
Sa karamihan ng mga kaso, ang pagkonekta ng isang router sa isang VPN ay hindi mahirap, ngunit kung nais mong protektahan ang buong network at sa parehong oras mapanatili ang pinakamainam na bilis ng koneksyon, kung gayon ang pinakamahusay na solusyon ay ang paggamit ng isang VPN tunnel .
Mga router Mikrotik napatunayang maaasahan at napaka-flexible na mga solusyon, ngunit sa kasamaang-palad hindi pa rin at hindi alam kung kailan ito lalabas at sa anong performance. Kamakailan lang na ang mga developer ng VPN tunnel WireGuard inalok , na gagawing bahagi ng core ang kanilang VPN tunneling software Linux, umaasa kaming mapadali nito ang implementasyon sa RouterOS.
Ngunit sa ngayon, sa kasamaang palad, para sa pag-set up WireGuard Kailangang palitan ang firmware sa Mikrotik router.
Pag-flash ng Mikrotik, pag-install at pag-configure ng OpenWrt
Una kailangan mong tiyakin na sinusuportahan ng OpenWrt ang iyong modelo. Tingnan kung tumutugma ang isang modelo sa pangalan at larawan ng marketing nito .
Pumunta sa openwrt.com .
Para sa device na ito, kailangan namin ng 2 file:
Kailangan mong i-download ang parehong mga file: I-install ΠΈ I-upgrade.

1. Network setup, download at setup ng PXE server
Mag-download para sa Windows pinakabagong bersyon.
I-unzip sa isang hiwalay na folder. Sa config.ini file idagdag ang parameter rfc951=1 seksyon [dhcp]. Ang parameter na ito ay pareho para sa lahat ng mga modelo ng Mikrotik.

Lumipat tayo sa mga setting ng network: kailangan mong magrehistro ng isang static na ip address sa isa sa mga interface ng network ng iyong computer.

IP address: 192.168.1.10
Netmask: 255.255.255.0

Takbo Maliit na PXE Server sa ngalan ng Administrator at pumili sa field DHCP Server server na may address 192.168.1.10
Sa ilang mga bersyon Windows Maaari lamang lumitaw ang interface na ito pagkatapos ikonekta ang Ethernet. Inirerekomenda ko ang pagkonekta ng router at agad na pagkonekta ng router at PC gamit ang patch cord.

Pindutin ang pindutan ng "..." (kanang ibaba) at tukuyin ang folder kung saan mo na-download ang mga file ng firmware para sa Mikrotik.
Pumili ng file na ang pangalan ay nagtatapos sa "initramfs-kernel.bin o elf"

2. Pag-boot ng router mula sa PXE server
Ikinonekta namin ang PC gamit ang isang wire at ang unang port (wan, internet, poe in, ...) ng router. Pagkatapos nito, kumuha kami ng toothpick, idikit ito sa butas na may inskripsyon na "I-reset".

Binuksan namin ang kapangyarihan ng router at maghintay ng 20 segundo, pagkatapos ay bitawan ang toothpick.
Sa loob ng susunod na minuto, ang mga sumusunod na mensahe ay dapat lumabas sa Tiny PXE Server window:

Kung lumabas ang mensahe, nasa tamang direksyon ka!
Ibalik ang mga setting sa network adapter at itakda upang matanggap ang address nang pabago-bago (sa pamamagitan ng DHCP).
Kumonekta sa mga LAN port ng Mikrotik router (2β¦5 sa aming kaso) gamit ang parehong patch cord. Ilipat lang ito mula 1st port hanggang 2nd port. Buksan ang address sa browser.

Mag-log in sa OpenWRT administrative interface at pumunta sa seksyong menu na "System -> Backup/Flash Firmware"

Sa subsection na "Flash new firmware image", mag-click sa "Piliin ang file (Browse)" na buton.

Tukuyin ang path sa isang file na ang pangalan ay nagtatapos sa "-squashfs-sysupgrade.bin".

Pagkatapos nito, i-click ang pindutang "Flash Image".
Sa susunod na window, i-click ang pindutang "Magpatuloy". Ang firmware ay magsisimulang mag-download sa router.

!!! KAHIT KAHIT HINDI HUWAG I-DICONNECT ANG KAPANGYARIHAN NG ROUTER SA PANAHON NG PROSESO NG FIRMWARE!!!

Pagkatapos ng pag-flash at pag-reboot ng router, makakatanggap ka ng Mikrotik na may OpenWRT firmware.
Mga posibleng problema at solusyon
Maraming mga Mikrotik device na inilabas noong 2019 ang gumagamit ng FLASH-NOR memory chip ng GD25Q15 / Q16 type. Ang problema ay kapag nag-flash, ang data tungkol sa modelo ng device ay hindi nai-save.
Kung nakikita mo ang error na "Ang na-upload na file ng imahe ay hindi naglalaman ng suportadong format. Tiyaking pipiliin mo ang generic na format ng larawan para sa iyong platform." pagkatapos ay malamang na ang problema ay sa flash.
Madaling suriin ito: patakbuhin ang command upang suriin ang ID ng modelo sa terminal ng device
root@OpenWrt: cat /tmp/sysinfo/board_name
At kung makuha mo ang sagot na "hindi kilala", kailangan mong manu-manong tukuyin ang modelo ng device sa form na "rb-951-2nd"
Upang makuha ang modelo ng device, patakbuhin ang command
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Pagkatapos matanggap ang modelo ng device, i-install ito nang manu-mano:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Pagkatapos nito, maaari mong i-flash ang device sa pamamagitan ng web interface o gamit ang command na "sysupgrade".
Gumawa ng VPN server gamit ang WireGuard
Kung mayroon ka nang naka-configure na server WireGuard, kung gayon ay maaari mong laktawan ang puntong ito.
Gagamitin ko ang application para mag-set up ng personal na VPN server tungkol sa pusa ko na .
pag-aayos WireGuard Kliyente sa OpenWRT
Kumonekta sa router sa pamamagitan ng SSH protocol:
ssh root@192.168.1.1
Itakda WireGuard:
opkg update
opkg install wireguard
Ihanda ang pagsasaayos (kopyahin ang code sa ibaba sa isang file, palitan ang mga tinukoy na halaga ng iyong sarili at tumakbo sa terminal).
Kung gumagamit ka ng MyVPN, pagkatapos ay sa pagsasaayos sa ibaba kailangan mo lamang baguhin WG_SERV - IP ng server WG_KEY β pribadong susi mula sa configuration file wireguard ΠΈ WG_PUB - pampublikong susi.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ°
WG_PORT="51820" # ΠΏΠΎΡΡ wireguard
WG_ADDR="10.8.0.2/32" # Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ Π°Π΄ΡΠ΅ΡΠΎΠ² wireguard
WG_KEY="xxxxx" # ΠΏΡΠΈΠ²Π°ΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
WG_PUB="xxxxx" # ΠΏΡΠ±Π»ΠΈΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Iyon lang para sa pag-setup WireGuard Kumpleto! Ngayon, lahat ng trapiko sa lahat ng konektadong device ay protektado na ng koneksyon ng VPN.
sanggunian
(karagdagang magagamit na mga tagubilin para sa pag-set up ng L2TP, PPTP sa karaniwang firmware ng Mikrotik)
Pinagmulan: www.habr.com
