
У већини случајева повезивање рутера са ВПН-ом није тешко, али ако желите да заштитите целу мрежу и истовремено одржите оптималну брзину везе, онда је најбоље решење да користите ВПН тунел .
Ruteri Микротик показала се као поуздана и веома флексибилна решења, али нажалост још увек није и не зна се када ће се појавити и у ком извођењу. Недавно да програмери VPN тунела WireGuard понудио , што ће њихов софтвер за VPN тунелирање учинити делом језгра Linux, надамо се да ће ово олакшати имплементацију у RouterOS-у.
Али за сада, нажалост, за подешавање WireGuard Потребно је променити фирмвер на Микротик рутеру.
Фласхинг Микротик, инсталирање и конфигурисање ОпенВрт-а
Прво морате да се уверите да ОпенВрт подржава ваш модел. Погледајте да ли модел одговара његовом маркетиншком имену и имиџу .
Идите на опенврт.цом .
За овај уређај су нам потребне 2 датотеке:
Потребно је да преузмете обе датотеке: Инсталирати и Упграде.

1. Подешавање мреже, преузимање и подешавање ПКСЕ сервера
Преузми за Windows најновија верзија.
Распакујте у посебну фасциклу. У датотеку цонфиг.ини додајте параметар рфц951=1 одељак [дхцп]. Овај параметар је исти за све Микротик моделе.

Пређимо на мрежна подешавања: потребно је да региструјете статичку ИП адресу на једном од мрежних интерфејса вашег рачунара.

ИП адреса: 192.168.1.10
Мрежна маска: 255.255.255.0

Трчи Мали ПКСЕ сервер у име Администратора и изаберите у пољу ДХЦП Сервер сервер са адресом 192.168.1.10
На неким верзијама Windows Овај интерфејс се може појавити тек након повезивања Етернета. Препоручујем повезивање рутера и одмах повезивање рутера и рачунара помоћу патч кабла.

Притисните дугме "..." (доле десно) и одредите фасциклу у коју сте преузели датотеке фирмвера за Микротик.
Изаберите датотеку чије се име завршава са "инитрамфс-кернел.бин или елф"

2. Покретање рутера са ПКСЕ сервера
Повезујемо рачунар жицом и први порт (ван, интернет, пое ин, ...) рутера. Након тога, узмемо чачкалицу, забијемо је у рупу са натписом "Ресет".

Укључујемо напајање рутера и чекамо 20 секунди, а затим отпуштамо чачкалицу.
У року од следећег минута, следеће поруке би требало да се појаве у прозору Тини ПКСЕ Сервер:

Ако се порука појави, онда сте на правом путу!
Вратите подешавања на мрежни адаптер и подесите да примате адресу динамички (преко ДХЦП-а).
Повежите се на ЛАН портове Микротик рутера (2…5 у нашем случају) користећи исти патцх кабл. Само га пребаците са 1. порта на 2. порт. Отвори адресу у претраживачу.

Пријавите се на ОпенВРТ административни интерфејс и идите на одељак менија „Систем -> Бацкуп/Фласх Фирмваре“

У пододељку „Флешујте нову слику фирмвера“ кликните на дугме „Изабери датотеку (Прегледај)“.

Наведите путању до датотеке чије се име завршава са "-скуасхфс-сисупграде.бин".

Након тога кликните на дугме "Фласх Имаге".
У следећем прозору кликните на дугме "Настави". Фирмвер ће почети да се преузима на рутер.

!!! Ни у ком случају НЕМОЈТЕ ИСКЉУЧИТИ НАПАЈАЊЕ РУТЕРА ТОКОМ ПРОЦЕСА ФИРМВЕРА !!!

Након флешовања и поновног покретања рутера, добићете Микротик са ОпенВРТ фирмвером.
Могући проблеми и решења
Многи Микротик уређаји објављени 2019. користе меморијски чип ФЛАСХ-НОР типа ГД25К15 / К16. Проблем је у томе што се приликом трептања подаци о моделу уређаја не чувају.
Ако видите грешку „Отпремљена датотека слике не садржи подржани формат. Уверите се да сте изабрали генерички формат слике за своју платформу." онда је највероватније проблем у флешу.
Ово је лако проверити: покрените команду да проверите ИД модела у терминалу уређаја
root@OpenWrt: cat /tmp/sysinfo/board_nameА ако добијете одговор "непознато", онда морате ручно навести модел уређаја у облику "рб-951-2нд"
Да бисте добили модел уређаја, покрените команду
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndНакон што добијете модел уређаја, инсталирајте га ручно:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameНакон тога можете да флешујете уређај преко веб интерфејса или помоћу команде "сисупграде".
Направите VPN сервер са WireGuard
Ако већ имате конфигурисан сервер WireGuard, онда можете прескочити ову тачку.
Користићу апликацију за подешавање личног ВПН сервера о мачку сам већ .
подешавање WireGuard Клијент на OpenWRT-у
Повежите се на рутер преко ССХ протокола:
ssh root@192.168.1.1Сет WireGuard:
opkg update
opkg install wireguardПрипремите конфигурацију (копирајте код испод у датотеку, замените наведене вредности својим и покрените у терминалу).
Ако користите МиВПН, потребно је само да промените конфигурацију испод ВГ_СЕРВ - ИП сервера ВГ_КЕИ — приватни кључ из конфигурационе датотеке wireguard и ВГ_ПУБ - јавни кључ.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartТо је то што се тиче подешавања WireGuard Завршено! Сада је сав саобраћај на свим повезаним уређајима заштићен VPN везом.
референце
(додатно доступна упутства за подешавање Л2ТП, ППТП на стандардном Микротик фирмверу)
Извор: ввв.хабр.цом
