Przewiń do głównej treści

#009 - MikroTik ZeroTier jako tunel VPN

·1161 słów·6 min· 0 · 0 ·
Spis treści
Przygotownie MikroTika do integracji z ZeroTier>

Przygotownie MikroTika do integracji z ZeroTier #

Ograniczenia sprzętowe>

Ograniczenia sprzętowe #

Na dzień publikacji ZeroTier działa/jest dostępne dla na następujących urządzeń:

RB4011

RB3011

RB1100AHx4

RB450Gx4

Audience

hAP ac³ (non LTE)

Wersja RouterOS>

Wersja RouterOS #

Potrzebna jest wersja RouterOS większa od 7.1, aby nie stracić obecnej konfiguracji, w przypadku jak coś nie poszłoby po naszej myśli, przy upgrade - należy wykonać kopię naszego MikroTika.

Backup - kolejność wykonania>

Backup - kolejność wykonania #

Kopię wykonamy łącząc się z routerem przez Winbox’a. Wchodzimy Files -> następnie klikamy -> Backup -> ustawiamy nazwę -> i/lub hasło do pliku. Utworzona kopia będzie widoczna na liście plików w “File List”. Klikamy na nią prawym klawiszem myszy i dajemy “Download”. Zapisujemy tym samym plik z kopią na naszym dysku lokalnym.

Należy pamiętać, że wykonana w powyższym kroku kopia jest do przywrócenia wyłącznie na tym samym modelu MikroTika z zainstalowana tą samą wersją ROS - dlatego dobrze jest w nazwie pliku zawrzeć informacje o modelu i wersji ROS.

Wykonamy również konfiguracji do pliku tekstowego - jest to zrzut wszystkich polecenie jakie należałoby wydać w terminalu aby przywrócić obecne ustawiania. Opcja ta daje możliwość przywrócenia obecnej konfiguracji na innym modelu. Należy tylko pamiętać, że trzeba będzie dopasować tą konfigurację do innego modelu, np zmienić ilość portów eth, ilość modułów radiowych etc.

Otwieramy terminal (można to zrobić w Winbox’ie - klikając “New Terminal”). Wykonujemy polecenie

export terse file="NazwaPlikuEksportu"

Plik będzie miał końcówkę “.rsc” i znajdziemy go również w “File List”. Klikamy na plik prawym klawiszem myszy i dajemy “Download”. Zapisujemy na naszym dysku lokalnym.

Upgrade do wersji 7.1>

Upgrade do wersji 7.1 #

Najprościej będzie w Winbox kliknąć -> System -> Package List -> Check For Updates. W tym miejscu zobaczymy jaką wersje obecnie posiadamy i jakie wersje są dostępne.

Pomimo, że wersja 7.1 została zakwalifikowana do “stable” na stronie MikroTika to aby ją tutaj zobaczyć należy wybrać “testing” (na dzień publikacji tak to wyglądało).

Zatem wybieramy “testing” i klikamy “Download&Install”. Router pobierze aktualizacje, zainstaluje ją i się zrestartuje.

Jeżeli wszystko przebiegło pomyślnie - możemy się zalogować na router.

Przygotownie ZeroTier do integracji z MikroTiki’em>

Przygotownie ZeroTier do integracji z MikroTiki’em #

Zakładmy konto na ZeroTier>

Zakładmy konto na ZeroTier #

Jeżeli wcześniej nie tworzyliśmy konta, wchodzimy na stronę zerotier.com -> następnie “Sign Up” -> i tworzymy darmowe konto na ZeroTier.

Po dokończeniu rejestracji i zalogowaniu się do panelu ZeroTier klikamy “Create A Network”.

Network ID>

Network ID #

Network ID

Network ID - adres naszej sieci - ciąg znaków, który będziemy wprowadzać do naszych klientów na pc i MikroTik’u oraz/lub smartfonach. Numer ten jednoznacznie identyfikuje naszą sieć na ZeroTier. Jeżeli chcemy aby była ona tylko prywatna - to nie należy nigdzie publikować tego kodu, jeżeli jednak nasza sieć ma być ogólnie dostępna to jak najbardziej wystarczy podać ten klucz nowym użytkownikom.

Access Control>

Access Control #

Access Control

W sekcji “Access Control” zaznaczamy “public” - po zakończeniu i połączeniu wszystkich urządzeń przełączymy ten parametr na “private”.

Sekcja ta określa czy aby dołączyć do naszej sieci wystarczy wprowadzić jej ID czy oprócz podania ID musimy zaakceptować/ potwierdzić, że dane urządzenie może być w naszej sieci. Oczywiście dla rozwiązań wrażliwych, połączeń roboczych/produkcyjnych zawsze wybieramy “private”. Ale np. do stworzenia otwartej sieci dla licealistów z całego świata, którzy chcą wymieniać się materiałami bezpośrednio ze swoich dysków - jak najbardziej ustawienie to może być na “public”.

IPv4 Auto-Assign>

IPv4 Auto-Assign #

IPv4 Auto-Assign

W tej sekcji zaznaczamy “Auto-Assign from Range”. Proponuję przełączyć się na tryb “Advanced” i samemu ustawić “Add IPv4 Address Pools”. Przykładowe zakresy (dla użytku “domowego” nie będziemy potrzebować olbrzymiej liczby adresów - tzn musimy wiedzieć ile urządzeń chcemy “spiąć” naszą sieć):

start 10.147.18.1 end 10.147.18.254
start 172.25.0.1 end 172.25.0.254
start 192.168.195.1 end 192.168.195.254
Managed Routes>

Managed Routes #

Managed Routes

Do tej sekcji wrócimy po dodaniu urządzeń - ma ona kluczowe znaczenie. W niej ustawimy aby cały ruch z naszej sieci ZeroTier wychodzący do internetu przechodził przez konkretne urządzenie. I to jest kluczowe ustawienie aby móc zakwalifikować nasze działania z ZeroTier jak utworzenie VPN’u.

