OpenWrt चलिरहेको Mikrotik राउटरमा WireGuard सेटअप गर्दै

धेरै जसो केसहरूमा, VPN मा राउटर जडान गर्न गाह्रो छैन, तर यदि तपाइँ सम्पूर्ण नेटवर्कको सुरक्षा गर्न चाहनुहुन्छ र एकै समयमा इष्टतम जडान गति कायम राख्न चाहनुहुन्छ भने, त्यसपछि VPN टनेल प्रयोग गर्नु उत्तम समाधान हो। WireGuard.

राउटरहरू Mikrotik भरपर्दो र धेरै लचिलो समाधान साबित भयो, तर दुर्भाग्यवश RouterOS मा WireGurd समर्थन अझै छैन र यो कहिले देखा पर्नेछ र कुन प्रदर्शनमा थाहा छैन। हालै यो ज्ञात भयो WireGuard VPN टनेलका विकासकर्ताहरूले के सुझाव दिए प्याच सेट, जसले तिनीहरूको VPN टनेलिङ सफ्टवेयरलाई लिनक्स कर्नेलको भाग बनाउनेछ, हामी आशा गर्छौं कि यसले RouterOS मा अपनाउन योगदान गर्नेछ।

तर अहिलेको लागि, दुर्भाग्यवश, Mikrotik राउटरमा WireGuard कन्फिगर गर्न, तपाईंले फर्मवेयर परिवर्तन गर्न आवश्यक छ।

Mikrotik फ्ल्यास गर्दै, OpenWrt स्थापना र कन्फिगर गर्दै

पहिले तपाईंले यो सुनिश्चित गर्न आवश्यक छ कि OpenWrt तपाईंको मोडेललाई समर्थन गर्दछ। हेर्नुहोस् यदि एक मोडेल यसको मार्केटिङ नाम र छविसँग मेल खान्छ mikrotik.com मा जान सक्नुहुन्छ.

openwrt.com मा जानुहोस् फर्मवेयर डाउनलोड सेक्सनमा.

यस उपकरणको लागि, हामीलाई 2 फाइलहरू चाहिन्छ:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

तपाईंले दुवै फाइलहरू डाउनलोड गर्न आवश्यक छ: स्थापना и अपग्रेड गर्नुहोस्.

1. नेटवर्क सेटअप, डाउनलोड र सेटअप PXE सर्भर

डाउनलोड गर्नुहोस् सानो PXE सर्भर Windows को नवीनतम संस्करण को लागी।

अलग फोल्डरमा अनजिप गर्नुहोस्। config.ini फाइलमा प्यारामिटर थप्नुहोस् rfc951=1 खण्ड [dhcp]। यो प्यारामिटर सबै Mikrotik मोडेल लागि समान छ।

नेटवर्क सेटिङहरूमा जाऔं: तपाईंले आफ्नो कम्प्युटरको नेटवर्क इन्टरफेसहरू मध्ये एकमा स्थिर आईपी ठेगाना दर्ता गर्न आवश्यक छ।

IP ठेगाना: 192.168.1.10
नेटमास्क: 255.255.255.0

चलाउनुहोस् सानो PXE सर्भर प्रशासकको तर्फबाट र फिल्डमा चयन गर्नुहोस् DHCP सर्भर ठेगाना संग सर्भर 192.168.1.10

Windows को केहि संस्करणहरूमा, यो इन्टरफेस केवल एक इथरनेट जडान पछि देखा पर्न सक्छ। म राउटर जडान गर्न र प्याच कर्ड प्रयोग गरेर तुरुन्तै राउटर र पीसी स्विच गर्न सिफारिस गर्दछु।

"..." बटन थिच्नुहोस् (तल दायाँ) र फोल्डर निर्दिष्ट गर्नुहोस् जहाँ तपाईंले Mikrotik को लागि फर्मवेयर फाइलहरू डाउनलोड गर्नुभयो।

एउटा फाइल छान्नुहोस् जसको नाम "initramfs-kernel.bin वा elf" सँग समाप्त हुन्छ।

2. PXE सर्भरबाट राउटर बुट गर्दै

हामी पीसीलाई तार र राउटरको पहिलो पोर्ट (वान, इन्टरनेट, पो इन, ...) संग जडान गर्छौं। त्यस पछि, हामी टूथपिक लिन्छौं, यसलाई "रिसेट" शिलालेखको साथ प्वालमा टाँस्नुहोस्।

हामी राउटरको पावर अन गर्छौं र 20 सेकेन्ड पर्खनुहोस्, त्यसपछि टूथपिक छोड्नुहोस्।
अर्को मिनेट भित्र, निम्न सन्देशहरू सानो PXE सर्भर विन्डोमा देखा पर्नेछ:

यदि सन्देश देखा पर्यो भने, तपाईं सही दिशामा हुनुहुन्छ!

