Настройка OpenVPN-сервера на роутерах Mikrotik – Записки IT специалиста

89 вопросов по настройке mikrotik

Вы хорошо разбираетесь в микробах? Или вы не знакомы с этим оборудованием и не знаете, как его использовать? Курс “Конфигурирование оборудования MikroTek” содержит информацию, которая будет полезна в обеих ситуациях.

Конфигурирование клиента

Подключаемся к питерскому роутеру и в PPP создаем новый интерфейс OVPN Client.
Создание OpenVPN Client интерфейсаЗадаем имя интерфейса.
Имя OpenVPN Client интерфейсаОткрываем Dial Out и заполняем обязательные параметры.
Параметры OVPN Client интерфейсаСохраняем и открываем вкладку Status.
Статус OVPN Client интерфейса по сертификатуЗдесь мы видим статус подключено, шифрование и время жизни соединения. Вы спросите, а где же IP адрес клиента? Он по каким-то причинам не отображается в окне статуса интерфейса, зато есть в IP-Address. Возможно, ошибка, в данной прошивке. Попробуем проверить доступность московского роутера через VPN.
Проверка соединения OVPN по сертификату

Ping-ки идут, соединение работает.

Конфигурирование сервера

Но для начала создадим профиль. PPP – Profiles – жмем .
Создание профиля OpenVPNПеред нами открывается окно нового профайла. В строке «Name» задаем понятное нам имя. В строке Local Address указываем IP адрес Mikrotik в VPN. Я указываю 172.16.25.1. Т.е. при подключении клиента автоматически присвоится именно это адрес.
Параметры профиля OpenVPN

Затем изменить:

  • Измените TCP MSS на “да”.
  • Используя UPnP, установите переключатель в положение “Нет”.

Никогда не используйте настройки по умолчанию, если хотите, чтобы все шло по плану.

Protocols:

  • Нет для использования MPLS;
  • Да для использования компрессии;
  • Да для использования шифрования

Далее в Limits ставим no для Only One. Остальные настройки можно не задавать. К примеру, если бы нам нужно было ограничить скорость клиента внутри тоннеля, то нас интересовала вкладка Queue – но это совсем другая история.
Параметры профиля OpenVPN onle oneТеперь можно сохранять. Жмем Apply и OK. В списке должен появиться наш созданный профиль.
Профайл OpenVPN MikrotikНам нужно создать пользователя и пароль, который будет подключаться к нашей сети. Открываем Secrets и жмем .
Создание пользователя OVPN

Настройка firewall

Далее нужно разрешить OpenVPN трафик на роутере.
Настройка OpenVPN-сервера на роутерах Mikrotik - Записки IT специалистаДобавляем правило.
Создание правила Firewall для PPTPAction – accept.
Параметры правила фаервола OVPN - accept

После сохранения перейдите на сторону клиента.

Настройка openvpn клиента на роутере mikrotik

Затем на устройство будет загружен файл сертификата в формате PKCS12, экспортированный сервером. Введите файл сертификата и парольную фразу экспорта в окне Сертификат системы и окне Импорт соответственно.

mikrotik-openvpn-server-018.png

/certificate
import file-name=mikrotik.p12 passphrase=12345678

Корневой сертификат будет содержать закрытый ключ, на что указывает флаг KT (K означает ключ), и у вас также будет второй сертификат. Вспомните имена сертификатов или дайте им новые.

Настройка openvpn по сертификату

Мы рассмотрим, как экспортировать и выпустить ключи для клиента, а также настроить подключение сертификата.

Настройка openvpn сервера

Для предоставления клиентам OpenVPN мы должны сначала создать пулы адресов. Мы создадим новый пул и присвоим ему IP-адрес Pool0. Адреса: 108.199-109.8.10.101 (выберите любой)

В консоли:

/ip pool
add name=ovpn_pool0 ranges=10.8.8.100-10.8.8.199

Создайте новый профиль, перейдя в PP – Профили прямо сейчас. Определим его Имя – ovpn, и удаленный адрес – 10.8.1 для локального адреса и 0_2 для удаленного API. Локальный адрес и диапазон адресов должны находиться в одной сети.

Как быстро создать профиль в Терминале?

/ppp profile
add local-address=10.8.8.1 name=ovpn remote-address=ovpn_pool0

Далее проверьте, что аутентификация пользователей включена в разделе PPM – Secrets. Для этого выберите PPp Authentication -Accounting и убедитесь, что флажок Activate установлен:

Похожее:  Как передать показания счетчиков воды, электроэнергии и газа в Москве?

mikrotik-openvpn-server-013.png

/ppp aaa
set accounting=yes

В этом разделе мы создадим учетные записи для клиентов. Для использования OpenVPN необходимо ввести имя и пароль. Рекомендуется использовать то же имя, которое вы использовали при регистрации сертификата, при указании имени учетной записи в разделе Имя.

Пароль – пароль, так как сертификаты служат основной формой аутентификации. Кто или что может использовать эту учетную запись? – указать Профиль – профиль ovpn, который мы создали, затем ограничить только OpenVPN.

Чтобы создать аккаунт в терминале, выполните следующие шаги:

/ppp secret
add name=mikrotik password=123 profile=ovpn service=ovpn

В данном случае мы ввели пароль 123 для пользователя mikrotik.

Когда мы нажимаем кнопку OVpn Server после создания пользователей в PPP – Interface, перед нами появляется флаг Enabled Default Profile – ovpn.

Require Client Certificate, который проверяет принадлежность клиентского сертификата к локальной цепочке сертификатов SCA, включен для дополнительной безопасности. Для шифрования семейств Auth, Cipher и других вводятся только коды из этого семейства без альтернативы.

