ááá
á¹á
á¡áá»á¬ážá
á¯ááœááºá Router áá
áºáá¯á¡á¬áž VPN ááá¯á·áá»áááºáááºááŒááºážááẠááááºáá²áá±á¬áºáááºáž áááºááẠááœááºáááºáá
áºáá¯áá¯á¶ážááᯠáá¬ááœááºááŒá®áž á¡áá±á¬ááºážáá¯á¶ážáá»áááºáááºááŸá¯ááŒááºááŸá¯ááºážááᯠáá
áºáá»áááºáááºážááœáẠááááºážááááºážááá¯áá«áá á¡áá±á¬ááºážáá¯á¶ážááŒá±ááŸááºážáá»ááºááŸá¬ VPN tunnel ááá¯á¡áá¯á¶ážááŒá¯áááºááŒá
áºáááºá
Routers ááœá±á mikrotik áá¯á¶ááŒááºá
áááºáá»áááŒá®áž á¡ááœááºááŒá±á¬ááºážááœááºááŒááºááœááºááŒá±ááŸááºážáááºážáá»á¬ážááŒá
áºááŒá±á¬ááºáž áááºáá±ááŒáá²á·áá±á¬áºáááºáž áá¶ááá±á¬ááºážáá«á
ááá¯á·áá±á¬áº ááá¯á¡áá»áááºááœáẠáá¶ááá±á¬ááºážá
áœá¬ááŒáá·áºá Mikrotik router ááœáẠWireGuard ááᯠconfigure áá¯ááºáááºá áááºááẠfirmware ááá¯ááŒá±á¬ááºážááẠááá¯á¡ááºáá«áááºá
Mikrotik ááᯠFlashing áá¯ááºááŒááºážá OpenWrt ááá¯ááá·áºááœááºážááŒááºážááŸáá·áº configure áá¯ááºááŒááºážá
ááááŠážá
áœá¬ áááºááẠOpenWrt ááẠááá·áºáá±á¬áºáááºááᯠáá¶á·ááá¯ážáá±ážááŒá±á¬ááºáž áá±áá»á¬á
á±áááºááá¯á¡ááºáá«áááºá áá±á¬áºáááºáá
áºáŠážááẠáááºážáá
á»á±ážááœááºááŸá¬ááœá±áá±ážá¡áááºááŸáá·áº áá¯á¶ááŸáá·áºááá¯ááºáá®ááŸá¯ááŸááááŸá ááŒáá·áºááŸá¯áá«á
openwrt.com ááá¯á·ááœá¬ážáá«á
á€á ááºáá á¹á ááºážá¡ááœááºá áá»áœááºá¯ááºááá¯á·ááẠááá¯áẠá áᯠááá¯á¡ááºáááº-
ááá¯ááºááŸá áºáá¯áá¯á¶ážááᯠáá±á«ááºážáá¯ááºáá¯ááºááẠááá¯á¡ááºáááº- Install О á¡áááºá·ááŒáŸááºá·.
