באַשטעטיקן WireGuard אויף אַ מיקראָטיק ראַוטער מיט OpenWrt

אין רובֿ קאַסעס, קאַנעקטינג אַ ראַוטער צו אַ וופּן איז נישט שווער, אָבער אויב איר ווילן צו באַשיצן די גאנצע נעץ און אין דער זעלביקער צייט האַלטן אָפּטימאַל קשר גיכקייַט, דער בעסטער לייזונג איז צו נוצן אַ VPN טונעל. WireGuard.

ראָוטערס מיקראָטיק פּרוווד צו זיין פאַרלאָזלעך און זייער פלעקסאַבאַל סאַלושאַנז, אָבער ליידער WireGurd שטיצן אויף RouterOS נאָך נישט און עס איז נישט באקאנט ווען עס וועט דערשייַנען און אין וואָס פאָרשטעלונג. לעצטנס стало известно וועגן וואָס די דעוועלאָפּערס פון די WireGuard VPN טונעל סאַגדזשעסטיד לאַטע שטעלן, וואָס וועט מאַכן זייער וופּן טאַנאַלינג ווייכווארג טייל פון די לינוקס קערן, מיר האָפן אַז דאָס וועט ביישטייערן צו די קינדער אין RouterOS.

אָבער, ליידער, צו קאַנפיגיער WireGuard אויף אַ מיקראָטיק ראַוטער, איר דאַרפֿן צו טוישן די פירמוואַרע.

פלאַשינג מיקראָטיק, ינסטאַלירן און קאַנפיגיער OpenWrt

ערשטער איר דאַרפֿן צו מאַכן זיכער אַז OpenWrt שטיצט דיין מאָדעל. זען אויב אַ מאָדעל גלייַכן זיין פֿאַרקויף נאָמען און בילד איר קענט באַזוכן mikrotik.com.

גיין צו openwrt.com צו די פירמוואַרע אראפקאפיע אָפּטיילונג.

פֿאַר דעם מיטל, מיר דאַרפֿן 2 טעקעס:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin

איר דאַרפֿן צו אָפּלאָדירן ביידע טעקעס: ינסטאַלירן и ופּגראַדע.

1. נעץ סעטאַפּ, אראפקאפיע און סעטאַפּ פּקסע סערווער

אראפקאפיע קליינטשיק פּקסע סערווירער פֿאַר די לעצטע ווערסיע פון ​​​​Windows.

אַנזיפּ צו אַ באַזונדער טעקע. אין די config.ini טעקע לייגן דעם פּאַראַמעטער rfc951=1 אָפּטיילונג [dhcp]. דער פּאַראַמעטער איז דער זעלביקער פֿאַר אַלע מיקראָטיק מאָדעלס.

לאָמיר גיין צו די נעץ סעטטינגס: איר דאַרפֿן צו רעגיסטרירן אַ סטאַטיק יפּ אַדרעס אויף איינער פון די נעץ ינטערפייסיז פון דיין קאָמפּיוטער.

IP אַדרעס: 192.168.1.10
נעטמאַסק: 255.255.255.0

לויפן קליינטשיק פּקסע סערווירער אויף ביכאַף פון די אַדמיניסטראַטאָר און סעלעקטירן אין דעם פעלד דהקפּ סערווער סערווער מיט אַדרעס 192.168.1.10

אויף עטלעכע ווערסיעס פון Windows, דעם צובינד קען זיין בלויז נאָך אַן עטהערנעט קשר. איך רעקאָמענדירן קאַנעקטינג אַ ראַוטער און גלייך באַשטימען די ראַוטער און פּיסי מיט אַ לאַטע שנור.

דריקן די "..." קנעפּל (דנאָ רעכט) און ספּעציפיצירן די טעקע ווו איר דאַונלאָודיד די פירמוואַרע טעקעס פֿאַר מיקראָטיק.

קלייַבן אַ טעקע וועמענס נאָמען ענדס מיט "initramfs-kernel.bin or elf"

2. בוטינג די ראַוטער פון די פּקסע סערווער

מיר פאַרבינדן די פּיסי מיט אַ דראָט און דער ערשטער פּאָרט (וואַן, אינטערנעט, פּאָע אין, ...) פון די ראַוטער. נאָך דעם, מיר נעמען אַ ציינשטעכער, שטעקן עס אין די לאָך מיט די ינסקריפּשאַן "באַשטעטיק".

מיר קער אויף די מאַכט פון די ראַוטער און וואַרטן 20 סעקונדעס, און לאָזן די ציינשטעכער.
אין דער ווייַטער מינוט, די פאלגענדע אַרטיקלען זאָל דערשייַנען אין די קליינטשיק פּקסע סערווירער פֿענצטער:

אויב דער אָנזאָג איז ארויס, איר זענט אין די רעכט ריכטונג!

ומקערן די סעטטינגס אויף די נעץ אַדאַפּטער און שטעלן די אַדרעס דינאַמיקאַללי (דורך DHCP).

