În cele mai multe cazuri, conectarea unui router la un VPN nu este dificilă, dar dacă doriți să protejați întreaga rețea și, în același timp, să mențineți viteza optimă de conectare, atunci cea mai bună soluție este să folosiți un tunel VPN
Routere MikroTik s-au dovedit a fi soluții fiabile și foarte flexibile, dar din păcate
Dar deocamdată, din păcate, pentru a configura WireGuard pe un router Mikrotik, trebuie să schimbați firmware-ul.
Mikrotik intermitent, instalarea și configurarea OpenWrt
Mai întâi trebuie să vă asigurați că OpenWrt acceptă modelul dvs. Vedeți dacă un model se potrivește cu numele și imaginea sa de marketing
Accesați openwrt.com
Pentru acest dispozitiv avem nevoie de 2 fișiere:
Trebuie să descărcați ambele fișiere: Instala и Actualizare.
1. Configurarea rețelei, descărcarea și configurarea serverului PXE
descărcare
Dezarhivați într-un folder separat. În fișierul config.ini adăugați parametrul rfc951=1 secțiune [dhcp]. Acest parametru este același pentru toate modelele Mikrotik.
Să trecem la setările de rețea: trebuie să înregistrezi o adresă IP statică pe una dintre interfețele de rețea ale computerului tău.
Adresa IP: 192.168.1.10
Mască de rețea: 255.255.255.0
Alerga Server PXE mic în numele Administratorului și selectați în câmp Server DHCP server cu adresa 192.168.1.10
Pe unele versiuni de Windows, această interfață poate apărea numai după o conexiune Ethernet. Recomand să conectați un router și să comutați imediat routerul și computerul folosind un cordon de corecție.
Apăsați butonul „...” (dreapta jos) și specificați folderul în care ați descărcat fișierele firmware pentru Mikrotik.
Alegeți un fișier al cărui nume se termină cu „initramfs-kernel.bin sau elf”
2. Pornirea routerului de pe serverul PXE
Conectăm PC-ul cu un fir și primul port (wan, internet, poe in, ...) al routerului. După aceea, luăm o scobitoare, o lipim în gaură cu inscripția „Reset”.
Pornim router-ul și așteptăm 20 de secunde, apoi eliberăm scobitoarea.
În următorul minut, următoarele mesaje ar trebui să apară în fereastra Tiny PXE Server:
Dacă apare mesajul, atunci ești în direcția bună!
Restabiliți setările de pe adaptorul de rețea și setați pentru a primi adresa în mod dinamic (prin DHCP).
Conectați-vă la porturile LAN ale routerului Mikrotik (2…5 în cazul nostru) folosind același cordon de corecție. Doar comutați-l de la primul port la al doilea. Deschide adresa
Conectați-vă la interfața administrativă OpenWRT și accesați secțiunea de meniu „System -> Backup/Flash Firmware”
În subsecțiunea „Flash new firmware image”, faceți clic pe butonul „Selectează fișierul (Răsfoiește)”.
Specificați calea către un fișier al cărui nume se termină cu „-squashfs-sysupgrade.bin”.
După aceea, faceți clic pe butonul „Imagine flash”.
În fereastra următoare, faceți clic pe butonul „Continuați”. Firmware-ul va începe descărcarea pe router.
!!! ÎN NICIO CAZ NU DECONECTAȚI PUTEREA ROUTERULUI ÎN TIMPUL PROCESULUI FIRMWARE !!!
După ce ați intermitent și reporniți routerul, veți primi Mikrotik cu firmware OpenWRT.
Posibile probleme și soluții
Multe dispozitive Mikrotik lansate în 2019 folosesc un cip de memorie FLASH-NOR de tip GD25Q15 / Q16. Problema este că atunci când clipește, datele despre modelul dispozitivului nu sunt salvate.
Dacă vedeți eroarea „Fișierul imagine încărcat nu conține un format acceptat. Asigurați-vă că alegeți formatul de imagine generic pentru platforma dvs.." atunci cel mai probabil problema este în flash.
Este ușor să verificați acest lucru: rulați comanda pentru a verifica ID-ul modelului în terminalul dispozitivului
root@OpenWrt: cat /tmp/sysinfo/board_name
Și dacă obțineți răspunsul „necunoscut”, atunci trebuie să specificați manual modelul dispozitivului sub forma „rb-951-2nd”
Pentru a obține modelul dispozitivului, executați comanda
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
După ce ați primit modelul dispozitivului, instalați-l manual:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
După aceea, puteți să flashați dispozitivul prin interfața web sau folosind comanda „sysupgrade”.
Creați un server VPN cu WireGuard
Dacă aveți deja un server cu WireGuard configurat, puteți sări peste acest pas.
Voi folosi aplicația pentru a configura un server VPN personal
Configurarea clientului WireGuard pe OpenWRT
Conectați-vă la router prin protocolul SSH:
ssh [email protected]
Instalați WireGuard:
opkg update
opkg install wireguard
Pregătiți configurația (copiați codul de mai jos într-un fișier, înlocuiți valorile specificate cu ale dvs. și rulați în terminal).
Dacă utilizați MyVPN, atunci în configurația de mai jos trebuie doar să schimbați WG_SERV - IP server WG_KEY - cheie privată din fișierul de configurare wireguard și WG_PUB - cheie publică.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Aceasta completează configurarea WireGuard! Acum, tot traficul de pe toate dispozitivele conectate este protejat de o conexiune VPN.
referințe
Sursa: www.habr.com