Во повеќето случаи, поврзувањето рутер со VPN не е тешко, но ако сакате да ја заштитите целата мрежа и во исто време да ја одржите оптималната брзина на поврзување, тогаш најдобро решение е да користите VPN тунел .
Рутери Микротик се покажаа како сигурни и многу флексибилни решенија, но за жал се уште не и не се знае кога ќе се појави и во каква изведба. Неодамна за тоа што предложија развивачите на тунелот WireGuard VPN , што ќе го направи нивниот софтвер за тунелирање VPN дел од кернелот на Linux, се надеваме дека ова ќе придонесе за усвојување во RouterOS.
Но, засега, за жал, за да го конфигурирате WireGuard на рутерот на Mikrotik, треба да го промените фирмверот.
Трепка Mikrotik, инсталирање и конфигурирање на OpenWrt
Прво треба да бидете сигурни дека OpenWrt го поддржува вашиот модел. Погледнете дали моделот одговара на неговото маркетиншко име и имиџ .
Одете на openwrt.com .
За овој уред ни требаат 2 датотеки:
Треба да ги преземете двете датотеки: Инсталирајте и Надградба.
1. Поставување на мрежа, преземање и поставување PXE сервер
Преземи за најновата верзија на Windows.
Отпакувајте во посебна папка. Во датотеката config.ini додадете го параметарот rfc951=1 дел [dhcp]. Овој параметар е ист за сите модели на Mikrotik.
Ајде да преминеме на мрежните поставки: треба да регистрирате статична IP адреса на еден од мрежните интерфејси на вашиот компјутер.
IP адреса: 192.168.1.10
Мрежна маска: 255.255.255.0
Стартувај Мал PXE сервер во име на Администраторот и изберете во полето DHCP сервер сервер со адреса 192.168.1.10
На некои верзии на Windows, овој интерфејс може да се појави само по етернет врска. Препорачувам да поврзете рутер и веднаш да ги префрлите рутерот и компјутерот користејќи печ-кабел.
Притиснете го копчето „...“ (долу десно) и наведете ја папката каде што сте ги преземале датотеките на фирмверот за Mikrotik.
Изберете датотека чие име завршува со „initramfs-kernel.bin или elf“
2. Подигнување на рутерот од серверот PXE
Компјутерот го поврзуваме со жица и првата порта (wan, интернет, poe in, ...) на рутерот. После тоа, земаме чепкалка за заби, ја залепуваме во дупката со натпис "Ресетирање".
Го вклучуваме напојувањето на рутерот и чекаме 20 секунди, а потоа отпуштаме чепкалка за заби.
Во следната минута, следните пораки треба да се појават во прозорецот на Tiny PXE Server:
Ако се појави пораката, тогаш сте во вистинската насока!
Вратете ги поставките на мрежниот адаптер и поставете да ја прима адресата динамично (преку DHCP).
Поврзете се со LAN-портите на рутерот Mikrotik (2…5 во нашиот случај) користејќи го истиот лепенка. Само префрлете го од 1-ва порта на 2-та порта. Отворете ја адресата во прелистувачот.
Најавете се на административниот интерфејс OpenWRT и одете во делот од менито „Систем -> Резервна копија/Флеш фирмвер“
Во подсекцијата „Флеш нова слика на фирмверот“, кликнете на копчето „Избери датотека (Преглед)“.
Наведете ја патеката до датотеката чие име завршува на „-squashfs-sysupgrade.bin“.
После тоа, кликнете на копчето "Флеш слика".
Во следниот прозорец, кликнете на копчето "Продолжи". Фирмверот ќе започне да се презема на рутерот.
!!! ВО НИКОЈ СЛУЧАЈ НЕ ИСКЛУЧУВАЈТЕ ГО НАПОЈУВАЊЕТО НА РУТЕРОТ ЗА ВРЕМЕ НА ПРОЦЕСОТ НА ФИРМВЕР !!!
По трепкањето и рестартирањето на рутерот, ќе добиете Mikrotik со фирмверот OpenWRT.
Можни проблеми и решенија
Многу уреди на Mikrotik објавени во 2019 година користат мемориски чип FLASH-NOR од типот GD25Q15 / Q16. Проблемот е што кога трепка, податоците за моделот на уредот не се зачувуваат.
Ако ја видите грешката „Поставената датотека со слика не содржи поддржан формат. Погрижете се да го изберете генеричкиот формат на слика за вашата платформа“. тогаш најверојатно проблемот е во флеш.
Лесно е да се провери ова: извршете ја командата за да го проверите ID на моделот во терминалот на уредот
root@OpenWrt: cat /tmp/sysinfo/board_nameИ ако го добиете одговорот „непознат“, тогаш треба рачно да го наведете моделот на уредот во форма „rb-951-2nd“
За да го добиете моделот на уредот, извршете ја командата
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndОткако ќе го добиете моделот на уредот, инсталирајте го рачно:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameПосле тоа, можете да го трепкате уредот преку веб-интерфејсот или користејќи ја командата „sysupgrade“.
Создадете VPN сервер со WireGuard
Ако веќе имате сервер со конфигуриран WireGuard, можете да го прескокнете овој чекор.
Ќе ја користам апликацијата за поставување личен VPN сервер за мачката јас веќе .
Конфигурирање на клиентот WireGuard на OpenWRT
Поврзете се со рутерот преку протоколот SSH:
ssh [email protected]Инсталирајте WireGuard:
opkg update
opkg install wireguardПодгответе ја конфигурацијата (копирајте го кодот подолу во датотека, заменете ги наведените вредности со свои и стартувајте во терминалот).
Ако користите MyVPN, тогаш во конфигурацијата подолу треба само да промените WG_SERV - IP на серверот WG_KEY - приватен клуч од конфигурациската датотека на wireguard и WG_PUB - јавен клуч.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartОва го комплетира поставувањето на WireGuard! Сега целиот сообраќај на сите поврзани уреди е заштитен со VPN конекција.
референци
(дополнително достапни инструкции за поставување L2TP, PPTP на стандарден фирмвер на Mikrotik)
Извор: www.habr.com