Aksariyat hollarda marshrutizatorni VPN-ga ulash qiyin emas, lekin agar siz butun tarmoqni himoya qilishni va shu bilan birga optimal ulanish tezligini saqlamoqchi bo'lsangiz, eng yaxshi yechim VPN tunnelidan foydalanishdir.
Routerlar mikrotik ishonchli va juda moslashuvchan echimlar ekanligini isbotladi, lekin afsuski
Ammo hozircha, afsuski, WireGuard-ni Mikrotik routerda sozlash uchun siz proshivkani o'zgartirishingiz kerak.
Mikrotikni miltillash, OpenWrt-ni o'rnatish va sozlash
Avval siz OpenWrt sizning modelingizni qo'llab-quvvatlashiga ishonch hosil qilishingiz kerak. Model uning marketing nomi va rasmiga mos keladimi yoki yo'qligini tekshiring
openwrt.com saytiga o‘ting
Ushbu qurilma uchun bizga 2 ta fayl kerak:
Ikkala faylni ham yuklab olishingiz kerak: o'rnatmoq и Upgrade.
1. Tarmoqni sozlash, PXE serverini yuklab olish va sozlash
Yuklab oling
Zipni alohida jildga oching. config.ini faylida parametrni qo'shing rfc951=1 Bo'lim [dhcp]. Ushbu parametr barcha Mikrotik modellari uchun bir xil.
Keling, tarmoq sozlamalariga o'tamiz: kompyuteringizning tarmoq interfeyslaridan birida statik IP-manzilni ro'yxatdan o'tkazishingiz kerak.
IP manzili: 192.168.1.10
Tarmoq maskasi: 255.255.255.0
Yugur Kichik PXE serveri Administrator nomidan va maydonda tanlang DHCP-server manzili bilan server 192.168.1.10
Windowsning ba'zi versiyalarida bu interfeys faqat Ethernet ulanishidan keyin paydo bo'lishi mumkin. Men marshrutizatorni ulashni va darhol yo'riqnoma va kompyuterni yamoq simidan foydalanib almashtirishni tavsiya qilaman.
"..." tugmasini (pastki o'ngda) bosing va Mikrotik uchun proshivka fayllarini yuklab olgan papkani belgilang.
Nomi "initramfs-kernel.bin yoki elf" bilan tugaydigan faylni tanlang.
2. Routerni PXE serveridan yuklash
Biz kompyuterni sim va routerning birinchi porti (wan, internet, poe in, ...) bilan ulaymiz. Shundan so'ng, biz tish pichog'ini olamiz, uni "Qayta tiklash" yozuvi bilan teshikka yopishtiramiz.
Biz yo'riqnoma quvvatini yoqamiz va 20 soniya kutamiz, keyin tish pichog'ini qo'yib yuboramiz.
Keyingi daqiqada Tiny PXE Server oynasida quyidagi xabarlar paydo bo'lishi kerak:
Agar xabar paydo bo'lsa, siz to'g'ri yo'nalishdasiz!
Tarmoq adapteridagi sozlamalarni tiklang va manzilni dinamik ravishda qabul qilishni sozlang (DHCP orqali).
Mikrotik routerning LAN portlariga (bizning holimizda 2…5) xuddi shu yamoq simidan foydalanib ulang. Uni 1-portdan 2-portga almashtiring. Ochiq manzil
OpenWRT ma'muriy interfeysiga kiring va "Tizim -> Zaxiralash/Flash proshivka" menyusiga o'ting.
"Yangi proshivka tasvirini fleshlash" bo'limida "Faylni tanlash (ko'rib chiqish)" tugmasini bosing.
Nomi "-squashfs-sysupgrade.bin" bilan tugaydigan faylga yo'lni belgilang.
Shundan so'ng, "Flash Image" tugmasini bosing.
Keyingi oynada "Davom etish" tugmasini bosing. Mikrodastur routerga yuklab olishni boshlaydi.
!!! HECH HOLDA FIRMADARIY JARAYONDA ROUTER quvvatini UZIMANG !!!
Routerni miltillovchi va qayta ishga tushirgandan so'ng, siz OpenWRT dasturiy ta'minoti bilan Mikrotikni olasiz.
Mumkin bo'lgan muammolar va echimlar
2019 yilda chiqarilgan ko'plab Mikrotik qurilmalari GD25Q15 / Q16 tipidagi FLASH-NOR xotira chipidan foydalanadi. Muammo shundaki, miltillaganda qurilma modeli haqidagi ma'lumotlar saqlanmaydi.
Xatoni ko'rsangiz "Yuklangan rasm faylida qo'llab-quvvatlanadigan format mavjud emas. Platformangiz uchun umumiy tasvir formatini tanlaganingizga ishonch hosil qiling." keyin muammo katta ehtimollik bilan fleshda.
Buni tekshirish oson: qurilma terminalida model identifikatorini tekshirish uchun buyruqni bajaring
root@OpenWrt: cat /tmp/sysinfo/board_name
Va agar siz "noma'lum" javobini olsangiz, "rb-951-2nd" shaklida qurilma modelini qo'lda ko'rsatishingiz kerak.
Qurilma modelini olish uchun buyruqni bajaring
root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
Qurilma modelini olgandan so'ng uni qo'lda o'rnating:
echo 'rb-951-2nd' > /tmp/sysinfo/board_name
Shundan so'ng siz qurilmani veb-interfeys orqali yoki "sysupgrade" buyrug'i yordamida o'chirib qo'yishingiz mumkin
WireGuard bilan VPN server yarating
Agar sizda allaqachon WireGuard sozlangan server boʻlsa, bu bosqichni oʻtkazib yuborishingiz mumkin.
Men shaxsiy VPN serverini sozlash uchun ilovadan foydalanaman
OpenWRT-da WireGuard mijozini sozlash
Routerga SSH protokoli orqali ulaning:
ssh [email protected]
WireGuard-ni o'rnating:
opkg update
opkg install wireguard
Konfiguratsiyani tayyorlang (quyidagi kodni faylga nusxalang, belgilangan qiymatlarni o'zingiz bilan almashtiring va terminalda ishga tushiring).
Agar siz MyVPN dan foydalanayotgan bo'lsangiz, quyidagi konfiguratsiyada faqat o'zgartirishingiz kerak bo'ladi WG_SERV - Server IP WG_KEY - wireguard konfiguratsiya faylidan shaxsiy kalit va WG_PUB - ochiq kalit.
WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard
WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ
# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
Bu WireGuard sozlamalarini yakunlaydi! Endi barcha ulangan qurilmalardagi barcha trafik VPN ulanishi bilan himoyalangan.
Manbalar
Manba: www.habr.com