In de meeste gevallen is het niet moeilijk om een router op een VPN aan te sluiten, maar als je het hele netwerk wilt beschermen en tegelijkertijd een optimale verbindingssnelheid wilt behouden, dan is de beste oplossing om een VPN-tunnel te gebruiken .
Routers MikroTik bewezen betrouwbare en zeer flexibele oplossingen te zijn, maar helaas nog steeds niet en het is niet bekend wanneer deze zal verschijnen en in welke uitvoering. Onlangs over wat de ontwikkelaars van de WireGuard VPN-tunnel suggereerden , waardoor hun VPN-tunnelsoftware onderdeel wordt van de Linux-kernel, hopen we dat dit zal bijdragen aan de acceptatie in RouterOS.
Maar voor nu, helaas, om WireGuard op een Mikrotik-router te configureren, moet u de firmware wijzigen.
Mikrotik flashen, OpenWrt installeren en configureren
Eerst moet u ervoor zorgen dat OpenWrt uw model ondersteunt. Kijk of een model overeenkomt met de marketingnaam en afbeelding .
Ga naar openwrt.com .
Voor dit apparaat hebben we 2 bestanden nodig:
U moet beide bestanden downloaden: Install и Upgrade.
1. Netwerk instellen, PXE-server downloaden en instellen
Downloaden voor de nieuwste versie van Windows.
Pak uit in een aparte map. Voeg in het bestand config.ini de parameter toe rfc951=1 sectie [dhcp]. Deze parameter is hetzelfde voor alle Mikrotik-modellen.
Laten we verder gaan met de netwerkinstellingen: u moet een statisch ip-adres registreren op een van de netwerkinterfaces van uw computer.
IP-adres: 192.168.1.10
Netmasker: 255.255.255.0
Rennen Kleine PXE-server namens de beheerder en selecteer in het veld DHCP-server Server met adres 192.168.1.10
Bij sommige versies van Windows verschijnt deze interface mogelijk pas na een Ethernet-verbinding. Ik raad aan om een router aan te sluiten en meteen de router en pc te verwisselen met behulp van een patchkabel.
Druk op de knop "..." (rechtsonder) en geef de map op waar u de firmwarebestanden voor Mikrotik hebt gedownload.
Kies een bestand waarvan de naam eindigt op "initramfs-kernel.bin of elf"
2. De router opstarten vanaf de PXE-server
We verbinden de pc met een draad en de eerste poort (wan, internet, poe in, ...) van de router. Daarna nemen we een tandenstoker, steken deze in het gat met het opschrift "Reset".
We zetten de stroom van de router aan en wachten 20 seconden, en laten dan de tandenstoker los.
Binnen een minuut zouden de volgende berichten in het Tiny PXE Server-venster moeten verschijnen:
Als het bericht verschijnt, bent u in de goede richting!
Herstel de instellingen op de netwerkadapter en stel in om het adres dynamisch te ontvangen (via DHCP).
Maak verbinding met de LAN-poorten van de Mikrotik-router (2…5 in ons geval) met hetzelfde patchsnoer. Schakel het gewoon over van de 1e poort naar de 2e poort. Adres openen in de browser.
Log in op de OpenWRT-beheerinterface en ga naar het menugedeelte "Systeem -> Back-up/Flash Firmware".
Klik in de subsectie "Flash nieuwe firmware-image" op de knop "Bestand selecteren (Bladeren)".
Specificeer het pad naar een bestand waarvan de naam eindigt op "-squashfs-sysupgrade.bin".
Klik daarna op de knop "Flash Image".
Klik in het volgende venster op de knop "Doorgaan". De firmware begint te downloaden naar de router.
!!! ONDER GEEN GEVAL DE STROOM VAN DE ROUTER TIJDENS HET FIRMWAREPROCES !!!
Na het flashen en opnieuw opstarten van de router, ontvangt u Mikrotik met OpenWRT-firmware.
Mogelijke problemen en oplossingen
Veel Mikrotik-apparaten die in 2019 zijn uitgebracht, gebruiken een FLASH-NOR-geheugenchip van het type GD25Q15 / Q16. Het probleem is dat bij het knipperen geen gegevens over het apparaatmodel worden opgeslagen.
Als u de foutmelding "Het geüploade afbeeldingsbestand bevat geen ondersteund formaat. Zorg ervoor dat u het generieke afbeeldingsformaat voor uw platform kiest." dan zit het probleem hoogstwaarschijnlijk in de flitser.
Het is eenvoudig om dit te controleren: voer de opdracht uit om de model-ID in de apparaatterminal te controleren
root@OpenWrt: cat /tmp/sysinfo/board_nameEn als u het antwoord "onbekend" krijgt, moet u het apparaatmodel handmatig specificeren in de vorm "rb-951-2nd"
Voer de opdracht uit om het apparaatmodel te krijgen
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndNadat u het apparaatmodel hebt ontvangen, installeert u het handmatig:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameDaarna kunt u het apparaat flashen via de webinterface of met behulp van de opdracht "sysupgrade".
Maak een VPN-server met WireGuard
Als u al een server hebt waarop WireGuard is geconfigureerd, kunt u deze stap overslaan.
Ik zal de applicatie gebruiken om een persoonlijke VPN-server op te zetten over de kat die ik al heb .
WireGuard-client configureren op OpenWRT
Maak verbinding met de router via het SSH-protocol:
ssh [email protected]Installeer WireGuard:
opkg update
opkg install wireguardBereid de configuratie voor (kopieer de onderstaande code naar een bestand, vervang de opgegeven waarden door uw eigen waarden en voer deze uit in de terminal).
Maakt u gebruik van MyVPN, dan hoeft u in onderstaande configuratie alleen maar te wijzigen WG_SERV - Server IP WG_KEY - privésleutel uit het wireguard-configuratiebestand en WG_PUB - publieke sleutel.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartHiermee is de WireGuard-installatie voltooid! Nu wordt al het verkeer op alle aangesloten apparaten beschermd door een VPN-verbinding.
referenties
(extra beschikbare instructies voor het instellen van L2TP, PPTP op standaard Mikrotik-firmware)
Bron: www.habr.com