1. ááœááºáááºáááºáá±á¬ááºááŸá¯á áá±á«ááºážáá¯ááºáá¯ááºááŒá®áž PXE áá¬áá¬ááᯠá áá áºááá·áºááœááºážáá«á
áá±á«ááºážáá¯ááº
áá®ážááŒá¬ážááá¯ááºááœá²áá áºáá¯ááá¯á· áá áºááœáá·áºáá«á config.ini ááá¯ááºááœáẠparameter ááá¯ááá·áºáá«á rfc951=1 á¡ááá¯ááºáž [dhcp]. á€ááá·áºáááºáá»ááºááẠMikrotik áá±á¬áºáááºáá»á¬ážá¡á¬ážáá¯á¶ážá¡ááœáẠáá°áá®áá«áááºá
ááœááºáááºáááºáááºáá»á¬ážááá¯á· áááºááœá¬ážááŒáá«á
áá¯á·- ááá·áºááœááºáá»á°áá¬á ááœááºáááºáá»áááºáááºááŸá¯áá
áºáá¯ááœáẠstatic ip ááááºá
á¬ááᯠááŸááºáá¯á¶áááºááẠááá¯á¡ááºáááºá
IP ááááºá á¬- 192.168.1.10
Netmask- 255.255.255.0
ááŒá±ážáá« áá±ážáááºáá±á¬ PXE áá¬áᬠAdministrator ááá¯ááºá
á¬áž ááœááºáááºááœáẠááœá±ážáá»ááºáá«á DHCP Server ááᯠááááºá
á¬ááŸáá·áºá¡áá°áá¬áᬠ192.168.1.10
á¡áá»áá¯á·áá±á¬ Windows áá¬ážááŸááºážáá»á¬ážááœááºá á€á¡ááºáá¬áá±á·á áºááẠEthernet áá»áááºáááºááŒá®ážáá±á¬ááºááŸáᬠáá±á«áºáá¬ááá¯ááºáááºá Router áá áºáá¯ááᯠáá»áááºáááºááŒá®áž patch ááŒáá¯ážááᯠá¡áá¯á¶ážááŒá¯á router ááŸáá·áº PC ááᯠáá»ááºáá»ááºážááŒá±á¬ááºážááẠá¡ááŒá¶ááŒá¯áá«áááºá
"..." ááá¯áẠ(á¡á±á¬ááºááŒá±áá¬áááº) ááá¯ááŸáááºááŒá®áž Mikrotik á¡ááœáẠFirmware ááá¯ááºáá»á¬ážááᯠáááºáá±á«ááºážáá¯ááºáá¯ááºáá¬ážááá·áº ááá¯ááºááœá²ááᯠáááºááŸááºáá«á
"initramfs-kernel.bin ááá¯á·ááá¯áẠelf" ááŒáá·áºá¡áá¯á¶ážá¡áááºááŸááá±á¬ááá¯ááºááá¯ááœá±ážáá»ááºáá«á
2. PXE áá¬áá¬á០router ááᯠá áááºááŒááºáž
áá»áœááºá¯ááºááá¯á·ááẠPC ááá¯áá«áá¬ááŒáá¯ážááŸáá·áº router áááá port (waná internetá poe in, ...) ááŸáá·áºáá»áááºáááºáááºá ááá¯á·áá±á¬áẠááœá¬ážááŒá¬ážááá¯ážáá¶ááá¯áá°ááŒá®áž "Reset" áá°áá±á¬ á á¬áááºážááŒáá·áº á¡áá±á«ááºáá²ááá¯á· áááºáá«á
áá»áœááºá¯ááºááá¯á·ááẠrouter ááá«áá«ááá¯ááœáá·áºááŒá®áž 20 á
áá¹ááá·áºá
á±á¬áá·áºáá«á ááá¯á·áá±á¬ááºááœá¬ážááŒá¬ážááá¯ážáá¶ááá¯áá¯ááºáá«á
áá±á¬ááºáá
áºáááá
áºá¡ááœááºážá á¡á±á¬ááºáá±á¬áºááŒáá« á
á¬ááá¯áá»á¬ážááẠTiny PXE áá¬áá¬áááºážááá¯ážááœáẠáá±á«áºáá¬ááá·áºáááº-
áááºáá±á·áá»áºáá±á«áºáá¬áá«á áááºááẠáááºážááŒá±á¬ááºážááŸááºááá¯á· áá±á¬ááºáá±ááŒá®ááŒá
áºáááºá
ááœááºáááºá¡áááºáá¬áá±á«áºááŸá áááºáááºáá»á¬ážááᯠááŒááºáááºááá°ááŒá®áž ááááºá á¬ááᯠááá¯ááºážááá áºáá¯á¶á á¶ááŒáá·áº áááºáá¶ááá°ááẠ(DHCP) áááºááŸááºáá«á