Dodanie urządzeń do sieci ZeroTier>

Dodanie urządzeń do sieci ZeroTier #

Komputer z systemem Windows 10>

Komputer z systemem Windows 10 #

Pobieramy ze strony zerotier.com/download/ klienta dla systemu Windows 10. Instalujemy. Uruchamiamy okno “ZeroTier Control Panel”. W polu obok klawisza “Join Network” wklejamy nasz “Network ID” pochodzący z ze strony ZeroTier.

ZeroTier Control Panel

Klikamy “Join Network”. Zostaniemy połączeniu z naszą siecią ZeroTier. Zobaczymy nasze urządzenie w panelu na stronie w sekcji “Members”. I tutaj jeżeli wcześniej wybraliśmy typ naszej sieci jak “private” należy zaznaczyć “ptaszkiem” kwadracik obok naszego urządzenia - celem zezwolenia mu dostępu do sieci. Jeżeli zauważylibyśmy nieznane nam urządzenia nie należy go akceptować, udzielać mu pozwolenia dostępu do sieci.

Po połączeniu należy rozwinąć kartę połączenia - klikając w strzałkę.

ZeroTier Control Panel Network Properties

Zaznaczamy wszystkie 4 pola wyboru - pozwoli nam to przekierować cały ruch wychodzący do internetu przez nasze siec ZeroTier.

ZeroTier Control Panel Override All Routes

Konfiguracja MikroTik’a do połączenia z siecią ZeroTier>

Konfiguracja MikroTik’a do połączenia z siecią ZeroTier #

Sprawdzenie czy ZeroTier jest zainstalowany na MikroTik’u>

Sprawdzenie czy ZeroTier jest zainstalowany na MikroTik’u #

Wchodzimy w “System” -> “Packages”. Sprawdzamy czy na liście pakietów (“Packages List”) znajduje się paczka “zerotier”.

MikroTik Package List

Jeżeli nie widzimy jej na liście, należy ją doinstalować. W tym celu wykonujemy:

  1. Wchodzimy na stronę Mikrotik - download
  2. Z sekcji “ARM” pobieramy “Extra packages”
  3. Rozpakowujemy pobrany plik.
  4. Paczkę “zerotier***.npk” kopiujemy do “Files” w MikroTik’u
  5. Wykonujemy “Reboot”
  6. Po restarcie powinniśmy widzieć paczkę w “Package List”
Konfiguracją>

Konfiguracją #

Niestety na obecną chwilę wszelkie ustawienia ZeroTier w MikroTik należy wykonać przez wiersz poleceń - zapewne z w kolejnych wersjach zostanie dodana obsługa do Winbox. Jeżeli posiadamy pustą instalację MikroTik’a potrzebujemy wywołać 2 polecenia. Pierwsze z nich doda naszego MikroTik’a do naszej sieci w ZeroTier. Drugie pozwoli na ruch wychodzący z sieci ZeroTier do internetu przez naszego MikroTik’a.

Dodanie ZeroTier do Mikrotik>

Dodanie ZeroTier do Mikrotik #

/zerotier/interface> add network=NetworID instance=NaszaNazwaInterfejsu
/zerotier>enable NaszaNazwaInterfejsu
Dodanie interfejsu ZeroTier do Listy WAN>

Dodanie interfejsu ZeroTier do Listy WAN #

/interface/list/member> add list=WAN interface=NaszaNazwaInterfejsu
Sprawdzenie ustawień>

Sprawdzenie ustawień #

Jeżeli poprawnie dodaliśmy interfejs ZeroTier do MikroTik to powinniśmy zobaczy adres jaki przydzielony został nam z wcześniej wskazanej puli w ZeroTier.

MikroTik Adress List

W Panelu ZeroTier powinien być również widoczny nasz MikroTik.

Poprawne dodanie do listy WAN wygląda następująco:

MikroTik Interface List

Przekierowania całego ruchu wychodzącego przez MikroTik’a>

Przekierowania całego ruchu wychodzącego przez MikroTik’a #

Ten element konfiguracji to swoista “wisienka na torcie”. Wracamy do panelu ZeroTier, w sekcji “Managed Routes” dodajemy domyślna drogę (“Add Routes”):

0.0.0.0/0 via 172.23.0.1

172.23.0.1 - przykładowy adres ip należy wpisać w to miejsce ip MikroTik’a jakie otrzymał w ZeroTier

Weryfikacja całej konfiguracji>

Weryfikacja całej konfiguracji #

Na komputerze będącym w lokalizacji innej niż MikroTik sprawdzamy jakie posiadamy zewnętrzne ip np. ip.me. Jeżeli adres ten pokrywa się z adresem jaki otrzymują użytkownicy bezpośrednio “podpięci” do MikroTik’a - to oznacza, że wszystko się udało! Dodatkowo możemy sprawdzić z jakich DNSów obecnie korzystamy - DNS leak.

Źródła>

Źródła #

Poniższy wpis został oparty o materiały pochodzące z poniższych źródeł i własnego doświadczenia.

Pomoc MikroTik

Forum MikroTik

Informacje na stronie ZeroTier