
V večini primerov povezava usmerjevalnika z VPN ni težavna, če pa želite zaščititi celotno omrežje in hkrati ohraniti optimalno hitrost povezave, potem je najboljša rešitev uporaba tunela VPN .
Usmerjevalniki Mikrotik izkazali za zanesljive in zelo prilagodljive rešitve, a žal še vedno ne in ni znano, kdaj se bo pojavila in v kakšni izvedbi. Pred kratkim da razvijalci VPN tunela WireGuard predlagal , zaradi česar bo njihova programska oprema za tuneliranje VPN postala del jedra Linux, upamo, da bo to olajšalo implementacijo v RouterOS.
Ampak zaenkrat, žal, za postavitev WireGuard Vdelano programsko opremo na usmerjevalniku Mikrotik je treba spremeniti.
Flashing Mikrotik, namestitev in konfiguracija OpenWrt
Najprej se morate prepričati, da OpenWrt podpira vaš model. Preverite, ali se model ujema s svojim tržnim imenom in sliko .
Pojdite na openwrt.com .
Za to napravo potrebujemo 2 datoteki:
Prenesti morate obe datoteki: namestitev и nadgradnja.

1. Nastavitev omrežja, prenos in nastavitev strežnika PXE
Prenesi za Windows najnovejša različica.
Razpakirajte v ločeno mapo. V datoteko config.ini dodajte parameter rfc951=1 razdelek [dhcp]. Ta parameter je enak za vse modele Mikrotik.

Preidimo na omrežne nastavitve: na enem od omrežnih vmesnikov vašega računalnika morate registrirati statični naslov ip.

IP naslov: 192.168.1.10
Omrežna maska: 255.255.255.0

Teči Majhen strežnik PXE v imenu skrbnika in izberite v polju Strežnik DHCP strežnik z naslovom 192.168.1.10
Pri nekaterih različicah Windows Ta vmesnik se lahko prikaže šele po priključitvi Etherneta. Priporočam, da priključite usmerjevalnik in takoj povežete usmerjevalnik in računalnik s pomočjo povezovalnega kabla.

Pritisnite gumb "..." (desno spodaj) in določite mapo, kamor ste prenesli datoteke vdelane programske opreme za Mikrotik.
Izberite datoteko, katere ime se konča z "initramfs-kernel.bin ali elf"

2. Zagon usmerjevalnika s strežnika PXE
PC povežemo z žico in prvim portom (wan, internet, poe in, ...) routerja. Po tem vzamemo zobotrebec, ga zataknemo v luknjo z napisom "Ponastavi".

Vklopimo usmerjevalnik in počakamo 20 sekund, nato sprostimo zobotrebec.
V naslednji minuti bi se morala v oknu strežnika Tiny PXE pojaviti naslednja sporočila:

Če se prikaže sporočilo, ste v pravi smeri!
Obnovite nastavitve na omrežni kartici in nastavite na dinamično prejemanje naslova (prek DHCP).
Povežite se na LAN priključke usmerjevalnika Mikrotik (v našem primeru 2…5) z istim patch kablom. Samo preklopite s 1. vrat na 2. vrata. Odprti naslov v brskalniku.

Prijavite se v skrbniški vmesnik OpenWRT in pojdite na razdelek menija "System -> Backup/Flash Firmware"

V pododdelku »Flash new firmware image« kliknite gumb »Select file (Browse)«.

Določite pot do datoteke, katere ime se konča z "-squashfs-sysupgrade.bin".

Po tem kliknite gumb "Flash Image".
V naslednjem oknu kliknite gumb "Naprej". Vdelana programska oprema se bo začela prenašati na usmerjevalnik.

!!! V NOBENEM PRIMERU NE IZKLJUČITE NAPAJANJA USMERJEVALNIKA MED PROCESOM Firmware !!!

Po flashanju in ponovnem zagonu routerja prejmete Mikrotik z vdelano programsko opremo OpenWRT.
Možne težave in rešitve
Številne naprave Mikrotik, izdane v letu 2019, uporabljajo pomnilniški čip FLASH-NOR tipa GD25Q15 / Q16. Težava je v tem, da se pri utripanju podatki o modelu naprave ne shranijo.
Če vidite napako »Naložena slikovna datoteka ne vsebuje podprte oblike. Prepričajte se, da ste izbrali generično obliko slike za svojo platformo." potem je najverjetneje problem v flashu.
To je preprosto preveriti: zaženite ukaz za preverjanje ID-ja modela v terminalu naprave
root@OpenWrt: cat /tmp/sysinfo/board_name
In če dobite odgovor "neznano", potem morate ročno določiti model naprave v obliki "rb-951-2nd"
Če želite pridobiti model naprave, zaženite ukaz
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Ko prejmete model naprave, jo ročno namestite:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Po tem lahko napravo utripate prek spletnega vmesnika ali z ukazom "sysupgrade".
Ustvarite VPN strežnik z WireGuard
Če že imate konfiguriran strežnik WireGuard, potem lahko to točko preskočite.
Aplikacijo bom uporabil za vzpostavitev osebnega strežnika VPN o mačku sem že .
prilagoditev WireGuard Odjemalec na OpenWRT
Povežite se z usmerjevalnikom prek protokola SSH:
ssh root@192.168.1.1
Set WireGuard:
opkg update
opkg install wireguard
Pripravite konfiguracijo (kopirajte spodnjo kodo v datoteko, zamenjajte navedene vrednosti s svojimi in zaženite v terminalu).
Če uporabljate MyVPN, morate spremeniti le spodnjo konfiguracijo WG_SERV - IP strežnika WG_KEY — zasebni ključ iz konfiguracijske datoteke wireguard и WG_PUB - javni ključ.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
To je vse za nastavitev WireGuard Končano! Zdaj je ves promet na vseh povezanih napravah zaščiten s povezavo VPN.
reference
(dodatno so na voljo navodila za nastavitev L2TP, PPTP na standardni Mikrotik firmware)
Vir: www.habr.com