áá°áá®áá±á¬ patch ááŒáá¯ážááᯠá¡áá¯á¶ážááŒá¯á Mikrotik router (áá»áœááºá¯ááºááá¯á·áááá
á¹á
ááœáẠ2âŠ5) á LAN áá±á«ááºáá»á¬ážááᯠáá»áááºáááºáá«á 1st port á០2nd port ááá¯á·ááŒá±á¬ááºážáá¯á¶áá«áá²á ááááºá
á¬ááœáá·áºáá«á
OpenWRT á
á®áá¶ááá·áºááœá²áá±ážá¡ááºáá¬áá±á·á
áºááá¯á·áááºáá±á¬ááºááŒá®áž "System -> Backup/Flash Firmware" áá®áá°ážááá¹áááá¯á·ááœá¬ážáá«á
"Flash new firmware image" á¡ááá¯ááºážááœá²ááœááºá "ááá¯ááºááá¯ááœá±ážáá»ááºáá« (Browse)" ááá¯ááºááᯠááŸáááºáá«á
"-squashfs-sysupgrade.bin" ááŒáá·áºá¡áá¯á¶ážá¡áááºááŸááá±á¬ááá¯ááºááá¯á·áááºážááŒá±á¬ááºážááá¯áááºááŸááºáá«á
ááá¯á·áá±á¬áẠ"Flash Image" ááá¯ááºááá¯ááŸáááºáá«á
áá±á¬áẠwindow ááœááºá "Proceed" ááá¯ááºááá¯ááŸáááºáá«á firmware ááẠrouter ááá¯á·á áááºáá±á«ááºážáá¯ááºáá¯ááºáááá·áºáááºá
!!! FIRMWARE áá¯ááºáááºážá
ááºá¡ááœááºáž Router á áá«áá«ááᯠááŒááºáá±á¬ááºááŒááºážáááŒá¯áá«ááŸáá·áºá
Router ááᯠflashing áá¯ááºááŒá®áž reboot áá¯ááºááŒá®ážáá±á¬ááºá OpenWRT firmware ááŒáá·áº Mikrotik ááá¯áááŸááá«áááºá
ááŒá áºááá¯ááºááŒá±ááŸááá±á¬ ááŒá¿áá¬áá»á¬ážááŸáá·áº ááŒá±ááŸááºážáááºážáá»á¬áž
2019 áá¯ááŸá áºááœááºááœááºááŸááá²á·áá±á¬ Mikrotik á ááºá¡áá»á¬ážá¡ááŒá¬ážááẠGD25Q15/Q16 á¡áá»áá¯ážá¡á á¬ážá FLASH-NOR áááºááá¯áá®áá»á áºááºááᯠá¡áá¯á¶ážááŒá¯áá«áááºá ááŒá¿áá¬á ááŸáááºáá¯ááºááŸáááºáá¯ááºááŸáááºáá¯ááºááŸáááºáá¯ááºáá¯ááºáá±á¬á¡áá«á á ááºáá á¹á ááºážáá±á¬áºáááºááŸáá·áºáááºáááºááá·áºáá±áá¬ááᯠáááááºážáááºážáá«á
á¡ááŸá¬ážááœá±á·áá«á "The uploaded image file does not contain a supported format. ááá·áºááááºáá±á¬ááºážá¡ááœáẠáá±áá¯áá»áá¯á¶áá±á¬áºáááºááᯠáááºááœá±ážáá»ááºááŒá±á¬ááºáž áá±áá»á¬áá«á á±á" ááá¯á·áá±á¬ááºááœáẠááŒá¿áá¬á¡áá»á¬ážá á¯ááŸá¬ Flash ááœáẠááŸááá±áááºá
áááºážááá¯á á áºáá±ážáááºááœááºáá°áááº- á ááºáá á¹á ááºáž terminal ááœááºáá±á¬áºááẠID ááá¯á á áºáá±ážááẠcommand ááá¯ááœáá·áºáá«á
root@OpenWrt: cat /tmp/sysinfo/board_name
á¡áááºá áááºááẠ"ááááá±á¬" á¡ááŒá±ááá¯ááá«á "rb-951-2nd" áá¯á¶á á¶ááŒáá·áº á ááºáá á¹á ááºážáá±á¬áºáááºááᯠááá¯ááºááá¯ááºáááºááŸááºááẠááá¯á¡ááºáá«áááºá
