Настройка OpenVPN server на маршрутизаторе MikroTik
Вся настройка будет состоять из пунктов:
- Генерация сертификатов сервера, клиента;
- Настройка OpenVPN сервера на маршрутизаторе(профили, активация, параметры и тд);
- Создание конфигурационного файла для клиента;
- Удаленное подключение через OpenVPN клиента на Windows ПК.
Все действия производятся через terminal утилиты winbox:
Генерация корневого сертификата
/certificate add name=template-ca country="UA" state="Odessa" locality="Odessa" organization="nastroyka-mikrotik.ukr" unit="IT" common-name="Template-Ovpn-Ca" key-size=1024 days-valid=3650 key-usage=crl-sign,key-cert-sign /certificate sign template-ca ca-crl-host=127.0.0.1 name="Ovpn-Ca"
Генерация сертификата сервера
/certificate add name=Template-Srv country="UA" state="Odessa" locality="Odessa" organization="nastroyka-mikrotik.ukr" unit="IT" common-name="Ovpn-Srv" key-size=1024 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server /certificate sign Template-Srv ca="Ovpn-Ca" name="Ovpn-Srv"
Генерация сертификата для vpn клиента
/certificate add name=Template-Clnt country="UA" state="Odessa" locality="Odessa" organization="nastroyka-mikrotik.ukr" unit="IT" common-name="Template-Ovpn-Clnt" key-size=1024 days-valid=3650 key-usage=tls-client /certificate add name=template-clnt-to-issue copy-from="Template-Clnt" common-name="Ovpn-Clnt-1" /certificate sign template-clnt-to-issue ca="Ovpn-Ca" name="Ovpn-Clnt-1"
Создание IP диапазона для VPN клиентов
/ip pool add name=Ovpn-Dhcp-Pool ranges=192.168.4.2-192.168.4.254
Создание VPN профиля
/ppp profile add name=Ovpn-Srv local-address=192.168.4.1 remote-address=Ovpn-Dhcp-Pool
Активация авторизации по пользователю
/ppp aaa set accounting=yes
Добавление учетной записи для VPN пользователя
/ppp secret add name=Ovpn-Usr-1 password=VPN-User-Password service=ovpn profile=Ovpn-Srv
Активация OVPN сервера
/interface ovpn-server server set auth=sha1 certificate=Ovpn-Srv cipher=blowfish128,aes256 default-profile=Ovpn-Srv enabled=yes require-client-certificate=yes
Выгрузка сертификата для VPN клиента
/certificate export-certificate Ovpn-Ca export-passphrase="" /certificate export-certificate Ovpn-Clnt-1 export-passphrase=Vpn-User-Key
Сгенерированые файлы будут помещены во внутреннюю память устройства, откуда их нужно скопировать.
Создание конфигурации VPN клиента
Для этого нужно создать файл с расширением conf, например Ovpn-Usr-1.conf со следующим содержанием и изменить значения параметров на свои
client dev tun proto tcp remote настройка-микротик.укр 1194 resolv-retry infinite nobind persist-key persist-tun ca cert_export_Ovpn-Ca.crt cert cert_export_Ovpn-Clnt-1.crt key cert_export_Ovpn-Clnt-1.key --auth-user-pass user-pwd.txt remote-cert-tls server verb 3 route-delay 5 cipher AES256 auth SHA1 #Локальная сеть MikroTik-а route 192.168.0.0 255.255.255.0 #Определить Mikrotik как шлюз по умолчанию #redirect-gateway def1
Создание файла данных учётной записи VPN пользователя
Для этого нужно создать файл с расширением txt, например User-Pwd.conf со следующим содержанием
Ovpn-Usr-1 VPN-User-Password
В итоге должно получиться 5 файлов, которые нужно скопировать в папку config пользователя OpenVPN.
Подключение к OpenVPN серверу на MikroTik, используя Windows
Со стороны Windows клиента нужно установить приложение с официального сайта(ссылка) и положить 5-ть файлов в папку OpenVPN\config или каталога пользователя или «Programm Files».
При подключении нужно ввести ключ, который был указан при экспорте сертификата пользователя(Vpn-User-Key), после чего следует успешное подключение к OpenVPN серверу, работающему на MikroTik.