Çoğu durumda, bir yönlendiriciyi bir VPN'ye bağlamak zor değildir, ancak tüm ağı korumak ve aynı zamanda optimum bağlantı hızını korumak istiyorsanız, en iyi çözüm bir VPN tüneli kullanmaktır. .
Yönlendiriciler mikrotik güvenilir ve çok esnek çözümler olduğunu kanıtladı, ancak ne yazık ki hala değil ve ne zaman ve hangi performansta görüneceği bilinmiyor. Son zamanlarda WireGuard VPN tünelinin geliştiricilerinin önerdiği şey hakkında VPN tünelleme yazılımlarını Linux çekirdeğinin bir parçası haline getirecek olan , bunun RouterOS'ta benimsenmesine katkıda bulunacağını umuyoruz.
Ancak şimdilik maalesef WireGuard'ı bir Mikrotik yönlendiricide yapılandırmak için aygıt yazılımını değiştirmeniz gerekiyor.
Mikrotik'in yanıp sönmesi, OpenWrt'nin kurulması ve yapılandırılması
Öncelikle OpenWrt'nin modelinizi desteklediğinden emin olmanız gerekir. Bir modelin pazarlama adı ve görseliyle eşleşip eşleşmediğini görün .
openwrt.com'a gidin .
Bu cihaz için 2 dosyaya ihtiyacımız var:
Her iki dosyayı da indirmeniz gerekir: kurmak и yükseltmek.
1. Ağ kurulumu, indirme ve PXE sunucusu kurulumu
indir Windows'un son sürümü için.
Ayrı bir klasöre sıkıştırın. config.ini dosyasında parametreyi ekleyin rfc951=1 Bölüm [dhcp]. Bu parametre tüm Mikrotik modellerinde aynıdır.
Ağ ayarlarına geçelim: Bilgisayarınızın ağ arayüzlerinden birine statik bir ip adresi kaydetmeniz gerekiyor.
IP Adresi: 192.168.1.10
Ağ maskesi: 255.255.255.0
başlangıç Minik PXE Sunucusu Yönetici adına ve alanda seçin DHCP Sunucusu adresli sunucu 192.168.1.10
Windows'un bazı sürümlerinde, bu arabirim yalnızca bir Ethernet bağlantısından sonra görünebilir. Bir yönlendirici bağlamanızı ve bir yama kablosu kullanarak yönlendirici ile bilgisayarı hemen değiştirmenizi öneririm.
"..." düğmesine (sağ altta) basın ve Mikrotik için aygıt yazılımı dosyalarını indirdiğiniz klasörü belirtin.
Adı "initramfs-kernel.bin veya elf" ile biten bir dosya seçin
2. Yönlendiriciyi PXE sunucusundan önyükleme
PC'yi bir kablo ve yönlendiricinin ilk bağlantı noktası (wan, internet, poe in, ...) ile bağlarız. Bundan sonra bir kürdan alıp "Sıfırla" yazan deliğe sokuyoruz.
Yönlendiricinin gücünü açıp 20 saniye bekledikten sonra kürdanı bırakıyoruz.
Sonraki dakika içinde, Tiny PXE Sunucusu penceresinde aşağıdaki mesajlar görünmelidir:
Mesaj görünürse, doğru yöndesiniz demektir!
Ağ bağdaştırıcısındaki ayarları geri yükleyin ve adresi dinamik olarak (DHCP yoluyla) alacak şekilde ayarlayın.
Aynı yama kablosunu kullanarak Mikrotik yönlendiricinin LAN bağlantı noktalarına (bizim durumumuzda 2…5) bağlanın. Sadece 1. bağlantı noktasından 2. bağlantı noktasına geçin. açık adres tarayıcıda.
OpenWRT yönetici arayüzünde oturum açın ve "Sistem -> Yedekleme/Flash Firmware" menü bölümüne gidin
"Yeni üretici yazılımı görüntüsünü flash" alt bölümünde, "Dosya seç (Gözat)" düğmesine tıklayın.
Adı "-squashfs-sysupgrade.bin" ile biten bir dosyanın yolunu belirtin.
Bundan sonra, "Flash Image" düğmesine tıklayın.
Bir sonraki pencerede "Devam" düğmesini tıklayın. Donanım yazılımı yönlendiriciye indirilmeye başlayacaktır.
!!! YAZILIM SÜRECİ SIRASINDA YÖNLENDİRİCİNİN GÜCÜNÜ HİÇBİR DURUMDA KESMEYİN !!!
Yönlendiriciyi yanıp söndükten ve yeniden başlattıktan sonra, Mikrotik'i OpenWRT ürün yazılımı ile alacaksınız.
Olası sorunlar ve çözümleri
2019 yılında piyasaya sürülen birçok Mikrotik cihazı, GD25Q15 / Q16 tipinde bir FLASH-NOR bellek yongası kullanır. Sorun şu ki, yanıp sönerken cihaz modeliyle ilgili veriler kaydedilmiyor.
"Yüklenen resim dosyası desteklenen bir biçim içermiyor" hatasını görürseniz. Platformunuz için genel resim biçimini seçtiğinizden emin olun." o zaman sorun büyük ihtimalle flaştadır.
Bunu kontrol etmek kolaydır: cihaz terminalindeki model kimliğini kontrol etmek için komutu çalıştırın.
root@OpenWrt: cat /tmp/sysinfo/board_nameVe "bilinmeyen" cevabını alırsanız, cihaz modelini "rb-951-2nd" biçiminde manuel olarak belirtmeniz gerekir.
Cihaz modelini almak için komutu çalıştırın.
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2ndCihaz modelini aldıktan sonra manuel olarak kurun:
echo 'rb-951-2nd' > /tmp/sysinfo/board_nameBundan sonra, cihazı web arayüzü üzerinden veya "sysupgrade" komutunu kullanarak flash edebilirsiniz.
WireGuard ile bir VPN sunucusu oluşturun
Halihazırda WireGuard yapılandırılmış bir sunucunuz varsa, bu adımı atlayabilirsiniz.
Kişisel bir VPN sunucusu kurmak için uygulamayı kullanacağım zaten kedi hakkında .
OpenWRT'de WireGuard İstemcisini Yapılandırma
Yönlendiriciye SSH protokolü ile bağlanın:
ssh [email protected]WireGuard'ı yükleyin:
opkg update
opkg install wireguardKonfigürasyonu hazırlayın (aşağıdaki kodu bir dosyaya kopyalayın, belirtilen değerleri kendinizinkiyle değiştirin ve terminalde çalıştırın).
MyVPN kullanıyorsanız, aşağıdaki yapılandırmada yalnızca değiştirmeniz gerekir WG_SERV - Sunucu IP'si WG_KEY - wireguard yapılandırma dosyasından özel anahtar ve WG_PUB - Genel anahtar.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restartBu, WireGuard kurulumunu tamamlar! Artık tüm bağlı cihazlardaki tüm trafik bir VPN bağlantısıyla korunmaktadır.
referanslar
(standart Mikrotik üretici yazılımında L2TP, PPTP kurulumu için ek olarak mevcut talimatlar)
Kaynak: habr.com