Vo väčšine prípadov nie je pripojenie routera k VPN zložité, no ak chcete ochrániť celú sieť a zároveň zachovať optimálnu rýchlosť pripojenia, potom je najlepším riešením použiť VPN tunel
Smerovače Mikrotik sa ukázali ako spoľahlivé a veľmi flexibilné riešenia, ale bohužiaľ
Ale zatiaľ, bohužiaľ, na konfiguráciu WireGuard na smerovači Mikrotik musíte zmeniť firmvér.
Flashovanie Mikrotiku, inštalácia a konfigurácia OpenWrt
Najprv sa musíte uistiť, že OpenWrt podporuje váš model. Zistite, či model zodpovedá jeho marketingovému názvu a imidžu
Prejdite na stránku openwrt.com
Pre toto zariadenie potrebujeme 2 súbory:
Musíte si stiahnuť oba súbory: inštalovať и upgrade.
1. Nastavenie siete, stiahnutie a nastavenie PXE servera
download
Rozbaľte do samostatného priečinka. V súbore config.ini pridajte parameter rfc951=1 oddiele [dhcp]. Tento parameter je rovnaký pre všetky modely Mikrotik.
Prejdime k sieťovým nastaveniam: musíte zaregistrovať statickú ip adresu na jednom zo sieťových rozhraní vášho počítača.
IP adresa: 192.168.1.10
Maska siete: 255.255.255.0
beh Malý server PXE v mene Administrátora a vyberte v poli Server DHCP server s adresou 192.168.1.10
V niektorých verziách systému Windows sa toto rozhranie môže zobraziť až po pripojení Ethernet. Odporúčam pripojiť router a okamžite prepnúť router a PC pomocou prepojovacieho kábla.
Stlačte tlačidlo "..." (vpravo dole) a zadajte priečinok, do ktorého ste stiahli súbory firmvéru pre Mikrotik.
Vyberte súbor, ktorého názov končí na „initramfs-kernel.bin alebo elf“
2. Zavedenie smerovača zo servera PXE
PC prepojíme drôtom a prvým portom (wan, internet, poe in, ...) routera. Potom vezmeme špáradlo, zapichneme ho do otvoru s nápisom „Reset“.
Zapneme napájanie smerovača a počkáme 20 sekúnd, potom uvoľníme špáradlo.
V priebehu ďalšej minúty by sa v okne Tiny PXE Server mali objaviť nasledujúce správy:
Ak sa zobrazí správa, ste na správnom smere!
Obnovte nastavenia na sieťovom adaptéri a nastavte príjem adresy dynamicky (cez DHCP).
Pripojte sa k portom LAN routera Mikrotik (v našom prípade 2…5) pomocou rovnakého prepojovacieho kábla. Stačí ho prepnúť z 1. portu na 2. port. Otvorte adresu
Prihláste sa do administratívneho rozhrania OpenWRT a prejdite do časti ponuky „Systém -> Zálohovanie/Flash Firmvér“
V podsekcii „Flash new firmware image“ kliknite na tlačidlo „Vybrať súbor (Prehľadávať)“.
Zadajte cestu k súboru, ktorého názov končí na "-squashfs-sysupgrade.bin".
Potom kliknite na tlačidlo „Flash Image“.
V ďalšom okne kliknite na tlačidlo "Pokračovať". Firmvér sa začne sťahovať do smerovača.
!!! V ŽIADNOM PRÍPADE NEODPÁJAJTE NAPÁJANIE ROUTERA POČAS PROCESU FIRMVÉRU !!!
Po flashnutí a reštarte routera dostanete Mikrotik s firmvérom OpenWRT.
Možné problémy a riešenia
Mnoho zariadení Mikrotik vydaných v roku 2019 používa pamäťový čip FLASH-NOR typu GD25Q15 / Q16. Problémom je, že pri blikaní sa neukladajú údaje o modeli zariadenia.
Ak sa zobrazí chyba „Odovzdaný súbor obrázka neobsahuje podporovaný formát. Uistite sa, že ste si vybrali všeobecný formát obrázka pre svoju platformu." potom je s najväčšou pravdepodobnosťou problém vo flashi.
Je ľahké to skontrolovať: spustite príkaz na kontrolu ID modelu v termináli zariadenia
root@OpenWrt: cat /tmp/sysinfo/board_name
A ak dostanete odpoveď „neznáme“, musíte ručne zadať model zariadenia vo forme „rb-951-2nd“
Ak chcete získať model zariadenia, spustite príkaz
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Po prijatí modelu zariadenia ho nainštalujte manuálne:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Potom môžete zariadenie flashovať cez webové rozhranie alebo pomocou príkazu "sysupgrade".
Vytvorte server VPN pomocou WireGuard
Ak už máte server s nakonfigurovaným WireGuard, môžete tento krok preskočiť.
Aplikáciu použijem na nastavenie osobného VPN servera
Konfigurácia klienta WireGuard na OpenWRT
Pripojte sa k smerovaču cez protokol SSH:
ssh [email protected]
Nainštalujte WireGuard:
opkg update
opkg install wireguard
Pripravte si konfiguráciu (skopírujte nižšie uvedený kód do súboru, nahraďte zadané hodnoty vlastnými a spustite v termináli).
Ak používate MyVPN, potom v konfigurácii nižšie stačí zmeniť WG_SERV - IP servera WG_KEY - súkromný kľúč z konfiguračného súboru wireguard a WG_PUB - verejný kľúč.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Týmto je nastavenie WireGuard dokončené! Teraz je všetka prevádzka na všetkých pripojených zariadeniach chránená pripojením VPN.
referencie
Zdroj: hab.com