Dalam kebanyakan kes, menyambung penghala ke VPN tidak sukar, tetapi jika anda ingin melindungi keseluruhan rangkaian dan pada masa yang sama mengekalkan kelajuan sambungan yang optimum, maka penyelesaian terbaik ialah menggunakan terowong VPN
Penghala Mikrotik terbukti boleh dipercayai dan penyelesaian yang sangat fleksibel, tetapi malangnya
Tetapi buat masa ini, malangnya, untuk mengkonfigurasi WireGuard pada penghala Mikrotik, anda perlu menukar firmware.
Memasang Mikrotik, memasang dan mengkonfigurasi OpenWrt
Mula-mula anda perlu memastikan OpenWrt menyokong model anda. Lihat sama ada model sepadan dengan nama pemasaran dan imejnya
Pergi ke openwrt.com
Untuk peranti ini, kami memerlukan 2 fail:
Anda perlu memuat turun kedua-dua fail: memasang ΠΈ Naik taraf.
1. Persediaan rangkaian, muat turun dan sediakan pelayan PXE
Muat turun
Nyahzip ke folder berasingan. Dalam fail config.ini tambah parameter rfc951=1 bahagian [dhcp]. Parameter ini adalah sama untuk semua model Mikrotik.
Mari kita beralih ke tetapan rangkaian: anda perlu mendaftarkan alamat ip statik pada salah satu antara muka rangkaian komputer anda.
Alamat IP: 192.168.1.10
Netmask: 255.255.255.0
Lari Pelayan PXE yang kecil bagi pihak Pentadbir dan pilih dalam medan DHCP Server pelayan dengan alamat 192.168.1.10
Pada sesetengah versi Windows, antara muka ini hanya mungkin muncul selepas sambungan Ethernet. Saya mengesyorkan menyambungkan penghala dan menukar penghala dan PC dengan segera menggunakan kord tampalan.
Tekan butang "..." (kanan bawah) dan tentukan folder tempat anda memuat turun fail perisian tegar untuk Mikrotik.
Pilih fail yang namanya berakhir dengan "initramfs-kernel.bin atau elf"
2. But penghala daripada pelayan PXE
Kami menyambungkan PC dengan wayar dan port pertama (wan, internet, poe in, ...) penghala. Selepas itu, kami mengambil tusuk gigi, melekatkannya ke dalam lubang dengan tulisan "Reset".
Kami menghidupkan kuasa penghala dan tunggu 20 saat, kemudian lepaskan pencungkil gigi.
Dalam minit seterusnya, mesej berikut akan muncul dalam tetingkap Pelayan Tiny PXE:
Jika mesej muncul, maka anda berada di arah yang betul!
Pulihkan tetapan pada penyesuai rangkaian dan tetapkan untuk menerima alamat secara dinamik (melalui DHCP).
Sambungkan ke port LAN penghala Mikrotik (2β¦5 dalam kes kami) menggunakan kord tampalan yang sama. Hanya tukar dari port pertama ke port kedua. Buka alamat
Log masuk ke antara muka pentadbiran OpenWRT dan pergi ke bahagian menu "System -> Backup/Flash Firmware"
Dalam subseksyen "Flash new firmware image", klik pada butang "Pilih fail (Semak imbas)".
Tentukan laluan ke fail yang namanya berakhir dengan "-squashfs-sysupgrade.bin".
Selepas itu, klik butang "Flash Image".
Dalam tetingkap seterusnya, klik butang "Teruskan". Perisian tegar akan mula memuat turun ke penghala.
!!! JANGAN PUTUS SAMBUNGAN KUASA PENGHALA SEMASA PROSES FIRMWARE !!!
Selepas berkelip dan but semula penghala, anda akan menerima Mikrotik dengan perisian tegar OpenWRT.
Masalah dan penyelesaian yang mungkin
Banyak peranti Mikrotik yang dikeluarkan pada tahun 2019 menggunakan cip memori FLASH-NOR jenis GD25Q15 / Q16. Masalahnya ialah apabila berkelip, data tentang model peranti tidak disimpan.
Jika anda melihat ralat "Fail imej yang dimuat naik tidak mengandungi format yang disokong. Pastikan anda memilih format imej generik untuk platform anda." maka kemungkinan besar masalahnya adalah dalam kilat.
Ia adalah mudah untuk menyemak ini: jalankan arahan untuk menyemak ID model dalam terminal peranti
root@OpenWrt: cat /tmp/sysinfo/board_name
Dan jika anda mendapat jawapan "tidak diketahui", maka anda perlu menentukan model peranti secara manual dalam bentuk "rb-951-2nd"
Untuk mendapatkan model peranti, jalankan arahan
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Selepas menerima model peranti, pasangkannya secara manual:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Selepas itu, anda boleh memancarkan peranti melalui antara muka web atau menggunakan arahan "sysupgrade".
Buat pelayan VPN dengan WireGuard
Jika anda sudah mempunyai pelayan dengan WireGuard dikonfigurasikan, anda boleh melangkau langkah ini.
Saya akan menggunakan aplikasi untuk menyediakan pelayan VPN peribadi
Mengkonfigurasi Pelanggan WireGuard pada OpenWRT
Sambung ke penghala melalui protokol SSH:
ssh [email protected]
Pasang WireGuard:
opkg update
opkg install wireguard
Sediakan konfigurasi (salin kod di bawah ke fail, gantikan nilai yang ditentukan dengan nilai anda sendiri dan jalankan di terminal).
Jika anda menggunakan MyVPN, maka dalam konfigurasi di bawah anda hanya perlu menukar WG_SERV - IP pelayan WG_KEY - kunci peribadi daripada fail konfigurasi pengawal wayar dan WG_PUB - kunci awam.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ°
WG_PORT="51820" # ΠΏΠΎΡΡ wireguard
WG_ADDR="10.8.0.2/32" # Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ Π°Π΄ΡΠ΅ΡΠΎΠ² wireguard
WG_KEY="xxxxx" # ΠΏΡΠΈΠ²Π°ΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
WG_PUB="xxxxx" # ΠΏΡΠ±Π»ΠΈΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Ini melengkapkan persediaan WireGuard! Kini semua trafik pada semua peranti yang disambungkan dilindungi oleh sambungan VPN.
rujukan
Sumber: www.habr.com