
ááá
á¹á
á¡áá»á¬ážá
á¯ááœááºá Router áá
áºáá¯á¡á¬áž VPN ááá¯á·áá»áááºáááºááŒááºážááẠááááºáá²áá±á¬áºáááºáž áááºááẠááœááºáááºáá
áºáá¯áá¯á¶ážááᯠáá¬ááœááºááŒá®áž á¡áá±á¬ááºážáá¯á¶ážáá»áááºáááºááŸá¯ááŒááºááŸá¯ááºážááᯠáá
áºáá»áááºáááºážááœáẠááááºážááááºážááá¯áá«áá á¡áá±á¬ááºážáá¯á¶ážááŒá±ááŸááºážáá»ááºááŸá¬ VPN tunnel ááá¯á¡áá¯á¶ážááŒá¯áááºááŒá
áºáááºá .
Routers ááœá±á mikrotik áá¯á¶ááŒááºá áááºáá»áááŒá®áž á¡ááœááºááŒá±á¬ááºážááœááºááŒááºááœááºááŒá±ááŸááºážáááºážáá»á¬ážááŒá áºááŒá±á¬ááºáž áááºáá±ááŒáá²á·áá±á¬áºáááºáž áá¶ááá±á¬ááºážáá«á áááºááá·áºá¡áá»áááºááœáẠáá±á«áºáá¬áááºááᯠáááááá±ážáá±á áááŒá¬áá±ážáá®á VPN tunnel áá²á· developer ááœá±á WireGuard áááºážááŸááºážáá²á·ááẠáááºážááẠáááºážááá¯á·á VPN tunneling software ááᯠá¡áááá¡á áááºá¡ááá¯ááºážáá áºáᯠááŒá áºá á±áááºááŒá áºááẠLinuxáá«á RouterOS ááŸá¬ á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯ááᯠááœááºáá°áá»á±á¬ááœá±á·á á±áááºááá¯á· áá»áŸá±á¬áºááá·áºáá«áááºá
áá«áá±ááá·áº á¡áá¯á¡ááœááºáá±á¬á· áá¶ááá±á¬ááºážá
áœá¬áá²á áááºáá±á¬ááºááŸá¯á¡ááœáẠWireGuard Mikrotik router áá²á· firmware ááᯠááŒá±á¬ááºážááá¯á· ááá¯áá«áááºá
Mikrotik ááᯠFlashing áá¯ááºááŒááºážá OpenWrt ááá¯ááá·áºááœááºážááŒááºážááŸáá·áº configure áá¯ááºááŒááºážá
ááááŠážá áœá¬ áááºááẠOpenWrt ááẠááá·áºáá±á¬áºáááºááᯠáá¶á·ááá¯ážáá±ážááŒá±á¬ááºáž áá±áá»á¬á á±áááºááá¯á¡ááºáá«áááºá áá±á¬áºáááºáá áºáŠážááẠáááºážáá á»á±ážááœááºááŸá¬ááœá±áá±ážá¡áááºááŸáá·áº áá¯á¶ááŸáá·áºááá¯ááºáá®ááŸá¯ááŸááááŸá ááŒáá·áºááŸá¯áá«á .
openwrt.com ááá¯á·ááœá¬ážáá«á .
á€á ááºáá á¹á ááºážá¡ááœááºá áá»áœááºá¯ááºááá¯á·ááẠááá¯áẠá áᯠááá¯á¡ááºáááº-
ááá¯ááºááŸá áºáá¯áá¯á¶ážááᯠáá±á«ááºážáá¯ááºáá¯ááºááẠááá¯á¡ááºáááº- Install О á¡áááºá·ááŒáŸááºá·.

