Dalam kebanyakan kes, menyambung penghala ke VPN tidak sukar, tetapi jika anda ingin melindungi keseluruhan rangkaian dan pada masa yang sama mengekalkan kelajuan sambungan yang optimum, maka penyelesaian terbaik ialah menggunakan terowong VPN .
Penghala Mikrotik terbukti boleh dipercayai dan penyelesaian yang sangat fleksibel, tetapi malangnya masih tidak dan tidak diketahui bila ia akan muncul dan dalam prestasi apa. Baru-baru ini tentang perkara yang dicadangkan oleh pembangun terowong VPN WireGuard , yang akan menjadikan perisian terowong VPN mereka sebahagian daripada kernel Linux, kami berharap ini akan menyumbang kepada penerimaan dalam RouterOS.
Tetapi buat masa ini, malangnya, untuk mengkonfigurasi WireGuard pada penghala Mikrotik, anda perlu menukar firmware.
Memasang Mikrotik, memasang dan mengkonfigurasi OpenWrt
Mula-mula anda perlu memastikan OpenWrt menyokong model anda. Lihat sama ada model sepadan dengan nama pemasaran dan imejnya .
Pergi ke openwrt.com .
Untuk peranti ini, kami memerlukan 2 fail:
Anda perlu memuat turun kedua-dua fail: memasang и Naik taraf.
1. Persediaan rangkaian, muat turun dan sediakan pelayan PXE
Muat turun untuk Windows versi terkini.
Nyahzip ke folder berasingan. Dalam fail config.ini tambah parameter rfc951=1 bahagian [dhcp]. Parameter ini adalah sama untuk semua model Mikrotik.
Mari kita beralih ke tetapan rangkaian: anda perlu mendaftarkan alamat ip statik pada salah satu antara muka rangkaian komputer anda.
Alamat IP: 192.168.1.10
Netmask: 255.255.255.0
Lari Pelayan PXE yang kecil bagi pihak Pentadbir dan pilih dalam medan DHCP Server pelayan dengan alamat 192.168.1.10
Pada sesetengah versi Windows, antara muka ini hanya mungkin muncul selepas sambungan Ethernet. Saya mengesyorkan menyambungkan penghala dan menukar penghala dan PC dengan segera menggunakan kord tampalan.
Tekan butang "..." (kanan bawah) dan tentukan folder tempat anda memuat turun fail perisian tegar untuk Mikrotik.
Pilih fail yang namanya berakhir dengan "initramfs-kernel.bin atau elf"
2. But penghala daripada pelayan PXE
Kami menyambungkan PC dengan wayar dan port pertama (wan, internet, poe in, ...) penghala. Selepas itu, kami mengambil tusuk gigi, melekatkannya ke dalam lubang dengan tulisan "Reset".
Kami menghidupkan kuasa penghala dan tunggu 20 saat, kemudian lepaskan pencungkil gigi.
Dalam minit seterusnya, mesej berikut akan muncul dalam tetingkap Pelayan Tiny PXE:
Jika mesej muncul, maka anda berada di arah yang betul!
Pulihkan tetapan pada penyesuai rangkaian dan tetapkan untuk menerima alamat secara dinamik (melalui DHCP).
Sambungkan ke port LAN penghala Mikrotik (2…5 dalam kes kami) menggunakan kord tampalan yang sama. Hanya tukar dari port pertama ke port kedua. Buka alamat dalam pelayar.
Log masuk ke antara muka pentadbiran OpenWRT dan pergi ke bahagian menu "System -> Backup/Flash Firmware"
Dalam subseksyen "Flash new firmware image", klik pada butang "Pilih fail (Semak imbas)".
Tentukan laluan ke fail yang namanya berakhir dengan "-squashfs-sysupgrade.bin".
Selepas itu, klik butang "Flash Image".
Dalam tetingkap seterusnya, klik butang "Teruskan". Perisian tegar akan mula memuat turun ke penghala.
!!! JANGAN PUTUS SAMBUNGAN KUASA PENGHALA SEMASA PROSES FIRMWARE !!!
Selepas berkelip dan but semula penghala, anda akan menerima Mikrotik dengan perisian tegar OpenWRT.
Masalah dan penyelesaian yang mungkin
Banyak peranti Mikrotik yang dikeluarkan pada tahun 2019 menggunakan cip memori FLASH-NOR jenis GD25Q15 / Q16. Masalahnya ialah apabila berkelip, data tentang model peranti tidak disimpan.
Jika anda melihat ralat "Fail imej yang dimuat naik tidak mengandungi format yang disokong. Pastikan anda memilih format imej generik untuk platform anda." maka kemungkinan besar masalahnya adalah dalam kilat.
Ia adalah mudah untuk menyemak ini: jalankan arahan untuk menyemak ID model dalam terminal peranti
root@OpenWrt: cat /tmp/sysinfo/board_nameDan jika anda mendapat jawapan "tidak diketahui", maka anda perlu menentukan model peranti secara manual dalam bentuk "rb-951-2nd"
Untuk mendapatkan model peranti, jalankan arahan
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndSelepas menerima model peranti, pasangkannya secara manual:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameSelepas itu, anda boleh memancarkan peranti melalui antara muka web atau menggunakan arahan "sysupgrade".
Buat pelayan VPN dengan WireGuard
Jika anda sudah mempunyai pelayan dengan WireGuard dikonfigurasikan, anda boleh melangkau langkah ini.
Saya akan menggunakan aplikasi untuk menyediakan pelayan VPN peribadi tentang kucing saya sudah .
Mengkonfigurasi Pelanggan WireGuard pada OpenWRT
Sambung ke penghala melalui protokol SSH:
ssh root@192.168.1.1Pasang WireGuard:
opkg update
opkg install wireguardSediakan konfigurasi (salin kod di bawah ke fail, gantikan nilai yang ditentukan dengan nilai anda sendiri dan jalankan di terminal).
Jika anda menggunakan MyVPN, maka dalam konfigurasi di bawah anda hanya perlu menukar WG_SERV - IP pelayan WG_KEY - kunci peribadi daripada fail konfigurasi pengawal wayar dan WG_PUB - kunci awam.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartIni melengkapkan persediaan WireGuard! Kini semua trafik pada semua peranti yang disambungkan dilindungi oleh sambungan VPN.
rujukan
(arahan tambahan tersedia untuk menyediakan L2TP, PPTP pada perisian tegar Mikrotik standard)
Sumber: www.habr.com
