阿里云近期推出了200M不限量機(jī)器，對(duì)于沒有公網(wǎng)接入的中小企業(yè)可以借助這個(gè)機(jī)器對(duì)多地分支機(jī)構(gòu)進(jìn)行內(nèi)網(wǎng)互通。目前已經(jīng)有很多機(jī)構(gòu)用這個(gè)搞跨云k8s,跨云集群了。

mikrotik作為一個(gè)商用的軟件，操作性比一些開源的軟件好用不少。

本文使用的網(wǎng)段為172.16.105.0/24,可根據(jù)需要進(jìn)行修改

一、安裝mikrotik

阿里云機(jī)器并沒有mikrotik操作系統(tǒng)模板，我們可以通過dd命令的方式進(jìn)行安裝。阿里云機(jī)器基本上是virto網(wǎng)卡，本身mikrotik是有這個(gè)網(wǎng)卡驅(qū)動(dòng)的，不用進(jìn)行額外的操作

安裝命令如下

先安裝rockylinux 8.9 非UEFI版本

安全組 將22端口 設(shè)置成單個(gè)ip可訪問，不要開放所有ipv4訪問，

ssh登錄后執(zhí)行如下命令

# 下載
wget https://download.mikrotik.com/routeros/7.17/chr-7.17.img.zip# 解壓
gunzip -c chr-7.17.img.zip > chr.img# 查看device start值 為34 65570可執(zhí)行后續(xù)腳本,如果不是將后續(xù) offset值替換為對(duì)應(yīng)值*512
fdisk -lu chr.imgmkdir -p /mnt/chr_img1
mkdir -p /mnt/chr_img2# 掛載鏡像并寫入自定義腳本，修改阿里云內(nèi)網(wǎng)IP地址，外網(wǎng)IP地址阿里云不寫在Linux上，統(tǒng)一由路由轉(zhuǎn)發(fā)，所以不要配置服務(wù)器公網(wǎng)IP
mount -o loop,offset=33571840 chr.img /mnt/chr_img2 && \
ADDRESS=`ip addr show eth0 | grep global | cut -d' ' -f 6 | head -n 1` && \
GATEWAY=`ip route list | grep default | cut -d' ' -f 3` && \
echo "/ip address add address=$ADDRESS interface=[/interface ethernet find where name=ether1]
/ip route add gateway=$GATEWAY
" > /mnt/chr_img2/rw/autorun.scr && \
umount /mnt/chr_img2# 立即重新掛載所有的文件系統(tǒng)為只讀
echo u > /proc/sysrq-trigger# 用指定大小的塊拷貝一個(gè)文件，并在拷貝的同時(shí)進(jìn)行指定的轉(zhuǎn)換(注意上文提及的磁盤/dev/vda)
dd if=chr.img bs=1024 of=/dev/vda# 重啟服務(wù)器
reboot# 等待服務(wù)器重啟后用winbox連接服務(wù)器，注意阿里云是有防火墻的，需要防火墻添加8291端口才能訪問成功，方法見阿里云防火墻添加端口博文

重啟服務(wù)器完成后 安全組設(shè)置tcp 8291 開放單個(gè)ip訪問

winbox下載:https://download.mikrotik.com/routeros/winbox/3.41/winbox64.exe

winbox 首次鏈接使用ip連接 ip使用服務(wù)器ip 用戶名admin 密碼默認(rèn)為空，首次登錄后修改密碼

注意，設(shè)置完密碼前，阿里云22 8291端口不要開啟所有ipv4訪問，否則容易被掃到讓別人控制。

二、mikrotik安裝wireguard

winbox菜單-->wireguard-->＋-->Apply-->OK

復(fù)制其中的publickey 后續(xù)使用 我這里是QpNfpW60t+TZlYYgqF+C3BZdloF0xH/kcAVzVXi+4F4=

配置wireguard網(wǎng)段

winbox菜單-->ip-->Address ->＋ 填入如下信息 這里配置的是172.16.105.0/24網(wǎng)段

Address?172.16.105.1/24

Network?172.16.105.0

Interface wireguard1(上面的網(wǎng)卡)

上面wireguard默認(rèn)使用的13231的udp端口，需要在阿里云安全組開放13231 udp端口的所有ip訪問。

最后在mikrotik里添加兩條防護(hù)墻規(guī)則

winbox菜單-->New Terminal 逐個(gè)執(zhí)行下面兩條命令

/ip firewall filter add action=accept chain=input comment="allow WireGuard" dst-port=13231 protocol=udp 
/ip firewall filter add action=accept chain=input comment="allow WireGuard traffic" src-address=172.16.105.0/24 

三、客戶端配置

下載windows客戶端（系統(tǒng)需要win7及以上，win7需要多安裝3個(gè)補(bǔ)丁KB2533623 KB2921916 KB4457144，其他系統(tǒng)不需要）

https://download.wireguard.com/windows-client/

注意不要下載wireguard-installer.exe 這個(gè)只是個(gè)安裝器，大部分人下載wireguard-amd64-0.5.3.msi即可

初次使用

左下角-->新建隧道-->新建空白隧道

默認(rèn)會(huì)生成一個(gè)客戶端的公鑰和私鑰

填寫名后，在后面追加 這里的peer里的publickey就是上面mikrotik的wireguard生成的公鑰

Address = 172.16.105.2/32
DNS = 114.114.114.114[Peer]
PublicKey = QpNfpW60t+TZlYYgqF+C3BZdloF0xH/kcAVzVXi+4F4=
AllowedIPs = 172.16.105.0/24
Endpoint = 114.215.87.93:13231
PersistentKeepalive = 30

最終填寫如下

保存后，復(fù)制客戶端里的公鑰wWZif/wEs1YpWDJ1T5WlI/dEP/rwN9ujyW2zIe5aeEU=

需要填寫到mikrotik的peer菜單里

winbox菜單-->wireguard-->peers--> +?

填寫如下內(nèi)容

Interface? : wireguard1

Public Key : wWZif/wEs1YpWDJ1T5WlI/dEP/rwN9ujyW2zIe5aeEU= (對(duì)應(yīng)客戶端新建時(shí)生成的公鑰)

Allow Address:?Address = 172.16.105.2/32 (對(duì)應(yīng)客戶端Interface的Address字段)

之后點(diǎn)擊客戶端的連接，通過日志可以看到連接成功還是失敗

此時(shí)客戶端可以嘗試ping?mikrotik上的172段地址

可以看到能ping通說明連接正常

mikrotik上可以反過來ping 客戶端172段地址，默認(rèn)由于win10 win11默認(rèn)禁止局域網(wǎng)ping，需要防火墻放行

放行如下

防火墻高級(jí)面板方式

打開控制面板，選擇Windows Defender防火墻。

選擇高級(jí)設(shè)置。

點(diǎn)擊入站規(guī)則，找到核心網(wǎng)絡(luò)診斷 - ICMP回顯請(qǐng)求 (ICMPv4-ln)。

右鍵點(diǎn)擊規(guī)則，選擇啟用規(guī)則（如果已經(jīng)啟用，則顯示的是禁用規(guī)則）。

放行之后，再從mikrotik ping可以看到ping 能正常返回了。

四、多客戶端互訪

參照上一節(jié)的過程配置客戶端地址為172.16.105.3

之后客戶端之間相互ping 可以看到客戶段互ping正常

下一篇介紹lan to lan訪問。