Katika hali nyingi, kuunganisha router kwenye VPN si vigumu, lakini ikiwa unataka kulinda mtandao mzima na wakati huo huo kudumisha kasi ya uunganisho bora, basi suluhisho bora ni kutumia handaki ya VPN. .
Vipanga njia Mikrotik imeonekana kuwa suluhu za kutegemewa na zinazonyumbulika sana, lakini kwa bahati mbaya bado haijajulikana na haijajulikana lini itaonekana na katika utendaji gani. Hivi majuzi kuhusu kile ambacho watengenezaji wa handaki ya WireGuard VPN walipendekeza , ambayo itafanya programu yao ya uwekaji tunnel ya VPN kuwa sehemu ya kinu cha Linux, tunatumai hii itachangia kupitishwa katika RouterOS.
Lakini kwa sasa, kwa bahati mbaya, ili kusanidi WireGuard kwenye router ya Mikrotik, unahitaji kubadilisha firmware.
Flashing Mikrotik, kusakinisha na kusanidi OpenWrt
Kwanza unahitaji kuhakikisha kuwa OpenWrt inasaidia mfano wako. Angalia ikiwa mtindo unalingana na jina na picha yake ya uuzaji .
Nenda kwa openwrt.com .
Kwa kifaa hiki, tunahitaji faili 2:
Unahitaji kupakua faili zote mbili: Kufunga ΠΈ Kuboresha.
1. Kuweka mtandao, pakua na kusanidi seva ya PXE
Pakua kwa toleo la hivi karibuni la Windows.
Fungua unzip kwenye folda tofauti. Katika faili ya config.ini ongeza parameter rfc951=1 sehemu [dhcp]. Kigezo hiki ni sawa kwa mifano yote ya Mikrotik.
Hebu tuendelee kwenye mipangilio ya mtandao: unahitaji kusajili anwani ya ip tuli kwenye moja ya miingiliano ya mtandao ya kompyuta yako.
Anwani ya IP: 192.168.1.10
Netmask: 255.255.255.0
Endesha Seva Ndogo ya PXE kwa niaba ya Msimamizi na uchague kwenye uwanja DHCP Server seva yenye anwani 192.168.1.10
Katika baadhi ya matoleo ya Windows, kiolesura hiki kinaweza tu kuonekana baada ya muunganisho wa Ethaneti. Ninapendekeza kuunganisha router na mara moja kubadili router na PC kwa kutumia kamba ya kiraka.
Bonyeza kitufe cha "..." (chini kulia) na ueleze folda ambapo ulipakua faili za firmware kwa Mikrotik.
Chagua faili ambayo jina lake linaisha na "initramfs-kernel.bin au elf"
2. Kuanzisha kipanga njia kutoka kwa seva ya PXE
Tunaunganisha PC na waya na bandari ya kwanza (wan, internet, poe in, ...) ya router. Baada ya hayo, tunachukua kidole cha meno, shikamishe ndani ya shimo na uandishi "Rudisha".
Tunawasha nguvu ya router na kusubiri sekunde 20, kisha toa kidole cha meno.
Ndani ya dakika ifuatayo, jumbe zifuatazo zinapaswa kuonekana kwenye Dirisha la Tiny PXE Server:
Ikiwa ujumbe unaonekana, basi uko katika mwelekeo sahihi!
Rejesha mipangilio kwenye adapta ya mtandao na uweke kupokea anwani kwa nguvu (kupitia DHCP).
Unganisha kwenye bandari za LAN za kipanga njia cha Mikrotik (2β¦5 kwa upande wetu) kwa kutumia kamba sawa ya kiraka. Ibadilishe tu kutoka lango la 1 hadi la pili. Fungua anwani katika kivinjari.
Ingia kwenye kiolesura cha kiutawala cha OpenWRT na uende kwenye sehemu ya menyu ya "Mfumo -> Hifadhi nakala/Flash Firmware".
Katika sehemu ya "Ongeza picha mpya ya firmware", bofya kitufe cha "Chagua faili (Vinjari)".
Bainisha njia ya faili ambayo jina lake huisha na "-squashfs-sysupgrade.bin".
Baada ya hayo, bofya kitufe cha "Flash Image".
Katika dirisha linalofuata, bofya kitufe cha "Endelea". Firmware itaanza kupakua kwenye router.
!!! USIKOSE KUKATISHA NGUVU YA ROUTA WAKATI WA MCHAKATO FIRMWARE !!!
Baada ya kuangaza na kuanzisha upya router, utapokea Mikrotik na firmware ya OpenWRT.
Shida na suluhisho zinazowezekana
Vifaa vingi vya Mikrotik vilivyotolewa mwaka wa 2019 vinatumia chip ya kumbukumbu ya FLASH-NOR ya aina ya GD25Q15 / Q16. Tatizo ni kwamba wakati wa kuangaza, data kuhusu mfano wa kifaa haijahifadhiwa.
Ukiona hitilafu "Faili ya picha iliyopakiwa haina umbizo linalotumika. Hakikisha kuwa umechagua umbizo la picha la jumla la jukwaa lako." basi uwezekano mkubwa tatizo liko kwenye flash.
Ni rahisi kuangalia hii: endesha amri ya kuangalia kitambulisho cha mfano kwenye terminal ya kifaa
root@OpenWrt: cat /tmp/sysinfo/board_nameNa ikiwa unapata jibu "haijulikani", basi unahitaji kutaja mfano wa kifaa kwa fomu "rb-951-2nd"
Ili kupata mfano wa kifaa, endesha amri
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndBaada ya kupokea muundo wa kifaa, kisakinishe wewe mwenyewe:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameBaada ya hayo, unaweza kuangaza kifaa kupitia kiolesura cha wavuti au kutumia amri ya "sysupgrade".
Unda seva ya VPN na WireGuard
Ikiwa tayari una seva iliyo na WireGuard iliyosanidiwa, unaweza kuruka hatua hii.
Nitatumia programu kusanidi seva ya kibinafsi ya VPN kuhusu paka mimi tayari .
Kusanidi Mteja wa WireGuard kwenye OpenWRT
Unganisha kwenye kipanga njia kupitia itifaki ya SSH:
ssh [email protected]Sakinisha WireGuard:
opkg update
opkg install wireguardAndaa usanidi (nakili nambari iliyo hapa chini kwa faili, badilisha maadili maalum na yako mwenyewe na uendeshe kwenye terminal).
Ikiwa unatumia MyVPN, basi katika usanidi ulio hapa chini unahitaji kubadilisha tu WG_SERV - IP ya seva WG_KEY - ufunguo wa kibinafsi kutoka kwa faili ya usanidi wa wireguard na WG_PUB - ufunguo wa umma.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ°
WG_PORT="51820" # ΠΏΠΎΡΡ wireguard
WG_ADDR="10.8.0.2/32" # Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ Π°Π΄ΡΠ΅ΡΠΎΠ² wireguard
WG_KEY="xxxxx" # ΠΏΡΠΈΠ²Π°ΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
WG_PUB="xxxxx" # ΠΏΡΠ±Π»ΠΈΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartHii inakamilisha usanidi wa WireGuard! Sasa trafiki yote kwenye vifaa vyote vilivyounganishwa inalindwa na muunganisho wa VPN.
marejeo
(maagizo ya ziada yanapatikana ya kusanidi L2TP, PPTP kwenye programu dhibiti ya Mikrotik)
Chanzo: mapenzi.com