V večini primerov povezava usmerjevalnika z VPN ni težavna, če pa želite zaščititi celotno omrežje in hkrati ohraniti optimalno hitrost povezave, potem je najboljša rešitev uporaba tunela VPN
Usmerjevalniki Mikrotik izkazali za zanesljive in zelo prilagodljive rešitve, a žal
Toda zaenkrat, na žalost, morate za konfiguracijo WireGuard na usmerjevalniku Mikrotik spremeniti vdelano programsko opremo.
Flashing Mikrotik, namestitev in konfiguracija OpenWrt
Najprej se morate prepričati, da OpenWrt podpira vaš model. Preverite, ali se model ujema s svojim tržnim imenom in sliko
Pojdite na openwrt.com
Za to napravo potrebujemo 2 datoteki:
Prenesti morate obe datoteki: namestitev и nadgradnja.
1. Nastavitev omrežja, prenos in nastavitev strežnika PXE
Prenesi
Razpakirajte v ločeno mapo. V datoteko config.ini dodajte parameter rfc951=1 razdelek [dhcp]. Ta parameter je enak za vse modele Mikrotik.
Preidimo na omrežne nastavitve: na enem od omrežnih vmesnikov vašega računalnika morate registrirati statični naslov ip.
IP naslov: 192.168.1.10
Omrežna maska: 255.255.255.0
Teči Majhen strežnik PXE v imenu skrbnika in izberite v polju Strežnik DHCP strežnik z naslovom 192.168.1.10
V nekaterih različicah sistema Windows se lahko ta vmesnik prikaže šele po ethernetni povezavi. Priporočam, da povežete usmerjevalnik in takoj preklapljate usmerjevalnik in računalnik s povezovalnim kablom.
Pritisnite gumb "..." (desno spodaj) in določite mapo, kamor ste prenesli datoteke vdelane programske opreme za Mikrotik.
Izberite datoteko, katere ime se konča z "initramfs-kernel.bin ali elf"
2. Zagon usmerjevalnika s strežnika PXE
PC povežemo z žico in prvim portom (wan, internet, poe in, ...) routerja. Po tem vzamemo zobotrebec, ga zataknemo v luknjo z napisom "Ponastavi".
Vklopimo usmerjevalnik in počakamo 20 sekund, nato sprostimo zobotrebec.
V naslednji minuti bi se morala v oknu strežnika Tiny PXE pojaviti naslednja sporočila:
Če se prikaže sporočilo, ste v pravi smeri!
Obnovite nastavitve na omrežni kartici in nastavite na dinamično prejemanje naslova (prek DHCP).
Povežite se na LAN priključke usmerjevalnika Mikrotik (v našem primeru 2…5) z istim patch kablom. Samo preklopite s 1. vrat na 2. vrata. Odprti naslov
Prijavite se v skrbniški vmesnik OpenWRT in pojdite na razdelek menija "System -> Backup/Flash Firmware"
V pododdelku »Flash new firmware image« kliknite gumb »Select file (Browse)«.
Določite pot do datoteke, katere ime se konča z "-squashfs-sysupgrade.bin".
Po tem kliknite gumb "Flash Image".
V naslednjem oknu kliknite gumb "Naprej". Vdelana programska oprema se bo začela prenašati na usmerjevalnik.
!!! V NOBENEM PRIMERU NE IZKLJUČITE NAPAJANJA USMERJEVALNIKA MED PROCESOM Firmware !!!
Po flashanju in ponovnem zagonu routerja prejmete Mikrotik z vdelano programsko opremo OpenWRT.
Možne težave in rešitve
Številne naprave Mikrotik, izdane v letu 2019, uporabljajo pomnilniški čip FLASH-NOR tipa GD25Q15 / Q16. Težava je v tem, da se pri utripanju podatki o modelu naprave ne shranijo.
Če vidite napako »Naložena slikovna datoteka ne vsebuje podprte oblike. Prepričajte se, da ste izbrali generično obliko slike za svojo platformo." potem je najverjetneje problem v flashu.
To je preprosto preveriti: zaženite ukaz za preverjanje ID-ja modela v terminalu naprave
root@OpenWrt: cat /tmp/sysinfo/board_name
In če dobite odgovor "neznano", potem morate ročno določiti model naprave v obliki "rb-951-2nd"
Če želite pridobiti model naprave, zaženite ukaz
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Ko prejmete model naprave, jo ročno namestite:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Po tem lahko napravo utripate prek spletnega vmesnika ali z ukazom "sysupgrade".
Ustvarite strežnik VPN z WireGuard
Če že imate konfiguriran strežnik z WireGuardom, lahko ta korak preskočite.
Aplikacijo bom uporabil za vzpostavitev osebnega strežnika VPN
Konfiguriranje odjemalca WireGuard na OpenWRT
Povežite se z usmerjevalnikom prek protokola SSH:
ssh [email protected]
Namestite WireGuard:
opkg update
opkg install wireguard
Pripravite konfiguracijo (kopirajte spodnjo kodo v datoteko, zamenjajte navedene vrednosti s svojimi in zaženite v terminalu).
Če uporabljate MyVPN, morate spremeniti le spodnjo konfiguracijo WG_SERV - IP strežnika WG_KEY - zasebni ključ iz konfiguracijske datoteke wireguard in WG_PUB - javni ključ.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
S tem je nastavitev WireGuard zaključena! Zdaj je ves promet na vseh povezanih napravah zaščiten s povezavo VPN.
reference
Vir: www.habr.com