Ихэнх тохиолдолд чиглүүлэгчийг VPN-тэй холбох нь тийм ч хэцүү биш боловч хэрэв та сүлжээг бүхэлд нь хамгаалж, холболтын оновчтой хурдыг хадгалахыг хүсч байвал VPN туннелийг ашиглах нь хамгийн сайн шийдэл юм. .
Чиглүүлэгчид Mikrotik найдвартай, маш уян хатан шийдэл болох нь батлагдсан боловч харамсалтай нь хараахан болоогүй байгаа бөгөөд хэзээ, ямар гүйцэтгэлээр гарах нь тодорхойгүй байна. Саяхан WireGuard VPN туннелийн хөгжүүлэгчид юу санал болгосон талаар , энэ нь тэдний VPN туннелийн програм хангамжийг Линуксийн цөмийн нэг хэсэг болгох бөгөөд энэ нь RouterOS-д нэвтрүүлэхэд хувь нэмэр оруулна гэж найдаж байна.
Гэвч харамсалтай нь Microtik чиглүүлэгч дээр WireGuard-г тохируулахын тулд та програм хангамжийг өөрчлөх хэрэгтэй.
Mikrotik-г анивчуулж, OpenWrt-г суулгаж, тохируулна уу
Эхлээд та OpenWrt таны загварыг дэмждэг эсэхийг шалгах хэрэгтэй. Загвар нь түүний маркетингийн нэр, дүр төрхтэй тохирч байгаа эсэхийг хараарай .
openwrt.com руу очно уу .
Энэ төхөөрөмжийн хувьд бидэнд 2 файл хэрэгтэй:
Та хоёр файлыг татаж авах хэрэгтэй: Суулгах и шинэчлэх.
1. Сүлжээний тохиргоо, PXE серверийг татаж авах, тохируулах
Татаж авах Windows-ийн хамгийн сүүлийн хувилбарт зориулсан.
Тусдаа хавтас руу задлаарай. config.ini файлд параметрийг нэмнэ үү rfc951=1 Хэсэг [dhcp]. Энэ параметр нь бүх Mikrotik загварт ижил байна.
Сүлжээний тохиргоо руу шилжье: та компьютерийнхээ сүлжээний интерфэйсүүдийн аль нэгэнд статик IP хаягийг бүртгүүлэх хэрэгтэй.
IP хаяг: 192.168.1.10
Сүлжээний маск: 255.255.255.0
Гүйх Жижигхэн PXE сервер Администраторын нэрийн өмнөөс талбарт сонгоно уу DHCP сервер хаягтай сервер 192.168.1.10
Windows-ийн зарим хувилбаруудад энэ интерфейс нь зөвхөн Ethernet холболтын дараа гарч ирж болно. Би чиглүүлэгчийг холбож, чиглүүлэгч болон компьютерийг нөхөөс ашиглан нэн даруй солихыг зөвлөж байна.
"..." товчийг (баруун доод талд) дарж, Mikrotik програмын файлуудыг татаж авсан хавтасаа зааж өгнө үү.
"initramfs-kernel.bin эсвэл elf" гэсэн нэрээр төгссөн файлыг сонгоно уу.
2. PXE серверээс чиглүүлэгчийг ачаалж байна
Бид компьютерийг утас болон чиглүүлэгчийн эхний портоор (wan, internet, poe in, ...) холбодог. Үүний дараа бид шүдний оо аваад "Дахин тохируулах" гэсэн бичээстэй нүхэнд хийнэ.
Бид чиглүүлэгчийн хүчийг асаагаад 20 секунд хүлээсний дараа шүдний оо гаргана.
Дараагийн минутын дотор Tiny PXE серверийн цонхонд дараах мессежүүд гарч ирнэ.
Хэрэв мессеж гарч ирвэл та зөв чиглэлд явж байна!
Сүлжээний адаптер дээрх тохиргоог сэргээж, хаягийг динамикаар (DHCP-ээр) хүлээн авахаар тохируулна уу.
