Sa karamihan ng mga kaso, ang pagkonekta ng isang router sa isang VPN ay hindi mahirap, ngunit kung nais mong protektahan ang buong network at sa parehong oras mapanatili ang pinakamainam na bilis ng koneksyon, kung gayon ang pinakamahusay na solusyon ay ang paggamit ng isang VPN tunnel .
Mga router Mikrotik napatunayang maaasahan at napaka-flexible na mga solusyon, ngunit sa kasamaang-palad hindi pa rin at hindi alam kung kailan ito lalabas at sa anong performance. Kamakailan lang tungkol sa iminungkahi ng mga developer ng WireGuard VPN tunnel , na gagawing bahagi ng Linux kernel ang kanilang VPN tunneling software, umaasa kaming makakatulong ito sa pag-aampon sa RouterOS.
Ngunit sa ngayon, sa kasamaang-palad, upang i-configure ang WireGuard sa isang Mikrotik router, kailangan mong baguhin ang firmware.
Pag-flash ng Mikrotik, pag-install at pag-configure ng OpenWrt
Una kailangan mong tiyakin na sinusuportahan ng OpenWrt ang iyong modelo. Tingnan kung tumutugma ang isang modelo sa pangalan at larawan ng marketing nito .
Pumunta sa openwrt.com .
Para sa device na ito, kailangan namin ng 2 file:
Kailangan mong i-download ang parehong mga file: I-install ΠΈ I-upgrade.
1. Network setup, download at setup ng PXE server
Mag-download para sa pinakabagong bersyon ng Windows.
I-unzip sa isang hiwalay na folder. Sa config.ini file idagdag ang parameter rfc951=1 seksyon [dhcp]. Ang parameter na ito ay pareho para sa lahat ng mga modelo ng Mikrotik.
Lumipat tayo sa mga setting ng network: kailangan mong magrehistro ng isang static na ip address sa isa sa mga interface ng network ng iyong computer.
IP address: 192.168.1.10
Netmask: 255.255.255.0
Takbo Maliit na PXE Server sa ngalan ng Administrator at pumili sa field DHCP Server server na may address 192.168.1.10
Sa ilang bersyon ng Windows, maaaring lumabas lang ang interface na ito pagkatapos ng koneksyon sa Ethernet. Inirerekomenda ko ang pagkonekta ng isang router at agad na palitan ang router at PC gamit ang isang patch cord.
Pindutin ang pindutan ng "..." (kanang ibaba) at tukuyin ang folder kung saan mo na-download ang mga file ng firmware para sa Mikrotik.
Pumili ng file na ang pangalan ay nagtatapos sa "initramfs-kernel.bin o elf"
2. Pag-boot ng router mula sa PXE server
Ikinonekta namin ang PC gamit ang isang wire at ang unang port (wan, internet, poe in, ...) ng router. Pagkatapos nito, kumuha kami ng toothpick, idikit ito sa butas na may inskripsyon na "I-reset".
Binuksan namin ang kapangyarihan ng router at maghintay ng 20 segundo, pagkatapos ay bitawan ang toothpick.
Sa loob ng susunod na minuto, ang mga sumusunod na mensahe ay dapat lumabas sa Tiny PXE Server window:
Kung lumabas ang mensahe, nasa tamang direksyon ka!
Ibalik ang mga setting sa network adapter at itakda upang matanggap ang address nang pabago-bago (sa pamamagitan ng DHCP).
Kumonekta sa mga LAN port ng Mikrotik router (2β¦5 sa aming kaso) gamit ang parehong patch cord. Ilipat lang ito mula 1st port hanggang 2nd port. Buksan ang address sa browser.
Mag-log in sa OpenWRT administrative interface at pumunta sa seksyong menu na "System -> Backup/Flash Firmware"
Sa subsection na "Flash new firmware image", mag-click sa "Piliin ang file (Browse)" na buton.
Tukuyin ang path sa isang file na ang pangalan ay nagtatapos sa "-squashfs-sysupgrade.bin".
Pagkatapos nito, i-click ang pindutang "Flash Image".
Sa susunod na window, i-click ang pindutang "Magpatuloy". Ang firmware ay magsisimulang mag-download sa router.
!!! KAHIT KAHIT HINDI HUWAG I-DICONNECT ANG KAPANGYARIHAN NG ROUTER SA PANAHON NG PROSESO NG FIRMWARE!!!
Pagkatapos ng pag-flash at pag-reboot ng router, makakatanggap ka ng Mikrotik na may OpenWRT firmware.
Mga posibleng problema at solusyon
Maraming mga Mikrotik device na inilabas noong 2019 ang gumagamit ng FLASH-NOR memory chip ng GD25Q15 / Q16 type. Ang problema ay kapag nag-flash, ang data tungkol sa modelo ng device ay hindi nai-save.
Kung nakikita mo ang error na "Ang na-upload na file ng imahe ay hindi naglalaman ng suportadong format. Tiyaking pipiliin mo ang generic na format ng larawan para sa iyong platform." pagkatapos ay malamang na ang problema ay sa flash.
Madaling suriin ito: patakbuhin ang command upang suriin ang ID ng modelo sa terminal ng device
root@OpenWrt: cat /tmp/sysinfo/board_nameAt kung makuha mo ang sagot na "hindi kilala", kailangan mong manu-manong tukuyin ang modelo ng device sa form na "rb-951-2nd"
Upang makuha ang modelo ng device, patakbuhin ang command
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndPagkatapos matanggap ang modelo ng device, i-install ito nang manu-mano:
echo 'rb-951-2nd' > /tmp/sysinfo/board_namePagkatapos nito, maaari mong i-flash ang device sa pamamagitan ng web interface o gamit ang command na "sysupgrade".
Gumawa ng VPN server gamit ang WireGuard
Kung mayroon ka nang server na naka-configure ang WireGuard, maaari mong laktawan ang hakbang na ito.
Gagamitin ko ang application para mag-set up ng personal na VPN server tungkol sa pusa ko na .
Pag-configure ng WireGuard Client sa OpenWRT
Kumonekta sa router sa pamamagitan ng SSH protocol:
ssh [email protected]I-install ang WireGuard:
opkg update
opkg install wireguardIhanda ang pagsasaayos (kopyahin ang code sa ibaba sa isang file, palitan ang mga tinukoy na halaga ng iyong sarili at tumakbo sa terminal).
Kung gumagamit ka ng MyVPN, pagkatapos ay sa pagsasaayos sa ibaba kailangan mo lamang baguhin WG_SERV - IP ng server WG_KEY - pribadong key mula sa wireguard configuration file at WG_PUB - pampublikong susi.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ°
WG_PORT="51820" # ΠΏΠΎΡΡ wireguard
WG_ADDR="10.8.0.2/32" # Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ Π°Π΄ΡΠ΅ΡΠΎΠ² wireguard
WG_KEY="xxxxx" # ΠΏΡΠΈΠ²Π°ΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
WG_PUB="xxxxx" # ΠΏΡΠ±Π»ΠΈΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartKinukumpleto nito ang pag-setup ng WireGuard! Ngayon ang lahat ng trapiko sa lahat ng konektadong device ay protektado ng isang koneksyon sa VPN.
sanggunian
(karagdagang magagamit na mga tagubilin para sa pag-set up ng L2TP, PPTP sa karaniwang firmware ng Mikrotik)
Pinagmulan: www.habr.com