🥇 WireGuard iestatīšana Mikrotik maršrutētājā, kurā darbojas OpenWrt

Vairumā gadījumu maršrutētāja savienošana ar VPN nav grūta, taču, ja vēlaties aizsargāt visu tīklu un vienlaikus uzturēt optimālu savienojuma ātrumu, vislabākais risinājums ir izmantot VPN tuneli. WireGuard.

Maršrutētāji Mikrotik izrādījās uzticami un ļoti elastīgi risinājumi, bet diemžēl WireGurd atbalsts RouterOS joprojām nav un nav zināms, kad tas parādīsies un kādā izpildījumā. Nesen tas kļuva zināms par to, ko ieteica WireGuard VPN tuneļa izstrādātāji ielāpu komplekts, kas padarīs viņu VPN tunelēšanas programmatūru par daļu no Linux kodola, mēs ceram, ka tas veicinās ieviešanu RouterOS.

Bet pagaidām diemžēl, lai konfigurētu WireGuard Mikrotik maršrutētājā, ir jāmaina programmaparatūra.

Mikrotik mirgošana, OpenWrt instalēšana un konfigurēšana

Vispirms jums jāpārliecinās, vai OpenWrt atbalsta jūsu modeli. Pārbaudiet, vai modelis atbilst tā mārketinga nosaukumam un attēlam Jūs varat apmeklēt mikrotik.com.

Dodieties uz vietni openwrt.com uz programmaparatūras lejupielādes sadaļu.

Šai ierīcei mums ir nepieciešami 2 faili:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

Jums jālejupielādē abi faili: instalēt и Upgrade.

1. Tīkla iestatīšana, lejupielāde un PXE servera iestatīšana

Lejupielādēt Mazs PXE serveris Windows jaunākajai versijai.

Izsaiņojiet to atsevišķā mapē. Failā config.ini pievienojiet parametru rfc951=1 sadaļā [dhcp]. Šis parametrs ir vienāds visiem Mikrotik modeļiem.

Pārejam pie tīkla iestatījumiem: jums ir jāreģistrē statiskā IP adrese vienā no datora tīkla saskarnēm.

IP adrese: 192.168.1.10
Tīkla maska: 255.255.255.0

Skrien Mazs PXE serveris administratora vārdā un laukā atlasiet DHCP serveris serveris ar adresi 192.168.1.10

Dažās Windows versijās šī saskarne var parādīties tikai pēc Ethernet savienojuma. Es iesaku pievienot maršrutētāju un nekavējoties pārslēgt maršrutētāju un datoru, izmantojot plākstera vadu.

Nospiediet pogu "..." (apakšā pa labi) un norādiet mapi, kurā lejupielādējāt Mikrotik programmaparatūras failus.

Izvēlieties failu, kura nosaukums beidzas ar "initramfs-kernel.bin vai elf"

2. Maršrutētāja sāknēšana no PXE servera

Mēs savienojam datoru ar vadu un pirmo maršrutētāja portu (wan, internet, poe in, ...). Pēc tam mēs paņemam zobu bakstāmo, ieduram to caurumā ar uzrakstu "Atiestatīt".

Mēs ieslēdzam maršrutētāja barošanu un pagaidiet 20 sekundes, pēc tam atlaidiet zobu bakstāmo.
Nākamās minūtes laikā Tiny PXE servera logā jāparādās šādiem ziņojumiem:

Ja parādās ziņojums, jūs esat pareizajā virzienā!

Atjaunojiet tīkla adaptera iestatījumus un iestatiet adreses dinamisku saņemšanu (izmantojot DHCP).

Savienojiet ar Mikrotik maršrutētāja LAN portiem (mūsu gadījumā 2…5), izmantojot to pašu ielāpu vadu. Vienkārši pārslēdziet to no 1. porta uz 2. portu. Atvērt adresi 192.168.1.1 pārlūkprogrammā.

Piesakieties OpenWRT administratīvajā saskarnē un dodieties uz izvēlnes sadaļu "Sistēma -> Dublēšana/Flash programmaparatūra".

Apakšsadaļā "Flash jauns programmaparatūras attēls" noklikšķiniet uz pogas "Atlasīt failu (Pārlūkot)".

Norādiet ceļu uz failu, kura nosaukums beidzas ar "-squashfs-sysupgrade.bin".

Pēc tam noklikšķiniet uz pogas "Flash Image".

Nākamajā logā noklikšķiniet uz pogas "Turpināt". Programmaparatūra sāks lejupielādi maršrutētājā.

!!! PROGRAMMATŪRAS PROCESA LAIKĀ NEKĀDĀ GADĪJUMĀ NEATvienojiet maršrutētāja strāvu!!!

Pēc maršrutētāja mirgošanas un pārstartēšanas jūs saņemsit Mikrotik ar OpenWRT programmaparatūru.

Iespējamās problēmas un risinājumi

Daudzās Mikrotik ierīcēs, kas izlaistas 2019. gadā, tiek izmantota GD25Q15 / Q16 tipa FLASH-NOR atmiņas mikroshēma. Problēma ir tāda, ka mirgošanas laikā dati par ierīces modeli netiek saglabāti.

Ja redzat kļūdu “Augšupielādētajā attēla failā nav atbalstīta formāta. Pārliecinieties, ka esat izvēlējies savai platformai vispārīgo attēla formātu." tad visticamāk problēma ir zibspuldzē.

To ir viegli pārbaudīt: palaidiet komandu, lai pārbaudītu modeļa ID ierīces terminālī

root@OpenWrt: cat /tmp/sysinfo/board_name

Un, ja saņemat atbildi "nezināms", jums manuāli jānorāda ierīces modelis formā "rb-951-2nd"

Lai iegūtu ierīces modeli, palaidiet komandu

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

Pēc ierīces modeļa saņemšanas instalējiet to manuāli:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

Pēc tam jūs varat mirgot ierīci, izmantojot tīmekļa saskarni vai izmantojot komandu "sysupgrade".

Izveidojiet VPN serveri, izmantojot WireGuard

Ja jums jau ir konfigurēts serveris ar WireGuard, varat izlaist šo darbību.
Es izmantošu lietojumprogrammu, lai iestatītu personīgo VPN serveri MyVPN.RUN par kaķi es jau publicēja recenziju.

WireGuard klienta konfigurēšana vietnē OpenWRT

Izveidojiet savienojumu ar maršrutētāju, izmantojot SSH protokolu:

ssh [email protected]

Instalējiet WireGuard:

opkg update
opkg install wireguard

Sagatavojiet konfigurāciju (kopējiet zemāk esošo kodu failā, nomainiet norādītās vērtības ar savām un palaidiet terminālī).

Ja izmantojat MyVPN, tālāk esošajā konfigurācijā jums tikai jāmaina WG_SERV - Servera IP WG_KEY - privātā atslēga no vadu aizsarga konfigurācijas faila un WG_PUB - publiskā atslēga.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

Tas pabeidz WireGuard iestatīšanu! Tagad visa trafika visās pievienotajās ierīcēs ir aizsargāta ar VPN savienojumu.

atsauces

Avots #1
Modificētas instrukcijas vietnē MyVPN (papildus pieejami norādījumi par L2TP, PPTP iestatīšanu standarta Mikrotik programmaparatūrā)
OpenWrt WireGuard klients

Avots: www.habr.com

WireGuard iestatīšana Mikrotik maršrutētājā, kurā darbojas OpenWrt