これは、MR3020ルーター、OpenWRT、およびOpenVPNに関する別の記事です。 おまけとして、OpenVPN、テキストエディタNano、wgetがインストールされたこのルーターの既製ファームウェアを投稿します。 Webインターフェース、ipv6、WiFiなど、ファームウェアでは不要なものはすべて無効になっています。
ルーターでの作業は、telnetおよびSSHを介してのみ可能です。 私はOpenVPNサーバーを上げる方法を書きません、それについての記事がたくさんあります、 この記事は個人的に私を助けました。
先史時代
電話ネットワークを整理するには、VPNを整理する必要がありました。 これらの目的のために、OpenVPNが選択されました。
予算が限られていたので、ポイントをつけることにしました。そして、ちなみに、そのうちの3つがあります。 OpenWRTをサポートする最も安価なルーター。
TP-Link MR3020はテスト用に購入され、テストが成功した後、これらの子供たちがさらに2、3個購入されました。
ルータにはLANポートが1つしかありませんが、ポイントで接続すると非常に便利であることがわかりました。 VoIPゲートウェイとルーターを互いに近接して設置する必要はありません。 準備されたルーターは、リモートポイントの空きネットワークポートに接続されます。VoIPゲートウェイは、ルーターでゲートウェイのIPアドレスを指定することで、空きネットワークポートに接続することもできます。 当然、両方ともインターネットゲートウェイを備えた同じネットワーク内にある必要があります。
ルーターのセットアップ
MR3020が新しい場合は、Webインターフェースに移動して、適切なメニューからファームウェアを入力します。 ルーターに既にOpenWRTがある場合は、次の手順を実行します。
telnetまたはSSH経由でルーターにアクセスし、次の操作を行います。
cd /tmp/ && wget http://alians-it.pro/images/files/openwrt-ar71xx-generic-tl-mr3020-v1-squashfs-factory.bin && mtd -r write openwrt-ar71xx-generic-tl-mr3020-v1-squashfs-factory.bin firmware
インターネットがない場合は、たとえばSSH(scp)経由でルーターにファームウェアをアップロードするか、コンピューターにWebサーバーをインストールし、wwwディレクトリにファームウェアを配置し、wgetからファームウェアをダウンロードしますが、お使いのコンピューター。
何か間違ったことをした場合、またはルーターのアドレスを忘れた場合は、「緊急モード」にすることができます。ルーターのオン/オフを切り替えます。 WPS / RESETボタンの下のLEDが1秒間に約1回点滅を開始するまで待機し(この瞬間が3秒間オンになるまで3秒間消灯する)、すぐにこのボタンを押して、非常に速く点滅し始めるまで待機し、ボタンを離します。 すべて、ルーターはtelelnet経由で192.168.1.1で利用可能です。 ネットワークをセットアップし、再フラッシュします。
ファームウェアが正常に完了したら、アドレス192.168.1.1のtelnetを介してルーターにアクセスし、rootのパスワードを設定します。
passwd
パスワードを2回入力し、ルーターを再起動します。
reboot
再起動後、ルーターはssh経由でのみ使用可能になります。ルートパスワードは指定したものです。
ネットワーク設定:
nano /etc/config/network
ファイルを次の形式にします。
config interface 'loopback' option ifname 'lo' option proto 'static' option ipaddr '127.0.0.1' option netmask '255.0.0.0' config globals 'globals' option ula_prefix 'fd69:9e94:7464::/48' config interface 'lan' option ifname 'eth0' option force_link '1' option type 'bridge' option proto 'static' option netmask '255.255.255.0' option ip6assign '60' option ipaddr '192.168.1.11' option gateway '192.168.1.10' option dns '8.8.8.8' option delegate '0'
セクションを編集する必要があります。
config interface 'lan'
ここで、192.168.1.10はリモートポイントのネットワーク内のインターネットゲートウェイのアドレスであり、192.168.1.11はルーターが持つ任意の空きアドレスです。 無料のアドレス192.168.1.1がある場合は、追加のみ
option gateway '192.168.1.10' option dns '8.8.8.8'
。
DNSはオプションです。
OpenVPNの構成:
キーと証明書を/ etc / openvpn /フォルダーにコピーします。 便宜上、アーカイブにすべてを入れて、一度にダウンロードします。