1. ááœááºáááºáááºáá±á¬ááºááŸá¯á áá±á«ááºážáá¯ááºáá¯ááºááŒá®áž PXE áá¬áá¬ááᯠá áá áºááá·áºááœááºážáá«á
áá±á«ááºážáá¯áẠá¡ááœáẠWindows áá±á¬ááºáá¯á¶ážááœááºáá¬ážááŸááºážá
áá®ážááŒá¬ážááá¯ááºááœá²áá áºáá¯ááá¯á· áá áºááœáá·áºáá«á config.ini ááá¯ááºááœáẠparameter ááá¯ááá·áºáá«á rfc951=1 á¡ááá¯ááºáž [dhcp]. á€ááá·áºáááºáá»ááºááẠMikrotik áá±á¬áºáááºáá»á¬ážá¡á¬ážáá¯á¶ážá¡ááœáẠáá°áá®áá«áááºá

ááœááºáááºáááºáááºáá»á¬ážááá¯á· áááºááœá¬ážááŒáá«á
áá¯á·- ááá·áºááœááºáá»á°áá¬á ááœááºáááºáá»áááºáááºááŸá¯áá
áºáá¯ááœáẠstatic ip ááááºá
á¬ááᯠááŸááºáá¯á¶áááºááẠááá¯á¡ááºáááºá

IP ááááºá á¬- 192.168.1.10
Netmask- 255.255.255.0

ááŒá±ážáá« áá±ážáááºáá±á¬ PXE áá¬áᬠAdministrator ááá¯ááºá
á¬áž ááœááºáááºááœáẠááœá±ážáá»ááºáá«á DHCP Server ááᯠááááºá
á¬ááŸáá·áºá¡áá°áá¬áᬠ192.168.1.10
áá¬ážááŸááºážá¡áá»áá¯á·ááœáẠWindows áá® interface á Ethernet áá»áááºáááºááŒá®ážááŸáᬠáá±á«áºáá¬ááá¯ááºáá«áááºá router ááᯠáá»áááºáááºááŒá®áž patch cord ááᯠá¡áá¯á¶ážááŒá¯ááŒá®áž router áá²á· PC ááᯠáá»ááºáá»ááºážáá»áááºáááºááá¯á· á¡ááŒá¶ááŒá¯ááá¯áá«áááºá

"..." ááá¯áẠ(á¡á±á¬ááºááŒá±áá¬áááº) ááá¯ááŸáááºááŒá®áž Mikrotik á¡ááœáẠFirmware ááá¯ááºáá»á¬ážááᯠáááºáá±á«ááºážáá¯ááºáá¯ááºáá¬ážááá·áº ááá¯ááºááœá²ááᯠáááºááŸááºáá«á
"initramfs-kernel.bin ááá¯á·ááá¯áẠelf" ááŒáá·áºá¡áá¯á¶ážá¡áááºááŸááá±á¬ááá¯ááºááá¯ááœá±ážáá»ááºáá«á

2. PXE áá¬áá¬á០router ááᯠá áááºááŒááºáž
áá»áœááºá¯ááºááá¯á·ááẠPC ááá¯áá«áá¬ááŒáá¯ážááŸáá·áº router áááá port (waná internetá poe in, ...) ááŸáá·áºáá»áááºáááºáááºá ááá¯á·áá±á¬áẠááœá¬ážááŒá¬ážááá¯ážáá¶ááá¯áá°ááŒá®áž "Reset" áá°áá±á¬ á á¬áááºážááŒáá·áº á¡áá±á«ááºáá²ááá¯á· áááºáá«á

áá»áœááºá¯ááºááá¯á·ááẠrouter ááá«áá«ááá¯ááœáá·áºááŒá®áž 20 á
áá¹ááá·áºá
á±á¬áá·áºáá«á ááá¯á·áá±á¬ááºááœá¬ážááŒá¬ážááá¯ážáá¶ááá¯áá¯ááºáá«á
áá±á¬ááºáá
áºáááá
áºá¡ááœááºážá á¡á±á¬ááºáá±á¬áºááŒáá« á
á¬ááá¯áá»á¬ážááẠTiny PXE áá¬áá¬áááºážááá¯ážááœáẠáá±á«áºáá¬ááá·áºáááº-

áááºáá±á·áá»áºáá±á«áºáá¬áá«á áááºááẠáááºážááŒá±á¬ááºážááŸááºááá¯á· áá±á¬ááºáá±ááŒá®ááŒá
áºáááºá
ááœááºáááºá¡áááºáá¬áá±á«áºááŸá áááºáááºáá»á¬ážááᯠááŒááºáááºááá°ááŒá®áž ááááºá á¬ááᯠááá¯ááºážááá áºáá¯á¶á á¶ááŒáá·áº áááºáá¶ááá°ááẠ(DHCP) áááºááŸááºáá«á
áá°áá®áá±á¬ patch ááŒáá¯ážááᯠá¡áá¯á¶ážááŒá¯á Mikrotik router (áá»áœááºá¯ááºááá¯á·áááá á¹á ááœáẠ2âŠ5) á LAN áá±á«ááºáá»á¬ážááᯠáá»áááºáááºáá«á 1st port á០2nd port ááá¯á·ááŒá±á¬ááºážáá¯á¶áá«áá²á ááááºá á¬ááœáá·áºáá«á browser ááœááºá

