ProHoster > Blog > Uprava > Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt
V večini primerov povezava usmerjevalnika z VPN ni težavna, če pa želite zaščititi celotno omrežje in hkrati ohraniti optimalno hitrost povezave, potem je najboljša rešitev uporaba tunela VPN WireGuard.

Usmerjevalniki Mikrotik izkazali za zanesljive in zelo prilagodljive rešitve, a žal Podpora za WireGurd na RouterOS še vedno ne in ni znano, kdaj se bo pojavila in v kakšni izvedbi. Pred kratkim je postalo znano o tem, kaj so predlagali razvijalci tunela WireGuard VPN komplet popravkov, zaradi česar bo njihova programska oprema za tuneliranje VPN postala del jedra Linuxa, upamo, da bo to prispevalo k sprejetju v RouterOS.

Toda zaenkrat, na žalost, morate za konfiguracijo WireGuard na usmerjevalniku Mikrotik spremeniti vdelano programsko opremo.

Flashing Mikrotik, namestitev in konfiguracija OpenWrt

Najprej se morate prepričati, da OpenWrt podpira vaš model. Preverite, ali se model ujema s svojim tržnim imenom in sliko lahko obiščete mikrotik.com.

Pojdite na openwrt.com v razdelek za prenos vdelane programske opreme.

Za to napravo potrebujemo 2 datoteki:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

Prenesti morate obe datoteki: namestitev и nadgradnja.

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

1. Nastavitev omrežja, prenos in nastavitev strežnika PXE

Prenesi Majhen strežnik PXE za najnovejšo različico sistema Windows.

Razpakirajte v ločeno mapo. V datoteko config.ini dodajte parameter rfc951=1 razdelek [dhcp]. Ta parameter je enak za vse modele Mikrotik.

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

Preidimo na omrežne nastavitve: na enem od omrežnih vmesnikov vašega računalnika morate registrirati statični naslov ip.

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

IP naslov: 192.168.1.10
Omrežna maska: 255.255.255.0

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

Teči Majhen strežnik PXE v imenu skrbnika in izberite v polju Strežnik DHCP strežnik z naslovom 192.168.1.10

V nekaterih različicah sistema Windows se lahko ta vmesnik prikaže šele po ethernetni povezavi. Priporočam, da povežete usmerjevalnik in takoj preklapljate usmerjevalnik in računalnik s povezovalnim kablom.

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

Pritisnite gumb "..." (desno spodaj) in določite mapo, kamor ste prenesli datoteke vdelane programske opreme za Mikrotik.

Izberite datoteko, katere ime se konča z "initramfs-kernel.bin ali elf"

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

2. Zagon usmerjevalnika s strežnika PXE

PC povežemo z žico in prvim portom (wan, internet, poe in, ...) routerja. Po tem vzamemo zobotrebec, ga zataknemo v luknjo z napisom "Ponastavi".

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

Vklopimo usmerjevalnik in počakamo 20 sekund, nato sprostimo zobotrebec.
V naslednji minuti bi se morala v oknu strežnika Tiny PXE pojaviti naslednja sporočila:

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

Če se prikaže sporočilo, ste v pravi smeri!

Obnovite nastavitve na omrežni kartici in nastavite na dinamično prejemanje naslova (prek DHCP).

Povežite se na LAN priključke usmerjevalnika Mikrotik (v našem primeru 2…5) z istim patch kablom. Samo preklopite s 1. vrat na 2. vrata. Odprti naslov 192.168.1.1 v brskalniku.

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

Prijavite se v skrbniški vmesnik OpenWRT in pojdite na razdelek menija "System -> Backup/Flash Firmware"

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

V pododdelku »Flash new firmware image« kliknite gumb »Select file (Browse)«.

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

Določite pot do datoteke, katere ime se konča z "-squashfs-sysupgrade.bin".

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

Po tem kliknite gumb "Flash Image".

V naslednjem oknu kliknite gumb "Naprej". Vdelana programska oprema se bo začela prenašati na usmerjevalnik.

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

!!! V NOBENEM PRIMERU NE IZKLJUČITE NAPAJANJA USMERJEVALNIKA MED PROCESOM Firmware !!!

Nastavitev WireGuard na usmerjevalniku Mikrotik, ki uporablja OpenWrt

Po flashanju in ponovnem zagonu routerja prejmete Mikrotik z vdelano programsko opremo OpenWRT.

Možne težave in rešitve

Številne naprave Mikrotik, izdane v letu 2019, uporabljajo pomnilniški čip FLASH-NOR tipa GD25Q15 / Q16. Težava je v tem, da se pri utripanju podatki o modelu naprave ne shranijo.

Če vidite napako »Naložena slikovna datoteka ne vsebuje podprte oblike. Prepričajte se, da ste izbrali generično obliko slike za svojo platformo." potem je najverjetneje problem v flashu.

To je preprosto preveriti: zaženite ukaz za preverjanje ID-ja modela v terminalu naprave

root@OpenWrt: cat /tmp/sysinfo/board_name

In če dobite odgovor "neznano", potem morate ročno določiti model naprave v obliki "rb-951-2nd"

Če želite pridobiti model naprave, zaženite ukaz

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

Ko prejmete model naprave, jo ročno namestite:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

Po tem lahko napravo utripate prek spletnega vmesnika ali z ukazom "sysupgrade".

Ustvarite strežnik VPN z WireGuard

Če že imate konfiguriran strežnik z WireGuardom, lahko ta korak preskočite.
Aplikacijo bom uporabil za vzpostavitev osebnega strežnika VPN MyVPN.RUN o mačku sem že objavil recenzijo.

Konfiguriranje odjemalca WireGuard na OpenWRT

Povežite se z usmerjevalnikom prek protokola SSH:

ssh [email protected]

Namestite WireGuard:

opkg update
opkg install wireguard

Pripravite konfiguracijo (kopirajte spodnjo kodo v datoteko, zamenjajte navedene vrednosti s svojimi in zaženite v terminalu).

Če uporabljate MyVPN, morate spremeniti le spodnjo konfiguracijo WG_SERV - IP strežnika WG_KEY - zasebni ključ iz konfiguracijske datoteke wireguard in WG_PUB - javni ključ.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

S tem je nastavitev WireGuard zaključena! Zdaj je ves promet na vseh povezanih napravah zaščiten s povezavo VPN.

reference

Vir # 1
Spremenjena navodila za MyVPN (dodatno so na voljo navodila za nastavitev L2TP, PPTP na standardni Mikrotik firmware)
Odjemalec OpenWrt WireGuard

Vir: www.habr.com

Dodaj komentar