I de flesta fall är det inte svårt att ansluta en router till ett VPN, men om du vill skydda hela nätverket och samtidigt behålla optimal anslutningshastighet är den bästa lösningen att använda en VPN-tunnel .
Routrar Mikrotik visade sig vara pålitliga och mycket flexibla lösningar, men tyvärr fortfarande inte och det är inte känt när det dyker upp och i vilken föreställning. Nyligen om vad utvecklarna av WireGuard VPN-tunneln föreslog , som kommer att göra deras VPN-tunnlingsprogram till en del av Linux-kärnan, hoppas vi att detta kommer att bidra till adoptionen i RouterOS.
Men för nu, tyvärr, för att konfigurera WireGuard på en Mikrotik-router, måste du ändra firmware.
Blinkar Mikrotik, installerar och konfigurerar OpenWrt
Först måste du se till att OpenWrt stöder din modell. Se om en modell matchar dess marknadsföringsnamn och image .
Gå till openwrt.com .
För den här enheten behöver vi 2 filer:
Du måste ladda ner båda filerna: installera и Uppgradera.
1. Nätverksinställningar, ladda ner och konfigurera PXE-server
Ladda ner för Windows senaste versionen.
Packa upp till en separat mapp. Lägg till parametern i filen config.ini rfc951=1 sektion [dhcp]. Denna parameter är densamma för alla Mikrotik-modeller.
Låt oss gå vidare till nätverksinställningarna: du måste registrera en statisk ip-adress på ett av nätverksgränssnitten på din dator.
IP-adress: 192.168.1.10
Nätmask: 255.255.255.0
Springa Liten PXE-server på uppdrag av administratören och välj i fältet DHCP-server server med adress 192.168.1.10
På vissa versioner av Windows kan detta gränssnitt endast visas efter en Ethernet-anslutning. Jag rekommenderar att du ansluter en router och omedelbart byter router och PC med hjälp av en patchkabel.
Tryck på knappen "..." (nederst till höger) och ange mappen där du laddade ner firmwarefilerna för Mikrotik.
Välj en fil vars namn slutar med "initramfs-kernel.bin eller elf"
2. Starta upp routern från PXE-servern
Vi ansluter datorn med en tråd och den första porten (wan, internet, poe in, ...) på routern. Efter det tar vi en tandpetare, sticker in den i hålet med inskriptionen "Återställ".
Vi slår på strömmen till routern och väntar 20 sekunder och släpper sedan tandpetaren.
Inom nästa minut bör följande meddelanden visas i fönstret Tiny PXE Server:
Om meddelandet visas, då är du på rätt håll!
Återställ inställningarna på nätverksadaptern och ställ in att ta emot adressen dynamiskt (via DHCP).
Anslut till LAN-portarna på Mikrotik-routern (2…5 i vårt fall) med samma patchkabel. Byt bara från 1:a porten till 2:a porten. Öppna adress i webbläsaren.
Logga in på OpenWRTs administrativa gränssnitt och gå till menyavsnittet "System -> Backup/Flash Firmware"
I undersektionen "Flash new firmware image" klickar du på knappen "Select file (Browse)".
Ange sökvägen till en fil vars namn slutar med "-squashfs-sysupgrade.bin".
Efter det klickar du på knappen "Flash Image".
I nästa fönster klickar du på knappen "Fortsätt". Den fasta programvaran börjar laddas ner till routern.
!!! KOPPLA INTE UNDER INGEN OMSTÄNDIG FRÅN STRÖMN TILL ROUTERN UNDER DEN FIRMWARE-PROCESSEN !!!
Efter att ha blinkat och startat om routern får du Mikrotik med OpenWRT-firmware.
Möjliga problem och lösningar
Många Mikrotik-enheter som släpptes 2019 använder ett FLASH-NOR-minneschip av typen GD25Q15 / Q16. Problemet är att när den blinkar sparas inte data om enhetsmodellen.
Om du ser felet "Den uppladdade bildfilen innehåller inte ett format som stöds. Se till att du väljer det allmänna bildformatet för din plattform." då är problemet troligen i flash.
Det är lätt att kontrollera detta: kör kommandot för att kontrollera modell-ID i enhetsterminalen
root@OpenWrt: cat /tmp/sysinfo/board_nameOch om du får svaret "okänt", måste du manuellt ange enhetsmodellen i formen "rb-951-2nd"
Kör kommandot för att få enhetsmodellen
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndEfter att ha mottagit enhetsmodellen, installera den manuellt:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameEfter det kan du flasha enheten via webbgränssnittet eller med kommandot "sysupgrade".
Skapa en VPN-server med WireGuard
Om du redan har en server med WireGuard konfigurerad kan du hoppa över detta steg.
Jag kommer att använda applikationen för att konfigurera en personlig VPN-server om katten jag redan .
Konfigurera WireGuard Client på OpenWRT
Anslut till routern via SSH-protokoll:
ssh [email protected]Installera WireGuard:
opkg update
opkg install wireguardFörbered konfigurationen (kopiera koden nedan till en fil, ersätt de angivna värdena med dina egna och kör i terminalen).
Om du använder MyVPN behöver du bara ändra i konfigurationen nedan WG_SERV - Server IP WG_KEY - privat nyckel från wireguard-konfigurationsfilen och WG_PUB - offentlig nyckel.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartDetta avslutar WireGuard-installationen! Nu är all trafik på alla anslutna enheter skyddad av en VPN-anslutning.
referenser
(ytterligare tillgängliga instruktioner för att ställa in L2TP, PPTP på standard Mikrotik-firmware)
Källa: will.com