W większości przypadków podłączenie routera do VPN nie jest trudne, ale jeśli chcesz zabezpieczyć całą sieć i jednocześnie zachować optymalną prędkość połączenia, najlepszym rozwiązaniem jest skorzystanie z tunelu VPN .
Routery Mikrotik okazały się rozwiązaniami niezawodnymi i bardzo elastycznymi, ale niestety nadal nie i nie wiadomo, kiedy się pojawi iw jakim wykonaniu. Ostatnio o tym, co zasugerowali twórcy tunelu WireGuard VPN , co sprawi, że ich oprogramowanie do tunelowania VPN stanie się częścią jądra Linuksa, mamy nadzieję, że przyczyni się to do przyjęcia w RouterOS.
Ale na razie niestety, aby skonfigurować WireGuard na routerze Mikrotik, musisz zmienić oprogramowanie.
Flashowanie Mikrotika, instalacja i konfiguracja OpenWrt
Najpierw musisz upewnić się, że OpenWrt obsługuje twój model. Sprawdź, czy model pasuje do swojej nazwy marketingowej i wizerunku .
Wejdź na openwrt.com .
Dla tego urządzenia potrzebujemy 2 plików:
Musisz pobrać oba pliki: Zainstalować и Aktualizacja.
1. Konfiguracja sieci, pobieranie i konfiguracja serwera PXE
Pobierz dla najnowszej wersji systemu Windows.
Rozpakuj do osobnego folderu. W pliku config.ini dodaj parametr RFC951=1 sekcja [dhcp]. Ten parametr jest taki sam dla wszystkich modeli Mikrotik.
Przejdźmy do ustawień sieciowych: musisz zarejestrować statyczny adres IP na jednym z interfejsów sieciowych komputera.
Adres IP: 192.168.1.10
Maska sieci: 255.255.255.0
Biegać Mały serwer PXE w imieniu Administratora i wybierz w polu DHCP Server serwer z adresem 192.168.1.10
W niektórych wersjach systemu Windows ten interfejs może pojawić się dopiero po nawiązaniu połączenia Ethernet. Zalecam podłączenie routera i natychmiastowe przełączenie routera i komputera za pomocą kabla krosowego.
Naciśnij przycisk „…” (prawy dolny róg) i określ folder, do którego pobrałeś pliki oprogramowania układowego dla Mikrotik.
Wybierz plik, którego nazwa kończy się na „initramfs-kernel.bin lub elf”
2. Uruchomienie routera z serwera PXE
Podłączamy PC przewodem i pierwszym portem (wan, internet, poe in,...) routera. Następnie bierzemy wykałaczkę, wbijamy ją w otwór z napisem „Resetuj”.
Włączamy zasilanie routera i czekamy 20 sekund, a następnie puszczamy wykałaczkę.
W ciągu następnej minuty w oknie Tiny PXE Server powinny pojawić się następujące komunikaty:
Jeśli pojawi się komunikat, jesteś we właściwym kierunku!
Przywróć ustawienia karty sieciowej i ustaw dynamiczne odbieranie adresu (przez DHCP).
Podłącz do portów LAN routera Mikrotik (w naszym przypadku 2…5) za pomocą tego samego patchcordu. Po prostu przełącz go z 1. portu na 2. port. Otwórz adres w przeglądarce.
Zaloguj się do interfejsu administracyjnego OpenWRT i przejdź do sekcji menu „System -> Backup/Flash Firmware”.
W podsekcji „Flash nowy obraz oprogramowania układowego” kliknij przycisk „Wybierz plik (przeglądaj)”.
Określ ścieżkę do pliku, którego nazwa kończy się ciągiem „-squashfs-sysupgrade.bin”.
Następnie kliknij przycisk „Flash Image”.
W następnym oknie kliknij przycisk „Kontynuuj”. Rozpocznie się pobieranie oprogramowania układowego do routera.
!!! W ŻADNYM WYPADKU NIE ODŁĄCZAJ ZASILANIA ROUTERA PODCZAS PROCESU PROCESU PROGRAMOWANIA !!!
Po flashowaniu i ponownym uruchomieniu routera otrzymasz Mikrotik z oprogramowaniem OpenWRT.
Możliwe problemy i rozwiązania
Wiele urządzeń Mikrotik wydanych w 2019 roku wykorzystuje układ pamięci FLASH-NOR typu GD25Q15 / Q16. Problem polega na tym, że podczas flashowania dane o modelu urządzenia nie są zapisywane.
Jeśli widzisz komunikat o błędzie „Przesłany plik obrazu nie zawiera obsługiwanego formatu. Upewnij się, że wybrałeś ogólny format obrazu dla swojej platformy”. wtedy najprawdopodobniej problem jest we flashu.
Łatwo to sprawdzić: uruchom polecenie, aby sprawdzić identyfikator modelu w terminalu urządzenia
root@OpenWrt: cat /tmp/sysinfo/board_nameA jeśli otrzymasz odpowiedź „nieznany”, musisz ręcznie określić model urządzenia w formularzu „rb-951-2nd”
Aby uzyskać model urządzenia, uruchom polecenie
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndPo otrzymaniu modelu urządzenia zainstaluj go ręcznie:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameNastępnie możesz sflashować urządzenie za pomocą interfejsu internetowego lub za pomocą polecenia „sysupgrade”.
Utwórz serwer VPN z WireGuard
Jeśli masz już skonfigurowany serwer z WireGuardem, możesz pominąć ten krok.
Użyję aplikacji do skonfigurowania osobistego serwera VPN o kocie już .
Konfigurowanie klienta WireGuard na OpenWRT
Połącz się z routerem za pomocą protokołu SSH:
ssh [email protected]Zainstaluj WireGuarda:
opkg update
opkg install wireguardPrzygotuj konfigurację (skopiuj poniższy kod do pliku, zastąp podane wartości własnymi i uruchom w terminalu).
Jeśli korzystasz z MyVPN, to w poniższej konfiguracji musisz tylko zmienić WG_SERV - IP serwera WG_KEY - klucz prywatny z pliku konfiguracyjnego wireguard i WG_PUB - klucz publiczny.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartTo kończy konfigurację WireGuard! Teraz cały ruch na wszystkich podłączonych urządzeniach jest chroniony przez połączenie VPN.
referencje
(dodatkowo dostępna instrukcja konfiguracji L2TP, PPTP na standardowym oprogramowaniu Mikrotik)
Źródło: www.habr.com