في معظم الحالات ، ليس من الصعب توصيل جهاز توجيه بشبكة VPN ، ولكن إذا كنت ترغب في حماية الشبكة بالكامل مع الحفاظ على سرعة الاتصال المثلى ، فإن أفضل حل هو استخدام نفق WireGuard VPN . أثبتتأجهزة توجيه Mikrotik نفسها كحلول موثوقة ومرنة للغاية ، ولكن للأسف لا يوجد حتى الآن دعم WireGuard على RouterOS ولا يُعرف متى سيظهر وفي أي إصدار. أصبح من المعروف مؤخرًا أن مطوري نفق WireGuard VPN قدموا مجموعة من التصحيحات التي ستجعل برنامج تنظيم نفق VPN جزءًا من نواة لينكس ، ونأمل أن يسهم ذلك في التنفيذ في RouterOS.ولكن الآن ، لسوء الحظ ، لتكوين WireGuard على جهاز توجيه Mikrotik ، تحتاج إلى تغيير البرامج الثابتة.البرامج الثابتة Mikrotik ، وتثبيت OpenWrt وتكوينه
تحتاج أولاً إلى التأكد من أن OpenWrt يدعم نموذجك. يمكنك رؤية امتثال النموذج لاسمه وصورته على mikrotik.com .انتقل إلى openwrt.com في قسم تنزيل البرامج الثابتة .لهذا الجهاز ، نحتاج إلى ملفين:downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf
downloads.openwrt.org/releases /18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin
تحتاج إلى تحميل كل الملفات: تركيب و ترقية .
1. إعداد الشبكة وتحميل وإعداد خادم PXE
قم بتنزيل أحدث إصدار من Tiny PXE Server لنظام Windows.فك الضغط إلى مجلد منفصل. في ملف config.ini ، أضف المعلمة rfc951 = 1 مقطع [dhcp] . هذه المعلمة هي نفسها لجميع طرازات Mikrotik.
ننتقل إلى إعدادات الشبكة: تحتاج إلى تسجيل عنوان IP ثابت على إحدى واجهات الشبكة لجهاز الكمبيوتر الخاص بك.
عنوان IP: 192.168.1.10
قناع الشبكة: 255.255.255.0
بدء PXE خادم صغيرة كمسؤول وحدد الخادم مع عنوان 192.168.1.10 في DHCP خادم المجال. في بعض إصدارات نظام التشغيل Windows، قد تظهر هذه الواجهة إلا بعد اتصال Ethernet. أوصي بتوصيل جهاز التوجيه وتوصيل جهاز التوجيه والكمبيوتر على الفور باستخدام سلك التصحيح. انقر فوق الزر "..." (أسفل اليمين) وحدد المجلد الذي قمت بتنزيل ملفات البرنامج الثابت فيه لـ Mikrotik. اختر ملفًا ينتهي اسمه بـ "initramfs-kernel.bin أو elf"
2. تنزيل جهاز التوجيه من خادم PXE
نقوم بتوصيل سلك الكمبيوتر والمنفذ الأول (wan ، والإنترنت ، poe in ، ...) لجهاز التوجيه. بعد ذلك نأخذ مسواك ، نضعها في الحفرة مع نقش "إعادة تعيين".
شغّل جهاز التوجيه وانتظر 20 ثانية ، ثم حرّر مسواك.خلال الدقيقة التالية ، يجب أن تظهر الرسائل التالية في نافذة Tiny PXE Server:
إذا ظهرت رسالة ، فأنت في الاتجاه الصحيح!قم باستعادة الإعدادات على محول الشبكة وقم بتعيين عنوان الاستلام ديناميكيًا (عبر DHCP).قم بالتوصيل بمنافذ LAN الخاصة بجهاز التوجيه Mikrotik (2 ... 5 في حالتنا) باستخدام نفس سلك التصحيح. فقط قم بتبديله من المنفذ 1 إلى المنفذ 2. افتح العنوان 192.168.1.1 في المتصفح.
