakstÄmo, ieduram to caurumÄ ar uzrakstu "AtiestatÄ«t".
MÄs ieslÄdzam marÅ”rutÄtÄja baroÅ”anu un pagaidiet 20 sekundes, pÄc tam atlaidiet zobu bakstÄmo.
NÄkamÄs minÅ«tes laikÄ Tiny PXE servera logÄ jÄparÄdÄs Å”Ädiem ziÅojumiem:
Ja parÄdÄs ziÅojums, jÅ«s esat pareizajÄ virzienÄ!
Atjaunojiet tÄ«kla adaptera iestatÄ«jumus un iestatiet adreses dinamisku saÅemÅ”anu (izmantojot DHCP).
Savienojiet ar Mikrotik marÅ”rutÄtÄja LAN portiem (mÅ«su gadÄ«jumÄ 2ā¦5), izmantojot to paÅ”u ielÄpu vadu. VienkÄrÅ”i pÄrslÄdziet to no 1. porta uz 2. portu. AtvÄrt adresi
Piesakieties OpenWRT administratÄ«vajÄ saskarnÄ un dodieties uz izvÄlnes sadaļu "SistÄma -> DublÄÅ”ana/Flash programmaparatÅ«ra".
ApakÅ”sadaÄ¼Ä "Flash jauns programmaparatÅ«ras attÄls" noklikŔķiniet uz pogas "AtlasÄ«t failu (PÄrlÅ«kot)".
NorÄdiet ceļu uz failu, kura nosaukums beidzas ar "-squashfs-sysupgrade.bin".
PÄc tam noklikŔķiniet uz pogas "Flash Image".
NÄkamajÄ logÄ noklikŔķiniet uz pogas "TurpinÄt". ProgrammaparatÅ«ra sÄks lejupielÄdi marÅ”rutÄtÄjÄ.
!!! PROGRAMMATÅŖRAS PROCESA LAIKÄ NEKÄDÄ GADÄŖJUMÄ NEATvienojiet marÅ”rutÄtÄja strÄvu!!!
PÄc marÅ”rutÄtÄja mirgoÅ”anas un pÄrstartÄÅ”anas jÅ«s saÅemsit Mikrotik ar OpenWRT programmaparatÅ«ru.
IespÄjamÄs problÄmas un risinÄjumi
DaudzÄs Mikrotik ierÄ«cÄs, kas izlaistas 2019. gadÄ, tiek izmantota GD25Q15 / Q16 tipa FLASH-NOR atmiÅas mikroshÄma. ProblÄma ir tÄda, ka mirgoÅ”anas laikÄ dati par ierÄ«ces modeli netiek saglabÄti.
Ja redzat kļūdu āAugÅ”upielÄdÄtajÄ attÄla failÄ nav atbalstÄ«ta formÄta. PÄrliecinieties, ka esat izvÄlÄjies savai platformai vispÄrÄ«go attÄla formÄtu." tad visticamÄk problÄma ir zibspuldzÄ.
To ir viegli pÄrbaudÄ«t: palaidiet komandu, lai pÄrbaudÄ«tu modeļa ID ierÄ«ces terminÄlÄ«
root@OpenWrt: cat /tmp/sysinfo/board_name
Un, ja saÅemat atbildi "nezinÄms", jums manuÄli jÄnorÄda ierÄ«ces modelis formÄ "rb-951-2nd"
Lai iegūtu ierīces modeli, palaidiet komandu
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
PÄc ierÄ«ces modeļa saÅemÅ”anas instalÄjiet to manuÄli:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
PÄc tam jÅ«s varat mirgot ierÄ«ci, izmantojot tÄ«mekļa saskarni vai izmantojot komandu "sysupgrade".
Izveidojiet VPN serveri, izmantojot WireGuard
Ja jums jau ir konfigurÄts serveris ar WireGuard, varat izlaist Å”o darbÄ«bu.
Es izmantoŔu lietojumprogrammu, lai iestatītu personīgo VPN serveri
WireGuard klienta konfigurÄÅ”ana vietnÄ OpenWRT
Izveidojiet savienojumu ar marÅ”rutÄtÄju, izmantojot SSH protokolu:
ssh [email protected]
InstalÄjiet WireGuard:
opkg update
opkg install wireguard
Sagatavojiet konfigurÄciju (kopÄjiet zemÄk esoÅ”o kodu failÄ, nomainiet norÄdÄ«tÄs vÄrtÄ«bas ar savÄm un palaidiet terminÄlÄ«).
Ja izmantojat MyVPN, tÄlÄk esoÅ”ajÄ konfigurÄcijÄ jums tikai jÄmaina WG_SERV - Servera IP WG_KEY - privÄtÄ atslÄga no vadu aizsarga konfigurÄcijas faila un WG_PUB - publiskÄ atslÄga.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip Š°Š“ŃŠµŃ ŃŠµŃŠ²ŠµŃŠ°
WG_PORT="51820" # ŠæŠ¾ŃŃ wireguard
WG_ADDR="10.8.0.2/32" # Š“ŠøŠ°ŠæŠ°Š·Š¾Š½ Š°Š“ŃŠµŃŠ¾Š² wireguard
WG_KEY="xxxxx" # ŠæŃŠøŠ²Š°ŃŠ½ŃŠ¹ ŠŗŠ»ŃŃ
WG_PUB="xxxxx" # ŠæŃŠ±Š»ŠøŃŠ½ŃŠ¹ ŠŗŠ»ŃŃ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Tas pabeidz WireGuard iestatÄ«Å”anu! Tagad visa trafika visÄs pievienotajÄs ierÄ«cÄs ir aizsargÄta ar VPN savienojumu.
atsauces
Avots: www.habr.com