פאַרבינדן צו די לאַן פּאָרץ פון די מיקראָטיק ראַוטער (2…5 אין אונדזער פאַל) מיט דער זעלביקער לאַטע שנור. נאָר באַשטימען עס פון 1 פּאָרט צו 2 פּאָרט. עפענען אַדרעס 192.168.1.1 אין דעם בלעטערער.

קלאָץ אין צו די OpenWRT אַדמיניסטראַטיווע צובינד און גיין צו די "סיסטעם -> באַקקופּ / פלאַש פירמוואַרע" מעניו אָפּטיילונג

אין די סאַבסעקשאַן "פלאַש נייַ פירמוואַרע בילד", גיט די "סעלעקטירן טעקע (אָפּפליקן)" קנעפּל.

ספּעציפיצירן דעם דרך צו אַ טעקע וועמענס נאָמען ענדס מיט "-squashfs-sysupgrade.bin".

נאָך דעם, גיט די "פלאַש בילד" קנעפּל.

אין דער ווייַטער פֿענצטער, גיט די "פאָרזעצן" קנעפּל. די פירמוואַרע וועט אָנהייבן דאַונלאָודינג צו די ראַוטער.

!!! אין קיין געשעעניש טאָן ניט דיסקאַנעקט די מאַכט פון די ראַוטער בעשאַס די פירמוואַרע פּראָצעס !!!

נאָך פלאַשינג און רעבאָאָט די ראַוטער, איר וועט באַקומען מיקראָטיק מיט OpenWRT פירמוואַרע.

מעגלעך פּראָבלעמס און סאַלושאַנז

פילע מיקראָטיק דעוויסעס באפרייט אין 2019 נוצן אַ FLASH-NOR זכּרון שפּאָן פון די GD25Q15 / Q16 טיפּ. די פּראָבלעם איז אַז ווען פלאַשינג, דאַטן וועגן די מיטל מאָדעל זענען נישט געראטעוועט.

אויב איר זען די טעות "די ופּלאָאַדעד בילד טעקע טוט נישט אַנטהאַלטן אַ שטיצט פֿאָרמאַט. מאַכן זיכער אַז איר קלייַבן די דזשאַנעריק בילד פֿאָרמאַט פֿאַר דיין פּלאַטפאָרמע." דעמאָלט רובֿ מסתּמא די פּראָבלעם איז אין בליץ.

עס איז גרינג צו קאָנטראָלירן דעם: לויפן די באַפֿעל צו קאָנטראָלירן די מאָדעל שייַן אין די מיטל וואָקזאַל

root@OpenWrt: cat /tmp/sysinfo/board_name

און אויב איר באַקומען די ענטפער "אומבאַקאַנט", איר דאַרפֿן צו מאַניואַלי ספּעציפיצירן די מיטל מאָדעל אין די פאָרעם "רב-951-2"

צו באַקומען די מיטל מאָדעל, לויפן די באַפֿעל

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

נאָך ריסיווינג די מיטל מאָדעל, ינסטאַלירן עס מאַניואַלי:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

נאָך דעם, איר קענען בליץ די מיטל דורך די וועב צובינד אָדער ניצן די "סיסופּגראַדע" באַפֿעל

שאַפֿן אַ VPN סערווער מיט WireGuard

אויב איר שוין האָבן אַ סערווער מיט WireGuard קאַנפיגיערד, איר קענען האָפּקען דעם שריט.
איך וועל נוצן די אַפּלאַקיישאַן צו שטעלן אַ פערזענלעכע וופּן סערווער MyVPN.RUN וועגן די קאַץ איך שוין ארויס אַ רעצענזיע.

קאַנפיגיער WireGuard קליענט אויף OpenWRT

פאַרבינדן צו די ראַוטער דורך SSH פּראָטאָקאָל:

ssh [email protected]

ינסטאַלירן WireGuard:

opkg update
opkg install wireguard

צוגרייטן די קאַנפיגיעריישאַן (קאָפּי די קאָד אונטן צו אַ טעקע, פאַרבייַטן די ספּעסיפיעד וואַלועס מיט דיין אייגענע און לויפן אין די וואָקזאַל).

אויב איר נוצן MyVPN, אין די קאַנפיגיעריישאַן אונטן איר נאָר דאַרפֿן צו טוישן WG_SERV - סערווירער IP WG_KEY - פּריוואַט שליסל פֿון די ווירעגואַרד קאַנפיגיעריישאַן טעקע און WG_PUB - ציבור שליסל.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

דאָס קאַמפּליץ די WireGuard סעטאַפּ! איצט אַלע פאַרקער אויף אַלע קאָננעקטעד דעוויסעס איז פּראָטעקטעד דורך אַ וופּן קשר.

רעפֿערענצן

מקור #1
מאָדיפיעד ינסטראַקשאַנז אויף MyVPN (אַדישנאַלי בנימצא ינסטראַקשאַנז פֿאַר באַשטעטיקן L2TP, PPTP אויף נאָרמאַל מיקראָטיק פירמוואַרע)
OpenWrt WireGuard קליענט

מקור: www.habr.com