أدخل الواجهة الإدارية لـ OpenWRT وانتقل إلى قسم القائمة "النظام -> النسخ الاحتياطي / Flash Firmware".
في القسم الفرعي "صورة برنامج Flash الجديد الثابتة" ، انقر فوق الزر "تحديد ملف (تصفح)".
حدد المسار للملف الذي ينتهي اسمه بـ "-squashfs-sysupgrade.bin".
بعد ذلك ، انقر فوق الزر "صورة فلاش".في النافذة التالية ، انقر فوق الزر "متابعة". سيبدأ تنزيل البرنامج الثابت إلى جهاز التوجيه.
!!! لا تفصل طاقة الراوتر في عملية البرامج الثابتة !!!
بعد وميض وإعادة تشغيل جهاز التوجيه ، ستتلقى Mikrotik مع البرامج الثابتة OpenWRT.المشاكل والحلول الممكنة
تستخدم العديد من أجهزة Mikrotik لعام 2019 نوع شريحة الذاكرة FLASH-NOR GD25Q15 / Q16. تكمن المشكلة في أن الوميض لا يحفظ بيانات طراز الجهاز.إذا ظهر لك الخطأ "لا يحتوي ملف الصورة الذي تم تحميله على تنسيق مدعوم. تأكد من اختيار تنسيق الصورة العامة لمنصتك. " ثم على الأرجح أن المشكلة تكمن في فلاش.من السهل التحقق من ذلك: قم بتشغيل الأمر للتحقق من معرف النموذج في طرف الجهازroot@OpenWrt: cat /tmp/sysinfo/board_name
وإذا حصلت على الإجابة "غير معروفة" ، فيجب عليك تحديد طراز الجهاز يدويًا على شكل "rb-951-2nd"للحصول على طراز الجهاز ، قم بتشغيل الأمرroot@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd
بعد استلام طراز الجهاز ، نقوم بتثبيته يدويًا:echo 'rb-951-2nd' > /tmp/sysinfo/board_name
بعد ذلك ، يمكنك وميض الجهاز من خلال واجهة الويب أو باستخدام الأمر sysupgradeقم بإنشاء خادم VPN باستخدام WireGuard
إذا كان لديك بالفعل خادم تم تكوين WireGuard فيه ، يمكنك تخطي هذا العنصر. سأستخدمتطبيق MyVPN.RUN حول القطة لتكوين خادم VPN شخصي. لقد قمت بالفعل بنشر مراجعة .تكوين عميل WireGuard على OpenWRT
الاتصال بالموجه عبر SSH:ssh root@192.168.1.1
تثبيت WireGuard:opkg update
opkg install wireguard
قم بإعداد التهيئة (انسخ الرمز أدناه إلى الملف ، واستبدل القيم المحددة بقيمتك الخاصة وقم بتشغيلها في الوحدة الطرفية).إذا كنت تستخدم MyVPN ، فستحتاج فقط في التكوين أدناه إلى تغيير WG_SERV - عنوان IP الخاص بالخادم ، WG_KEY - المفتاح الخاص من ملف تكوين wireguard و WG_PUB - المفتاح العام.WG_IF="wg0"
WG_SERV="100.0.0.0"
WG_PORT="51820"
WG_ADDR="10.8.0.2/32"
WG_KEY="xxxxx"
WG_PUB="xxxxx"
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"
uci add_list network.${WG_IF}.addresses="${WG_ADDR}"
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart
هذا يكمل إعداد WireGuard! الآن كل حركة المرور على جميع الأجهزة المتصلة محمية بواسطة اتصال VPN.المراجع
المصدر رقم 1تعليمات معدلة على MyVPN (بالإضافة إلى تعليمات تكوين L2TP و PPTP على البرامج الثابتة القياسية لـ Mikrotik)عميل OpenWrt WireGuard