Микротик чиглүүлэгчийн LAN портуудад (бидний тохиолдолд 2…5) ижил нөхөөсний утсыг ашиглан холбогдоно уу. Үүнийг 1-р портоос 2-р порт руу шилжүүлээрэй. Нээлттэй хаяг хөтөч дээр.
OpenWRT-ийн удирдлагын интерфэйс рүү нэвтэрч "Систем -> Нөөцлөх/Flash Firmware" цэс рүү очно уу.
"Шинэ програмын дүрсийг флаш" хэсэгт "Файлыг сонгох (Үзэх)" товчийг дарна уу.
Нэр нь "-squashfs-sysupgrade.bin"-ээр төгссөн файлын замыг зааж өгнө үү.
Үүний дараа "Flash Image" товчийг дарна уу.
Дараагийн цонхонд "Үргэлжлүүлэх" товчийг дарна уу. Програм хангамжийг чиглүүлэгч рүү татаж эхэлнэ.
!!! ЯМАР Ч ХЭРЭГТЭЙ ХЭРЭГЛЭЭД ХӨГЖЛҮҮЛЭГЧДИЙН ЭРЧИМ ХҮЧНИЙГ БҮҮ САЛГААРАЙ !!!
Чиглүүлэгчийг анивчуулж, дахин ачаалсны дараа та OpenWRT програм хангамжтай Mikrotik-г хүлээн авах болно.
Боломжит асуудал, шийдэл
2019 онд гарсан олон Mikrotik төхөөрөмжүүд нь GD25Q15 / Q16 төрлийн FLASH-NOR санах ойн чипийг ашигладаг. Асуудал нь анивчих үед төхөөрөмжийн загварын талаарх мэдээлэл хадгалагдахгүй байгаа явдал юм.
Хэрэв та "Байршуулсан зургийн файл нь дэмжигдсэн форматыг агуулаагүй байна" гэсэн алдааг харвал. Та платформдоо ерөнхий зургийн форматыг сонгосон эсэхээ шалгаарай." тэгвэл асуудал флэш дээр байх магадлалтай.
Үүнийг шалгахад хялбар: төхөөрөмжийн терминал дахь загварын ID-г шалгах командыг ажиллуулна уу
root@OpenWrt: cat /tmp/sysinfo/board_nameХэрэв та "үл мэдэгдэх" гэсэн хариултыг авбал та төхөөрөмжийн загварыг "rb-951-2nd" хэлбэрээр гараар зааж өгөх хэрэгтэй.
Төхөөрөмжийн загварыг авахын тулд тушаалыг ажиллуулна уу
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndТөхөөрөмжийн загварыг хүлээн авсны дараа үүнийг гараар суулгана уу:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameҮүний дараа та төхөөрөмжийг вэб интерфэйсээр эсвэл "sysupgrade" командыг ашиглан анивчих боломжтой
WireGuard ашиглан VPN сервер үүсгэнэ үү
Хэрэв танд WireGuard тохируулагдсан сервер байгаа бол энэ алхамыг алгасаж болно.
Би хувийн VPN серверийг тохируулахын тулд програмыг ашиглах болно муурны тухай би аль хэдийн .
OpenWRT дээр WireGuard клиентийг тохируулж байна
SSH протоколоор чиглүүлэгчтэй холбогдоно уу:
ssh [email protected]WireGuard суулгах:
opkg update
opkg install wireguardТохиргоог бэлтгэ (доорх кодыг файл руу хуулж, заасан утгуудыг өөрийн утгаар сольж, терминал дээр ажиллуулна уу).
Хэрэв та MyVPN ашиглаж байгаа бол доорх тохиргоог өөрчлөхөд л хангалттай WG_SERV - Серверийн IP WG_KEY - wireguard тохиргооны файлын хувийн түлхүүр ба WG_PUB - нийтийн түлхүүр.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartЭнэ нь WireGuard-н тохиргоог дуусгана! Одоо холбогдсон бүх төхөөрөмж дээрх бүх урсгал VPN холболтоор хамгаалагдсан.
лавлагаа
(стандарт Mikrotik програм дээр L2TP, PPTP тохируулах нэмэлт зааварчилгаа)
Эх сурвалж: www.habr.com