In de meeste gevallen is het niet moeilijk om een router op een VPN aan te sluiten, maar als je het hele netwerk wilt beschermen en tegelijkertijd een optimale verbindingssnelheid wilt behouden, dan is de beste oplossing om een VPN-tunnel te gebruiken
Routers MikroTik bewezen betrouwbare en zeer flexibele oplossingen te zijn, maar helaas
Maar voor nu, helaas, om WireGuard op een Mikrotik-router te configureren, moet u de firmware wijzigen.
Mikrotik flashen, OpenWrt installeren en configureren
Eerst moet u ervoor zorgen dat OpenWrt uw model ondersteunt. Kijk of een model overeenkomt met de marketingnaam en afbeelding
Ga naar openwrt.com
Voor dit apparaat hebben we 2 bestanden nodig:
U moet beide bestanden downloaden: Install и Upgrade.
1. Netwerk instellen, PXE-server downloaden en instellen
Downloaden
Pak uit in een aparte map. Voeg in het bestand config.ini de parameter toe rfc951=1 sectie [dhcp]. Deze parameter is hetzelfde voor alle Mikrotik-modellen.
Laten we verder gaan met de netwerkinstellingen: u moet een statisch ip-adres registreren op een van de netwerkinterfaces van uw computer.
IP-adres: 192.168.1.10
Netmasker: 255.255.255.0
Rennen Kleine PXE-server namens de beheerder en selecteer in het veld DHCP-server Server met adres 192.168.1.10
Bij sommige versies van Windows verschijnt deze interface mogelijk pas na een Ethernet-verbinding. Ik raad aan om een router aan te sluiten en meteen de router en pc te verwisselen met behulp van een patchkabel.
Druk op de knop "..." (rechtsonder) en geef de map op waar u de firmwarebestanden voor Mikrotik hebt gedownload.
Kies een bestand waarvan de naam eindigt op "initramfs-kernel.bin of elf"
2. De router opstarten vanaf de PXE-server
We verbinden de pc met een draad en de eerste poort (wan, internet, poe in, ...) van de router. Daarna nemen we een tandenstoker, steken deze in het gat met het opschrift "Reset".
We zetten de stroom van de router aan en wachten 20 seconden, en laten dan de tandenstoker los.
Binnen een minuut zouden de volgende berichten in het Tiny PXE Server-venster moeten verschijnen:
Als het bericht verschijnt, bent u in de goede richting!
Herstel de instellingen op de netwerkadapter en stel in om het adres dynamisch te ontvangen (via DHCP).
Maak verbinding met de LAN-poorten van de Mikrotik-router (2…5 in ons geval) met hetzelfde patchsnoer. Schakel het gewoon over van de 1e poort naar de 2e poort. Adres openen
Log in op de OpenWRT-beheerinterface en ga naar het menugedeelte "Systeem -> Back-up/Flash Firmware".
Klik in de subsectie "Flash nieuwe firmware-image" op de knop "Bestand selecteren (Bladeren)".
Specificeer het pad naar een bestand waarvan de naam eindigt op "-squashfs-sysupgrade.bin".
Klik daarna op de knop "Flash Image".
Klik in het volgende venster op de knop "Doorgaan". De firmware begint te downloaden naar de router.
!!! ONDER GEEN GEVAL DE STROOM VAN DE ROUTER TIJDENS HET FIRMWAREPROCES !!!
Na het flashen en opnieuw opstarten van de router, ontvangt u Mikrotik met OpenWRT-firmware.
Mogelijke problemen en oplossingen
Veel Mikrotik-apparaten die in 2019 zijn uitgebracht, gebruiken een FLASH-NOR-geheugenchip van het type GD25Q15 / Q16. Het probleem is dat bij het knipperen geen gegevens over het apparaatmodel worden opgeslagen.
Als u de foutmelding "Het geüploade afbeeldingsbestand bevat geen ondersteund formaat. Zorg ervoor dat u het generieke afbeeldingsformaat voor uw platform kiest." dan zit het probleem hoogstwaarschijnlijk in de flitser.
Het is eenvoudig om dit te controleren: voer de opdracht uit om de model-ID in de apparaatterminal te controleren
root@OpenWrt: cat /tmp/sysinfo/board_name
En als u het antwoord "onbekend" krijgt, moet u het apparaatmodel handmatig specificeren in de vorm "rb-951-2nd"
Voer de opdracht uit om het apparaatmodel te krijgen
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Nadat u het apparaatmodel hebt ontvangen, installeert u het handmatig:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Daarna kunt u het apparaat flashen via de webinterface of met behulp van de opdracht "sysupgrade".
Maak een VPN-server met WireGuard
Als u al een server hebt waarop WireGuard is geconfigureerd, kunt u deze stap overslaan.
Ik zal de applicatie gebruiken om een persoonlijke VPN-server op te zetten
WireGuard-client configureren op OpenWRT
Maak verbinding met de router via het SSH-protocol:
ssh [email protected]
Installeer WireGuard:
opkg update
opkg install wireguard
Bereid de configuratie voor (kopieer de onderstaande code naar een bestand, vervang de opgegeven waarden door uw eigen waarden en voer deze uit in de terminal).
Maakt u gebruik van MyVPN, dan hoeft u in onderstaande configuratie alleen maar te wijzigen WG_SERV - Server IP WG_KEY - privésleutel uit het wireguard-configuratiebestand en WG_PUB - publieke sleutel.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Hiermee is de WireGuard-installatie voltooid! Nu wordt al het verkeer op alle aangesloten apparaten beschermd door een VPN-verbinding.
referenties
Bron: www.habr.com