नेटवर्क एडाप्टरमा सेटिङहरू पुनर्स्थापित गर्नुहोस् र गतिशील रूपमा ठेगाना प्राप्त गर्न सेट गर्नुहोस् (DHCP मार्फत)।

उही प्याच कर्ड प्रयोग गरेर Mikrotik राउटरको LAN पोर्टहरूमा जडान गर्नुहोस् (हाम्रो मामलामा 2...5)। यसलाई पहिलो पोर्टबाट दोस्रो पोर्टमा स्विच गर्नुहोस्। ठेगाना खोल्नुहोस् 192.168.1.1 ब्राउजरमा।

OpenWRT प्रशासनिक इन्टरफेसमा लग इन गर्नुहोस् र "प्रणाली -> ब्याकअप/फ्ल्याश फर्मवेयर" मेनु खण्डमा जानुहोस्।

"फ्लैश नयाँ फर्मवेयर छवि" उपखण्डमा, "फाइल चयन गर्नुहोस् (ब्राउज)" बटनमा क्लिक गर्नुहोस्।

नाम "-squashfs-sysupgrade.bin" सँग समाप्त हुने फाइलको मार्ग निर्दिष्ट गर्नुहोस्।

त्यस पछि, "फ्ल्यास छवि" बटन क्लिक गर्नुहोस्।

अर्को विन्डोमा, "अगाडि बढ्नुहोस्" बटनमा क्लिक गर्नुहोस्। फर्मवेयर राउटरमा डाउनलोड सुरु हुनेछ।

!!! कुनै पनि हालतमा फर्मवेयर प्रक्रियाको क्रममा राउटरको पावर विच्छेद नगर्नुहोस् !!!

राउटर फ्ल्यास र रिबुट गरेपछि, तपाईंले OpenWRT फर्मवेयरको साथ Mikrotik प्राप्त गर्नुहुनेछ।

सम्भावित समस्या र समाधानहरू

2019 मा रिलिज भएका धेरै Mikrotik यन्त्रहरूले GD25Q15 / Q16 प्रकारको FLASH-NOR मेमोरी चिप प्रयोग गर्छन्। समस्या यो छ कि फ्ल्यासिंग गर्दा, यन्त्र मोडेल बारे डाटा बचत गरिएको छैन।

यदि तपाईंले त्रुटि देख्नुभयो भने "अपलोड गरिएको छवि फाइलले समर्थित ढाँचा समावेश गर्दैन। सुनिश्चित गर्नुहोस् कि तपाइँ तपाइँको प्लेटफर्म को लागी सामान्य छवि ढाँचा छनोट गर्नुहोस्।" तब प्राय: समस्या फ्लैश मा छ।

यो जाँच गर्न सजिलो छ: यन्त्र टर्मिनलमा मोडेल आईडी जाँच गर्न आदेश चलाउनुहोस्

root@OpenWrt: cat /tmp/sysinfo/board_name

र यदि तपाईंले "अज्ञात" जवाफ पाउनुभयो भने, तपाईंले म्यानुअल रूपमा "rb-951-2nd" फारममा उपकरण मोडेल निर्दिष्ट गर्न आवश्यक छ।

यन्त्र मोडेल प्राप्त गर्न, आदेश चलाउनुहोस्

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

यन्त्र मोडेल प्राप्त गरेपछि, यसलाई म्यानुअल रूपमा स्थापना गर्नुहोस्:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

त्यस पछि, तपाइँ वेब इन्टरफेस मार्फत वा "sysupgrade" आदेश प्रयोग गरेर यन्त्र फ्लैश गर्न सक्नुहुन्छ

WireGuard को साथ VPN सर्भर सिर्जना गर्नुहोस्

यदि तपाइँसँग पहिले नै WireGuard कन्फिगर गरिएको सर्भर छ भने, तपाइँ यो चरण छोड्न सक्नुहुन्छ।
म व्यक्तिगत VPN सर्भर सेटअप गर्न अनुप्रयोग प्रयोग गर्नेछु MyVPN.RUN बिरालोको बारेमा म पहिले नै समीक्षा प्रकाशित गर्नुभयो.

OpenWRT मा WireGuard क्लाइन्ट कन्फिगर गर्दै

SSH प्रोटोकल मार्फत राउटरमा जडान गर्नुहोस्:

ssh [email protected]

WireGuard स्थापना गर्नुहोस्:

opkg update
opkg install wireguard

कन्फिगरेसन तयार गर्नुहोस् (तलको कोडलाई फाइलमा प्रतिलिपि गर्नुहोस्, निर्दिष्ट मानहरूलाई आफ्नैसँग बदल्नुहोस् र टर्मिनलमा चलाउनुहोस्)।

यदि तपाइँ MyVPN प्रयोग गर्दै हुनुहुन्छ भने, तलको कन्फिगरेसनमा तपाइँले मात्र परिवर्तन गर्न आवश्यक छ WG_SERV - सर्भर आईपी WG_KEY - वायरगार्ड कन्फिगरेसन फाइलबाट निजी कुञ्जी र WG_PUB - सार्वजनिक कुञ्जी।

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

यसले WireGuard सेटअप पूरा गर्छ! अब सबै जडान गरिएका उपकरणहरूमा सबै ट्राफिकहरू VPN जडानद्वारा सुरक्षित छन्।

सन्दर्भ

स्रोत नम्बर १
MyVPN मा परिमार्जित निर्देशनहरू (मानक Mikrotik फर्मवेयरमा L2TP, PPTP सेटअप गर्नका लागि थप उपलब्ध निर्देशनहरू)
OpenWrt WireGuard ग्राहक

स्रोत: www.habr.com