Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt
Sa karamihan ng mga kaso, ang pagkonekta ng isang router sa isang VPN ay hindi mahirap, ngunit kung nais mong protektahan ang buong network at sa parehong oras mapanatili ang pinakamainam na bilis ng koneksyon, kung gayon ang pinakamahusay na solusyon ay ang paggamit ng isang VPN tunnel WireGuard.

Mga router Mikrotik napatunayang maaasahan at napaka-flexible na mga solusyon, ngunit sa kasamaang-palad Suporta sa WireGurd sa RouterOS hindi pa rin at hindi alam kung kailan ito lalabas at sa anong performance. Kamakailan lang стало извСстно na ang mga developer ng VPN tunnel WireGuard inalok set ng patch, na gagawing bahagi ng core ang kanilang VPN tunneling software Linux, umaasa kaming mapadali nito ang implementasyon sa RouterOS.

Ngunit sa ngayon, sa kasamaang palad, para sa pag-set up WireGuard Kailangang palitan ang firmware sa Mikrotik router.

Pag-flash ng Mikrotik, pag-install at pag-configure ng OpenWrt

Una kailangan mong tiyakin na sinusuportahan ng OpenWrt ang iyong modelo. Tingnan kung tumutugma ang isang modelo sa pangalan at larawan ng marketing nito maaari mong bisitahin ang mikrotik.com.

Pumunta sa openwrt.com sa seksyon ng pag-download ng firmware.

Para sa device na ito, kailangan namin ng 2 file:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

Kailangan mong i-download ang parehong mga file: I-install ΠΈ I-upgrade.

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

1. Network setup, download at setup ng PXE server

Mag-download Maliit na PXE Server para sa Windows pinakabagong bersyon.

I-unzip sa isang hiwalay na folder. Sa config.ini file idagdag ang parameter rfc951=1 seksyon [dhcp]. Ang parameter na ito ay pareho para sa lahat ng mga modelo ng Mikrotik.

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

Lumipat tayo sa mga setting ng network: kailangan mong magrehistro ng isang static na ip address sa isa sa mga interface ng network ng iyong computer.

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

IP address: 192.168.1.10
Netmask: 255.255.255.0

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

Takbo Maliit na PXE Server sa ngalan ng Administrator at pumili sa field DHCP Server server na may address 192.168.1.10

Sa ilang mga bersyon Windows Maaari lamang lumitaw ang interface na ito pagkatapos ikonekta ang Ethernet. Inirerekomenda ko ang pagkonekta ng router at agad na pagkonekta ng router at PC gamit ang patch cord.

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

Pindutin ang pindutan ng "..." (kanang ibaba) at tukuyin ang folder kung saan mo na-download ang mga file ng firmware para sa Mikrotik.

Pumili ng file na ang pangalan ay nagtatapos sa "initramfs-kernel.bin o elf"

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

2. Pag-boot ng router mula sa PXE server

Ikinonekta namin ang PC gamit ang isang wire at ang unang port (wan, internet, poe in, ...) ng router. Pagkatapos nito, kumuha kami ng toothpick, idikit ito sa butas na may inskripsyon na "I-reset".

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

Binuksan namin ang kapangyarihan ng router at maghintay ng 20 segundo, pagkatapos ay bitawan ang toothpick.
Sa loob ng susunod na minuto, ang mga sumusunod na mensahe ay dapat lumabas sa Tiny PXE Server window:

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

Kung lumabas ang mensahe, nasa tamang direksyon ka!

Ibalik ang mga setting sa network adapter at itakda upang matanggap ang address nang pabago-bago (sa pamamagitan ng DHCP).

Kumonekta sa mga LAN port ng Mikrotik router (2…5 sa aming kaso) gamit ang parehong patch cord. Ilipat lang ito mula 1st port hanggang 2nd port. Buksan ang address 192.168.1.1 sa browser.

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

Mag-log in sa OpenWRT administrative interface at pumunta sa seksyong menu na "System -> Backup/Flash Firmware"

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

Sa subsection na "Flash new firmware image", mag-click sa "Piliin ang file (Browse)" na buton.