á ááºáá á¹á ááºáž áá±á¬áºáááºááᯠááá°áááºá á¡áááá·áºááᯠááœáá·áºáá«á
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
á ááºáá á¹á ááºážáá±á¬áºáááºááᯠáááºáá¶áááŸáááŒá®ážáá±á¬ááºá áááºážááᯠááá¯ááºááá¯ááºááá·áºááœááºážáá«-
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
áááºážáá±á¬ááºá áááºááẠáááºá¡ááºáá¬áá±á·á áºááŸáá áºááá·áº ááá¯á·ááá¯áẠ"sysupgrade" á¡áááá·áºááᯠá¡áá¯á¶ážááŒá¯á á ááºáá á¹á ááºážááᯠflash ááá¯ááºáááºá
WireGuard ááŒáá·áº VPN áá¬áá¬áá áºáá¯áááºáá®ážáá«á
á¡áááºá ááá·áºááœáẠWireGuard configure áá¯ááºáá¬ážáá±á¬ áá¬áá¬áá
áºáᯠááŸáááŸáá·áºááŒá®ážáá«áá áááºááẠá€á¡ááá·áºááᯠáá»á±á¬áºááœá¬ážááá¯ááºáááºá
ááá¯ááºáá±ážááá¯ááºáᬠVPN áá¬áá¬áá
áºáá¯áááºáá±á¬ááºááẠá¡ááá®áá±ážááŸááºážááᯠá¡áá¯á¶ážááŒá¯áá«áááºá
OpenWRT ááœáẠWireGuard Client ááᯠááŒááºáááºáááºááŸááºááŒááºážá
SSH áááá¯ááá¯áá±á¬ááŸáá áºááá·áº router ááá¯á· áá»áááºáááºáá«-
ssh [email protected]
WireGuard ááᯠááá·áºááœááºážáá«-
opkg update
opkg install wireguard
ááœá²á·á ááºážááŸá¯áá¯á¶á á¶ááᯠááŒááºáááºáá« (á¡á±á¬ááºáá«áá¯ááºááᯠááá¯ááºáá áºáá¯ááá¯á· áá°ážáá°áá«á áááºááŸááºáá¬ážáá±á¬áááºááá¯ážáá»á¬ážááᯠááá·áºááá¯ááºááá¯ááºááŒáá·áº á¡á á¬ážááá¯ážááŒá®áž terminal ááœáẠáá¯ááºáá±á¬ááºáá«)á
á¡áááºá áááºááẠMyVPN ááá¯á¡áá¯á¶ážááŒá¯áá±áá«áá á¡á±á¬ááºáá±á¬áºááŒáá«ááœá²á·á ááºážáá¯á¶ááœáẠáááºááẠááŒá±á¬ááºážáá²áááºááá¯á¡ááºáá«áááºá WG_SERV - áá¬áᬠIP WG_KEY - wireguard configuration file á០private key ááŸáá·áº WG_PUB - á¡áá»á¬ážáá°ááŸá¬áá±á¬á·á
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip аЎÑÐµÑ ÑеÑвеÑа
WG_PORT="51820" # пПÑÑ wireguard
WG_ADDR="10.8.0.2/32" # ЎОапазПМ аЎÑеÑПв wireguard
WG_KEY="xxxxx" # пÑОваÑÐœÑй клÑÑ
WG_PUB="xxxxx" # пÑблОÑÐœÑй клÑÑ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
áááºážááẠWireGuard á áá áºááá·áºááœááºážááŸá¯ááᯠá¡ááŒá®ážáááºáá«áááºá ááá¯á¡áá« áá»áááºáááºáá¬ážáá±á¬ á ááºáá»á¬ážá¡á¬ážáá¯á¶ážááŸá áááºážááŒá±á¬ááºážá¡á¬ážáá¯á¶ážááᯠVPN áá»áááºáááºááŸá¯ááŒáá·áº áá¬ááœááºáá¬ážáá«áááºá
ááá¯ážáá¬áž
source: www.habr.com