OpenWRT á
á®áá¶ááá·áºááœá²áá±ážá¡ááºáá¬áá±á·á
áºááá¯á·áááºáá±á¬ááºááŒá®áž "System -> Backup/Flash Firmware" áá®áá°ážááá¹áááá¯á·ááœá¬ážáá«á

"Flash new firmware image" á¡ááá¯ááºážááœá²ááœááºá "ááá¯ááºááá¯ááœá±ážáá»ááºáá« (Browse)" ááá¯ááºááᯠááŸáááºáá«á

"-squashfs-sysupgrade.bin" ááŒáá·áºá¡áá¯á¶ážá¡áááºááŸááá±á¬ááá¯ááºááá¯á·áááºážááŒá±á¬ááºážááá¯áááºááŸááºáá«á

ááá¯á·áá±á¬áẠ"Flash Image" ááá¯ááºááá¯ááŸáááºáá«á
áá±á¬áẠwindow ááœááºá "Proceed" ááá¯ááºááá¯ááŸáááºáá«á firmware ááẠrouter ááá¯á·á áááºáá±á«ááºážáá¯ááºáá¯ááºáááá·áºáááºá

!!! FIRMWARE áá¯ááºáááºážá
ááºá¡ááœááºáž Router á áá«áá«ááᯠááŒááºáá±á¬ááºááŒááºážáááŒá¯áá«ááŸáá·áºá