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

Tukuyin ang path sa isang file na ang pangalan ay nagtatapos sa "-squashfs-sysupgrade.bin".

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

Pagkatapos nito, i-click ang pindutang "Flash Image".

Sa susunod na window, i-click ang pindutang "Magpatuloy". Ang firmware ay magsisimulang mag-download sa router.

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

!!! KAHIT KAHIT HINDI HUWAG I-DICONNECT ANG KAPANGYARIHAN NG ROUTER SA PANAHON NG PROSESO NG FIRMWARE!!!

Kino-configure WireGuard sa isang Mikrotik router na gumagamit ng OpenWrt

Pagkatapos ng pag-flash at pag-reboot ng router, makakatanggap ka ng Mikrotik na may OpenWRT firmware.

Mga posibleng problema at solusyon

Maraming mga Mikrotik device na inilabas noong 2019 ang gumagamit ng FLASH-NOR memory chip ng GD25Q15 / Q16 type. Ang problema ay kapag nag-flash, ang data tungkol sa modelo ng device ay hindi nai-save.

Kung nakikita mo ang error na "Ang na-upload na file ng imahe ay hindi naglalaman ng suportadong format. Tiyaking pipiliin mo ang generic na format ng larawan para sa iyong platform." pagkatapos ay malamang na ang problema ay sa flash.

Madaling suriin ito: patakbuhin ang command upang suriin ang ID ng modelo sa terminal ng device

root@OpenWrt: cat /tmp/sysinfo/board_name

At kung makuha mo ang sagot na "hindi kilala", kailangan mong manu-manong tukuyin ang modelo ng device sa form na "rb-951-2nd"

Upang makuha ang modelo ng device, patakbuhin ang command

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

Pagkatapos matanggap ang modelo ng device, i-install ito nang manu-mano:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

Pagkatapos nito, maaari mong i-flash ang device sa pamamagitan ng web interface o gamit ang command na "sysupgrade".

Gumawa ng VPN server gamit ang WireGuard

Kung mayroon ka nang naka-configure na server WireGuard, kung gayon ay maaari mong laktawan ang puntong ito.
Gagamitin ko ang application para mag-set up ng personal na VPN server MyVPN.RUN tungkol sa pusa ko na naglathala ng pagsusuri.

pag-aayos WireGuard Kliyente sa OpenWRT

Kumonekta sa router sa pamamagitan ng SSH protocol:

ssh root@192.168.1.1

Itakda WireGuard:

opkg update
opkg install wireguard

Ihanda ang pagsasaayos (kopyahin ang code sa ibaba sa isang file, palitan ang mga tinukoy na halaga ng iyong sarili at tumakbo sa terminal).

Kung gumagamit ka ng MyVPN, pagkatapos ay sa pagsasaayos sa ibaba kailangan mo lamang baguhin WG_SERV - IP ng server WG_KEY β€” pribadong susi mula sa configuration file wireguard ΠΈ WG_PUB - pampublikong susi.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрСс сСрвСра
WG_PORT="51820" # ΠΏΠΎΡ€Ρ‚ wireguard
WG_ADDR="10.8.0.2/32" # Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ адрСсов wireguard

WG_KEY="xxxxx" # ΠΏΡ€ΠΈΠ²Π°Ρ‚Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡
WG_PUB="xxxxx" # ΠΏΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

Iyon lang para sa pag-setup WireGuard Kumpleto! Ngayon, lahat ng trapiko sa lahat ng konektadong device ay protektado na ng koneksyon ng VPN.

sanggunian

Pinagmulan #1
Binagong mga tagubilin sa MyVPN (karagdagang magagamit na mga tagubilin para sa pag-set up ng L2TP, PPTP sa karaniwang firmware ng Mikrotik)
openwrt WireGuard Kliente

Pinagmulan: www.habr.com

Bumili ng maaasahang pagho-host para sa mga site na may proteksyon ng DDoS, mga server ng VPS VDS πŸ”₯ Bumili ng maaasahang website hosting na may proteksyon ng DDoS, VPS VDS servers | ProHoster