У већини случајева повезивање рутера са ВПН-ом није тешко, али ако желите да заштитите целу мрежу и истовремено одржите оптималну брзину везе, онда је најбоље решење да користите ВПН тунел
Ruteri Микротик показала се као поуздана и веома флексибилна решења, али нажалост
Али за сада, нажалост, да бисте конфигурисали ВиреГуард на Микротик рутеру, морате да промените фирмвер.
Фласхинг Микротик, инсталирање и конфигурисање ОпенВрт-а
Прво морате да се уверите да ОпенВрт подржава ваш модел. Погледајте да ли модел одговара његовом маркетиншком имену и имиџу
Идите на опенврт.цом
За овај уређај су нам потребне 2 датотеке:
Потребно је да преузмете обе датотеке: Инсталирати и Упграде.
1. Подешавање мреже, преузимање и подешавање ПКСЕ сервера
Преузми
Распакујте у посебну фасциклу. У датотеку цонфиг.ини додајте параметар рфц951=1 одељак [дхцп]. Овај параметар је исти за све Микротик моделе.
Пређимо на мрежна подешавања: потребно је да региструјете статичку ИП адресу на једном од мрежних интерфејса вашег рачунара.
ИП адреса: 192.168.1.10
Мрежна маска: 255.255.255.0
Трчи Мали ПКСЕ сервер у име Администратора и изаберите у пољу ДХЦП Сервер сервер са адресом 192.168.1.10
На неким верзијама оперативног система Виндовс, овај интерфејс се може појавити само након Етхернет везе. Препоручујем да повежете рутер и одмах промените рутер и рачунар помоћу патцх кабла.
Притисните дугме "..." (доле десно) и одредите фасциклу у коју сте преузели датотеке фирмвера за Микротик.
Изаберите датотеку чије се име завршава са "инитрамфс-кернел.бин или елф"
2. Покретање рутера са ПКСЕ сервера
Повезујемо рачунар жицом и први порт (ван, интернет, пое ин, ...) рутера. Након тога, узмемо чачкалицу, забијемо је у рупу са натписом "Ресет".
Укључујемо напајање рутера и чекамо 20 секунди, а затим отпуштамо чачкалицу.
У року од следећег минута, следеће поруке би требало да се појаве у прозору Тини ПКСЕ Сервер:
Ако се порука појави, онда сте на правом путу!
Вратите подешавања на мрежни адаптер и подесите да примате адресу динамички (преко ДХЦП-а).
Повежите се на ЛАН портове Микротик рутера (2…5 у нашем случају) користећи исти патцх кабл. Само га пребаците са 1. порта на 2. порт. Отвори адресу
Пријавите се на ОпенВРТ административни интерфејс и идите на одељак менија „Систем -> Бацкуп/Фласх Фирмваре“
У пододељку „Флешујте нову слику фирмвера“ кликните на дугме „Изабери датотеку (Прегледај)“.
Наведите путању до датотеке чије се име завршава са "-скуасхфс-сисупграде.бин".
Након тога кликните на дугме "Фласх Имаге".
У следећем прозору кликните на дугме "Настави". Фирмвер ће почети да се преузима на рутер.
!!! Ни у ком случају НЕМОЈТЕ ИСКЉУЧИТИ НАПАЈАЊЕ РУТЕРА ТОКОМ ПРОЦЕСА ФИРМВЕРА !!!
Након флешовања и поновног покретања рутера, добићете Микротик са ОпенВРТ фирмвером.
Могући проблеми и решења
Многи Микротик уређаји објављени 2019. користе меморијски чип ФЛАСХ-НОР типа ГД25К15 / К16. Проблем је у томе што се приликом трептања подаци о моделу уређаја не чувају.
Ако видите грешку „Отпремљена датотека слике не садржи подржани формат. Уверите се да сте изабрали генерички формат слике за своју платформу." онда је највероватније проблем у флешу.
Ово је лако проверити: покрените команду да проверите ИД модела у терминалу уређаја
root@OpenWrt: cat /tmp/sysinfo/board_name
А ако добијете одговор "непознато", онда морате ручно навести модел уређаја у облику "рб-951-2нд"
Да бисте добили модел уређаја, покрените команду
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Након што добијете модел уређаја, инсталирајте га ручно:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Након тога можете да флешујете уређај преко веб интерфејса или помоћу команде "сисупграде".
Креирајте ВПН сервер помоћу ВиреГуард-а
Ако већ имате сервер са конфигурисаним ВиреГуард-ом, можете прескочити овај корак.
Користићу апликацију за подешавање личног ВПН сервера
Конфигурисање ВиреГуард клијента на ОпенВРТ-у
Повежите се на рутер преко ССХ протокола:
ssh [email protected]
Инсталирајте ВиреГуард:
opkg update
opkg install wireguard
Припремите конфигурацију (копирајте код испод у датотеку, замените наведене вредности својим и покрените у терминалу).
Ако користите МиВПН, потребно је само да промените конфигурацију испод ВГ_СЕРВ - ИП сервера ВГ_КЕИ - приватни кључ из конфигурационе датотеке вирегуарда и ВГ_ПУБ - јавни кључ.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Ово завршава подешавање ВиреГуард-а! Сада је сав саобраћај на свим повезаним уређајима заштићен ВПН везом.
референце
Извор: ввв.хабр.цом