Në shumicën e rasteve, lidhja e një ruteri me një VPN nuk është e vështirë, por nëse dëshironi të mbroni të gjithë rrjetin dhe në të njëjtën kohë të ruani shpejtësinë optimale të lidhjes, atëherë zgjidhja më e mirë është të përdorni një tunel VPN. .
Ruterat MikroTik rezultuan zgjidhje të besueshme dhe shumë fleksibël, por për fat të keq ende jo dhe nuk dihet se kur do të shfaqet dhe në çfarë performance. Kohët e fundit për atë që sugjeruan zhvilluesit e tunelit WireGuard VPN , i cili do ta bëjë softuerin e tyre të tunelit VPN pjesë të kernelit Linux, shpresojmë se kjo do të kontribuojë në adoptimin në RouterOS.
Por tani për tani, për fat të keq, për të konfiguruar WireGuard në një ruter Mikrotik, duhet të ndryshoni firmware.
Ndezja e Mikrotik, instalimi dhe konfigurimi i OpenWrt
Së pari ju duhet të siguroheni që OpenWrt mbështet modelin tuaj. Shihni nëse një model përputhet me emrin dhe imazhin e tij të marketingut .
Shkoni te openwrt.com .
Për këtë pajisje, na duhen 2 skedarë:
Ju duhet të shkarkoni të dy skedarët: Instaloj и upgrade.
1. Konfigurimi i rrjetit, shkarkimi dhe konfigurimi i serverit PXE
download për versionin më të fundit të Windows.
Zhzip në një dosje të veçantë. Në skedarin config.ini shtoni parametrin rfc951=1 seksioni [dhcp]. Ky parametër është i njëjtë për të gjitha modelet e Mikrotik.
Le të kalojmë te cilësimet e rrjetit: duhet të regjistroni një adresë IP statike në një nga ndërfaqet e rrjetit të kompjuterit tuaj.
Adresa IP: 192.168.1.10
Maska rrjeti: 255.255.255.0
run Server i vogël PXE në emër të Administratorit dhe zgjidhni në fushë DHCP Server server me adresë 192.168.1.10
Në disa versione të Windows, kjo ndërfaqe mund të shfaqet vetëm pas një lidhjeje Ethernet. Unë rekomandoj të lidhni një ruter dhe të ndërroni menjëherë ruterin dhe PC-në duke përdorur një kordon patch.
Shtypni butonin "..." (poshtë djathtas) dhe specifikoni dosjen ku keni shkarkuar skedarët e firmuerit për Mikrotik.
Zgjidhni një skedar emri i të cilit përfundon me "initramfs-kernel.bin ose elf"
2. Nisja e ruterit nga serveri PXE
Ne e lidhim PC-në me një tel dhe portën e parë (wan, internet, poe in, ...) të ruterit. Pas kësaj, marrim një kruese dhëmbësh, e ngjitim në vrimë me mbishkrimin "Rivendos".
Ndezim fuqinë e ruterit dhe presim 20 sekonda, më pas lëshojmë kruese dhëmbësh.
Brenda minutës tjetër, mesazhet e mëposhtme duhet të shfaqen në dritaren e Serverit Tiny PXE:
Nëse shfaqet mesazhi, atëherë jeni në drejtimin e duhur!
Rivendosni cilësimet në përshtatësin e rrjetit dhe vendoseni që të marrë adresën në mënyrë dinamike (nëpërmjet DHCP).
Lidhuni me portat LAN të ruterit Mikrotik (2…5 në rastin tonë) duke përdorur të njëjtin kordon patch. Thjesht ndërroni atë nga porti 1 në portin e dytë. Adresa e hapur në shfletuesin.
Hyni në ndërfaqen administrative OpenWRT dhe shkoni te seksioni i menysë "System -> Backup/Flash Firmware".
Në nënseksionin "Flash image new firmware", klikoni në butonin "Zgjidh skedarin (Browse)".
Specifikoni shtegun drejt një skedari emri i të cilit përfundon me "-squashfs-sysupgrade.bin".
Pas kësaj, klikoni në butonin "Flash Image".
Në dritaren tjetër, klikoni në butonin "Vazhdo". Firmware do të fillojë të shkarkohet në ruter.
!!! NË ASNJË RAST MOS SHKYQNI FUNKSIONIN E RUTERIT GJATË PROCESIT TË FIRMWARE !!!
Pas ndezjes dhe rindezjes së ruterit, do të merrni Mikrotik me firmware OpenWRT.
Problemet dhe zgjidhjet e mundshme
Shumë pajisje Mikrotik të lëshuara në 2019 përdorin një çip memorie FLASH-NOR të llojit GD25Q15 / Q16. Problemi është se kur ndizet, të dhënat për modelin e pajisjes nuk ruhen.
Nëse shihni gabimin "Skedari i imazhit të ngarkuar nuk përmban një format të mbështetur. Sigurohuni që të zgjidhni formatin e përgjithshëm të imazhit për platformën tuaj." atëherë me shumë mundësi problemi është në flash.
Është e lehtë për ta kontrolluar këtë: ekzekutoni komandën për të kontrolluar ID-në e modelit në terminalin e pajisjes
root@OpenWrt: cat /tmp/sysinfo/board_nameDhe nëse merrni përgjigjen "e panjohur", atëherë duhet të specifikoni manualisht modelin e pajisjes në formën "rb-951-2nd"
Për të marrë modelin e pajisjes, ekzekutoni komandën
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndPasi të keni marrë modelin e pajisjes, instaloni manualisht:
echo 'rb-951-2nd' > /tmp/sysinfo/board_namePas kësaj, mund ta ndezni pajisjen përmes ndërfaqes në internet ose duke përdorur komandën "sysupgrade".
Krijoni një server VPN me WireGuard
Nëse tashmë keni një server me WireGuard të konfiguruar, mund ta kaloni këtë hap.
Do ta përdor aplikacionin për të ngritur një server personal VPN për macen unë tashmë .
Konfigurimi i klientit WireGuard në OpenWRT
Lidhu me ruterin përmes protokollit SSH:
ssh [email protected]Instaloni WireGuard:
opkg update
opkg install wireguardPërgatitni konfigurimin (kopjoni kodin më poshtë në një skedar, zëvendësoni vlerat e specifikuara me tuajat dhe ekzekutoni në terminal).
Nëse jeni duke përdorur MyVPN, atëherë në konfigurimin më poshtë ju duhet vetëm të ndryshoni WG_SERV - IP e serverit WG_KEY - çelësi privat nga skedari i konfigurimit të wireguard dhe WG_PUB - çelësi publik.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartKjo përfundon konfigurimin e WireGuard! Tani i gjithë trafiku në të gjitha pajisjet e lidhura mbrohet nga një lidhje VPN.
Referencat
(udhëzime shtesë të disponueshme për konfigurimin e L2TP, PPTP në firmuerin standard të Mikrotik)
Burimi: www.habr.com