Na maioria dos casos, conectar um roteador a uma VPN não é difícil, mas se você deseja proteger toda a rede e ao mesmo tempo manter a velocidade de conexão ideal, a melhor solução é usar um túnel VPN .
Roteadores Mikrotik provaram ser soluções confiáveis e muito flexíveis, mas infelizmente ainda não e não se sabe quando aparecerá e em qual performance. Recentemente sobre o que os desenvolvedores do túnel WireGuard VPN sugeriram , que tornará seu software de tunelamento VPN parte do kernel do Linux, esperamos que isso contribua para a adoção no RouterOS.
Mas por enquanto, infelizmente, para configurar o WireGuard em um roteador Mikrotik, você precisa alterar o firmware.
Flashing do Mikrotik, instalação e configuração do OpenWrt
Primeiro, você precisa ter certeza de que o OpenWrt oferece suporte ao seu modelo. Veja se um modelo corresponde ao seu nome e imagem de marketing .
Acesse openwrt.com .
Para este dispositivo, precisamos de 2 arquivos:
Você precisa baixar os dois arquivos: Instale и Atualizar.
1. Configuração de rede, download e configuração do servidor PXE
Baixar para a versão mais recente do Windows.
Descompacte em uma pasta separada. No arquivo config.ini, adicione o parâmetro rfc951=1 seção [dhcp]. Este parâmetro é o mesmo para todos os modelos Mikrotik.
Vamos para as configurações de rede: você precisa registrar um endereço IP estático em uma das interfaces de rede do seu computador.
Endereço IP: 192.168.1.10
Máscara de rede: 255.255.255.0
Executar Minúsculo Servidor PXE em nome do Administrador e selecione no campo DHCP Server servidor com endereço 192.168.1.10
Em algumas versões do Windows, essa interface pode aparecer apenas após uma conexão Ethernet. Eu recomendo conectar um roteador e trocar imediatamente o roteador e o PC usando um patch cord.
Pressione o botão "..." (canto inferior direito) e especifique a pasta onde você baixou os arquivos de firmware para Mikrotik.
Escolha um arquivo cujo nome termine com "initramfs-kernel.bin ou elf"
2. Inicializando o roteador a partir do servidor PXE
Conectamos o PC com um fio e a primeira porta (wan, internet, poe in, ...) do roteador. Depois pegamos um palito, enfiamos no buraco com a inscrição "Reset".
Ligamos o roteador e esperamos 20 segundos, depois soltamos o palito.
No próximo minuto, as seguintes mensagens devem aparecer na janela Tiny PXE Server:
Se a mensagem aparecer, você está na direção certa!
Restaure as configurações no adaptador de rede e configure para receber o endereço dinamicamente (via DHCP).
Conecte-se às portas LAN do roteador Mikrotik (2…5 em nosso caso) usando o mesmo patch cord. Basta trocá-lo da 1ª porta para a 2ª porta. Endereço aberto no navegador.
Faça login na interface administrativa do OpenWRT e vá para a seção de menu "Sistema -> Backup/Flash Firmware"
Na subseção "Flash new firmware image", clique no botão "Select file (Browse)".
Especifique o caminho para um arquivo cujo nome termine com "-squashfs-sysupgrade.bin".
Depois disso, clique no botão "Imagem Flash".
Na próxima janela, clique no botão "Continuar". O firmware começará a ser baixado para o roteador.
!!! EM NENHUM CASO, NÃO DESLIGUE A ENERGIA DO ROTEADOR DURANTE O PROCESSO DE FIRMWARE!!!
Depois de piscar e reiniciar o roteador, você receberá o firmware Mikrotik com OpenWRT.
Possíveis problemas e soluções
Muitos dispositivos Mikrotik lançados em 2019 usam um chip de memória FLASH-NOR do tipo GD25Q15 / Q16. O problema é que, ao piscar, os dados sobre o modelo do dispositivo não são salvos.
Se você vir o erro "O arquivo de imagem carregado não contém um formato compatível. Certifique-se de escolher o formato de imagem genérico para sua plataforma." então provavelmente o problema está no flash.
É fácil verificar isso: execute o comando para verificar o ID do modelo no terminal do dispositivo
root@OpenWrt: cat /tmp/sysinfo/board_nameE se você obtiver a resposta "desconhecido", precisará especificar manualmente o modelo do dispositivo no formulário "rb-951-2nd"
Para obter o modelo do dispositivo, execute o comando
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndDepois de receber o modelo do dispositivo, instale-o manualmente:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameDepois disso, você pode atualizar o dispositivo por meio da interface da Web ou usando o comando "sysupgrade"
Crie um servidor VPN com WireGuard
Se você já possui um servidor com WireGuard configurado, pode pular esta etapa.
Vou usar o aplicativo para configurar um servidor VPN pessoal sobre o gato eu já .
Configurando o cliente WireGuard no OpenWRT
Conecte-se ao roteador via protocolo SSH:
ssh [email protected]Instale o WireGuard:
opkg update
opkg install wireguardPrepare a configuração (copie o código abaixo para um arquivo, substitua os valores especificados pelos seus e execute no terminal).
Se você estiver usando MyVPN, na configuração abaixo, você só precisa alterar WG_SERV - IP do servidor WG_KEY - chave privada do arquivo de configuração do wireguard e WG_PUB - chave pública.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartIsso completa a configuração do WireGuard! Agora todo o tráfego em todos os dispositivos conectados é protegido por uma conexão VPN.
referências
(instruções adicionais disponíveis para configurar L2TP, PPTP no firmware Mikrotik padrão)
Fonte: habr.com