cd /etc/openvpn/ && wget http://192.168.1.5/client_Sushi_Terra.tar.gz && tar xzvf client_Sushi_Terra.tar.gz
ご想像のとおり、192.168.1.5はWebサーバーがインストールされた稼働中のコンピューターのアドレスであり、client_Sushi_TerraはOpenVPNサーバーで証明書とキーを生成するときに発明されたリモートポイントの名前です。
クライアント構成の編集:
nano /etc/openvpn/client.conf
だった
クライアント
ポートポート
リモートIPアドレス
プロトUDP
開発者
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client_Sushi_Terra.crt
キー/etc/openvpn/client_Sushi_Terra.key
#cipher BF-CBC
#auth MD5
プル#
comp-lzo
永続キー
持続する
動詞3
ポートポート
リモートIPアドレス
プロトUDP
開発者
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client_Sushi_Terra.crt
キー/etc/openvpn/client_Sushi_Terra.key
#cipher BF-CBC
#auth MD5
プル#
comp-lzo
永続キー
持続する
動詞3
になっています
クライアント
ポート7193
リモート37.193.254.254
プロトUDP
開発者
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client_Sushi_Terra.crt
キー/etc/openvpn/client_Sushi_Terra.key
#cipher BF-CBC
#auth MD5
プル#
comp-lzo
永続キー
持続する
動詞3
ポート7193
リモート37.193.254.254
プロトUDP
開発者
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client_Sushi_Terra.crt
キー/etc/openvpn/client_Sushi_Terra.key
#cipher BF-CBC
#auth MD5
プル#
comp-lzo
永続キー
持続する
動詞3
ここで、 ポート7193およびリモート37.193.254.254は、OpenVPNサーバーのポートとアドレスです。
OpenVPNの正常な起動後、tun0ポートでマスカレードも設定します。
echo 'iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE' >> /etc/init.d/openvpn
もう一度、ルーターを再起動します。
reboot
これで、ルーターは192.168.1.11で利用可能になります。
すべてが正しければ、新しいtun0インターフェイスが表示されます。
防火壁の設定:
ファイル/ etc / config / firewallを開いて編集します。
nano / etc / config / firewall
config defaults option syn_flood '1' option output 'ACCEPT' option forward 'ACCEPT' option input 'ACCEPT' #'DROP' config include option path '/etc/firewall.user' config rule option target 'ACCEPT' option name 'ssh' option proto 'tcp' option src '*' option src_port '22' option dest_port '22'
交換してください:
option input 'ACCEPT' #'DROP'
オン:
option input 'DROP'
これで、ルーターはポート22でのみ使用可能になりますが、他の方法でアクセスする方法はありません。 「*」の代わりに、IPアドレスを指定できます。これは、sshを介してルーターにログインできる唯一のアドレスになります。
VoIPゲートウェイを構成する
ネットワークの設定:ルーターのIPアドレスをインターネットゲートウェイとして指定します。
OpenVPNをAsteriskと同じサーバーで発生させているため、OpenVPNサーバーのアドレスをSIPプロキシとして指定します。
Asteriskが別のサーバーにインストールされている場合、OpenVPNサーバーの構成では、クライアントがお互いを確認し、クライアントへのルートを各リモートポイントに渡すことができるようにする必要があります。
SIPセットアップ:SIPプロキシとして指定:アスタリスクサーバーアドレス。
ゲートウェイが他のデバイス上のルーターを示している場合、もちろんOpenVPNサーバー自体で許可および構成されていない限り、OpenVPNネットワーク全体およびリモートポイントのすべてのサブネットにアクセスできます。
また、Asteriskを備えたサーバーとOpenVPNを備えたサーバーの両方にファイアウォールを設定することをお勧めします。VPNを含む内部ネットワークは、パブリックインターネットと同じくらい攻撃的な環境です。