Router ááᯠflashing áá¯ááºááŒá®áž reboot áá¯ááºááŒá®ážáá±á¬ááºá OpenWRT firmware ááŒáá·áº Mikrotik ááá¯áááŸááá«áááºá
ááŒá áºááá¯ááºááŒá±ááŸááá±á¬ ááŒá¿áá¬áá»á¬ážááŸáá·áº ááŒá±ááŸááºážáááºážáá»á¬áž
2019 áá¯ááŸá áºááœááºááœááºááŸááá²á·áá±á¬ Mikrotik á ááºá¡áá»á¬ážá¡ááŒá¬ážááẠGD25Q15/Q16 á¡áá»áá¯ážá¡á á¬ážá FLASH-NOR áááºááá¯áá®áá»á áºááºááᯠá¡áá¯á¶ážááŒá¯áá«áááºá ááŒá¿áá¬á ááŸáááºáá¯ááºááŸáááºáá¯ááºááŸáááºáá¯ááºááŸáááºáá¯ááºáá¯ááºáá±á¬á¡áá«á á ááºáá á¹á ááºážáá±á¬áºáááºááŸáá·áºáááºáááºááá·áºáá±áá¬ááᯠáááááºážáááºážáá«á
á¡ááŸá¬ážááœá±á·áá«á "The uploaded image file does not contain a supported format. ááá·áºááááºáá±á¬ááºážá¡ááœáẠáá±áá¯áá»áá¯á¶áá±á¬áºáááºááᯠáááºááœá±ážáá»ááºááŒá±á¬ááºáž áá±áá»á¬áá«á á±á" ááá¯á·áá±á¬ááºááœáẠááŒá¿áá¬á¡áá»á¬ážá á¯ááŸá¬ Flash ááœáẠááŸááá±áááºá
áááºážááá¯á á áºáá±ážáááºááœááºáá°áááº- á ááºáá á¹á ááºáž terminal ááœááºáá±á¬áºááẠID ááá¯á á áºáá±ážááẠcommand ááá¯ááœáá·áºáá«á
root@OpenWrt: cat /tmp/sysinfo/board_name
á¡áááºá áááºááẠ"ááááá±á¬" á¡ááŒá±ááá¯ááá«á "rb-951-2nd" áá¯á¶á á¶ááŒáá·áº á ááºáá á¹á ááºážáá±á¬áºáááºááᯠááá¯ááºááá¯ááºáááºááŸááºááẠááá¯á¡ááºáá«áááºá
á ááºáá á¹á ááºáž áá±á¬áºáááºááᯠááá°áááºá á¡áááá·áºááᯠááœáá·áºáá«á
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
á ááºáá á¹á ááºážáá±á¬áºáááºááᯠáááºáá¶áááŸáááŒá®ážáá±á¬ááºá áááºážááᯠááá¯ááºááá¯ááºááá·áºááœááºážáá«-
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
áááºážáá±á¬ááºá áááºááẠáááºá¡ááºáá¬áá±á·á áºááŸáá áºááá·áº ááá¯á·ááá¯áẠ"sysupgrade" á¡áááá·áºááᯠá¡áá¯á¶ážááŒá¯á á ááºáá á¹á ááºážááᯠflash ááá¯ááºáááºá
VPN server áá áºáᯠáááºáá®ážáá« WireGuard
server áá
áºáá¯ááᯠconfigure áá¯ááºááŒá®ážáá¬ážááá¯ááẠWireGuardá ááá¯á·áá±á¬áẠá€á¡áá»ááºááᯠáá»á±á¬áºááœá¬ážááá¯ááºáá«áááºá
ááá¯ááºáá±ážááá¯ááºáᬠVPN áá¬áá¬áá
áºáá¯áááºáá±á¬ááºááẠá¡ááá®áá±ážááŸááºážááᯠá¡áá¯á¶ážááŒá¯áá«áááºá áá«ááŸáááŒá®ážáá¬ážááŒá±á¬ááºá¡ááŒá±á¬ááºáž .
ááá·áºá¡á±á¬ááºáá¯ááºááŒááºáž WireGuard OpenWRT ááŸá client
SSH áááá¯ááá¯áá±á¬ááŸáá áºááá·áº router ááá¯á· áá»áááºáááºáá«-
ssh root@192.168.1.1
áááºááŸááºááẠWireGuard:
opkg update
opkg install wireguard
ááœá²á·á ááºážááŸá¯áá¯á¶á á¶ááᯠááŒááºáááºáá« (á¡á±á¬ááºáá«áá¯ááºááᯠááá¯ááºáá áºáá¯ááá¯á· áá°ážáá°áá«á áááºááŸááºáá¬ážáá±á¬áááºááá¯ážáá»á¬ážááᯠááá·áºááá¯ááºááá¯ááºááŒáá·áº á¡á á¬ážááá¯ážááŒá®áž terminal ááœáẠáá¯ááºáá±á¬ááºáá«)á
á¡áááºá áááºááẠMyVPN ááá¯á¡áá¯á¶ážááŒá¯áá±áá«áá á¡á±á¬ááºáá±á¬áºááŒáá«ááœá²á·á ááºážáá¯á¶ááœáẠáááºááẠááŒá±á¬ááºážáá²áááºááá¯á¡ááºáá«áááºá WG_SERV - áá¬áᬠIP WG_KEY â configuration ááá¯ááºá០private key wireguard О WG_PUB - á¡áá»á¬ážáá°ááŸá¬áá±á¬á·á
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip аЎÑÐµÑ ÑеÑвеÑа
WG_PORT="51820" # пПÑÑ wireguard
WG_ADDR="10.8.0.2/32" # ЎОапазПМ аЎÑеÑПв wireguard
WG_KEY="xxxxx" # пÑОваÑМÑй клÑÑ
WG_PUB="xxxxx" # пÑблОÑМÑй клÑÑ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
á áá áºááá·áºááœááºážááŸá¯á¡ááœáẠáá«áá«áá² WireGuard ááŒá®ážáá«ááŒá®á ááᯠáá»áááºáááºáá¬ážáá±á¬ á ááºáá á¹á ááºážá¡á¬ážáá¯á¶ážááŸá á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠVPN áá»áááºáááºááŸá¯ááŒáá·áº áá¬ááœááºáá¬ážáá«áááºá
ááá¯ážáá¬áž
(áá¯á¶ááŸáẠMikrotik firmware ááœáẠL2TPá PPTP á
ááœáá·áºáááºááŸááºááŒááºážá¡ááœáẠáá±á¬ááºáááºáááŸáááá¯ááºáá±á¬ ááœáŸááºááŒá¬ážáá»ááºáá»á¬áž)
source: www.habr.com