В терминале команды выполняются командами:

/interface ovpn-server server
set auth=sha1 certificate=ovpn-server cipher=aes256 default-profile=ovpn enabled=yes require-client-certificate=yes

Разрешите входящие соединения с вашим сервером OpenVPN для продолжения работы. Chain – input, Protocol – tcp – правило, которое должно быть добавлено в открытый IP Firewall. Порт 1194. Поскольку по умолчанию стоит accept, действие не указано.

Выполните:

/ip firewall filter
add action=accept chain=input dst-port=1194 protocol=tcp

В цепочке INPUT правила должны идти перед теми, которые запрещены.

Это включило OpenVPN в сети Mikrotik.

Настройка openvpn сервера на mikrotik

Давайте настроим программное обеспечение Winbox. Перетащите файлы из папки C:Program FilesOpenVPSNeasy-rsakeys, выбрав в меню пункт Files.

13) Необходимо импортировать следующие сертификаты: c. crtserver,ca ;key);

После импортных визитов можно заметить:

14) Создайте пул IP-адресов для пользователей VPN.

Введите название “openvpn-pool” и нажмите Add.

15) Создадим PPR профиль.

Добавить PPP – профили к заголовку ()

Назовем его сервером OpenVPN, и когда мы создаем наш Ovpn Server, он будет включен.

Настройка vpn клиента на mikrotik

Даже в тех случаях, когда нет белого IP-адреса, вы можете настроить доступ к Mikrotik, используя систему OpenVPN.

21) Активируйте Mikrotik с помощью программы Winbox. 2 файла ключей: clientcrt, tlentkey

Перетащите их из папки C:Program topenVP с помощью опции меню Files.

Загрузка сертификата и ключа клиента на микротик
23) Далее необходимо их импортировать.
Откроем System – Certificates — Import и поочерёдно выберем сертификаты в этом порядке:
client.crt
client.key

Опишите PPP – добавить() – ключевые показатели эффективности OVN.

OVPN клиент на микротике
Во вкладке General указываем имя
Name — openVPN1 (любое, на ваше усмотрение)
Вкладка Dial Out:
Connect To — Адрес сервера(Внешний IP адрес главного роутера Mikrotik)
Port 1194
Указываем пользователя и пароль, который мы создали на VPN сервере
В нашем случае это пользователь ovpn_mikrotik1
Сертификат Client.crt

Похожее:  Совершенно новый ВТБ Онлайн | Банк ВТБ

Нажмите ОК

25) В терминале набираем /interface ovpn-client monitor openVPN1Должно появиться сообщение со статусом connected

Теперь вы можете подключиться к нему через VPN, используя адрес, который дал ему сервер.

Подключение к VPN серверу через Винбокс
Посмотреть адрес можно:
В Mikrotik-клиенте в IP-Adresses строка с нашим интерфейсом openVPN1

Услуги CPAP начали поддерживаться сервером Mikrotik PPP Active Connections.

Настройка vpn клиента на компьютере под управлением windows

19) Копируем в папку C:Program filesOpenVPNconfig

Следующие файлы -asa.crt и cclient_key – находятся в C:Program FilesOpenVPNeasy-rsakeys

из C:Program filesOpenVPNsimple-configclient.ovpn

Настройка клиента

После экспорта и копирования ключей подключимся к питерскому роутеру. Открываем Files и переносим с рабочего стола 2 файла скопированных ранее.
Копирование ключей OpenVPN Mikrotik на клиентаПереходим в Certificates и импортируем открытый и закрытый ключи.
Импорт ключей OpenVPNВ выпадающем списке выбираем открытый ключ и вписываем пароль. Import.
Импорт открытого ключа OpenVPNТоже самое с закрытым ключом.
Настройка OpenVPN-сервера на роутерах Mikrotik - Записки IT специалистаДалее импортируем CA.
Импорт сертификата CA OpenVPNОткрываем ранее созданный OVPN Client интерфейс, выбираем импортированный сертификат и требуем проверку серверного.
Настройка клиенского интерфейса OpenVPN по сертификатуСоединение установилось.
Статус OVPN Client интерфейса по сертификатуПроверим его.
Проверка соединения OVPN по сертификату

Настройка стандартного клиента openvpn на пк

Попробуем переключить задачу, предполагая, что у нас есть ноутбук компании с установленным клиентом OpenVPN. Каталог C:OpenVPNkeys используется для хранения ключей, если OpenVPN установлен в C:OpenVPN.

Подготовка роутера

Подобно другим инструментам шифрования (например, SSH), OpenVPN имеет тенденцию искажать время между клиентами и серверами. Сначала мы настроим время Mikrotik. Желательно отключить автоматическое определение, чтобы получить правильное значение часового пояса.

mikrotik-openvpn-server-001.png

/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow

При установке часов по базе данных TZ этот параметр был выбран из опции часового пояса.

Создание ключей и сертификатов

Многочисленные онлайн-руководства предполагают использование сторонних инструментов, таких как Easy-RSA, для создания ключей и сертификатов. Создайте новый корневой сертификат для нашего ЦС в System – Certificate.

Имя и общий узел – ca; Размер ключа – 2048 или 10 лет – обязательные поля, обозначенные красным цветом. Поля, выделенные зеленым цветом, заполнять не обязательно.

Затем выберите вкладку Key Usage и введите только crl-подпись и код ключа. Подпишите сертификат, затем нажмите Применить. Адрес локального цикла 127.0.0.1 должен быть введен в поле CA CRL Host появившегося окна перед тем, как нажать Start и дождаться подписания сертификата.

Эти же действия в консоли:

/certificate 
add name=ca country="RU" state="31" locality="BEL" organization="Interface LLC" unit="IT" common-name="ca" key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign
sign ca ca-crl-host=127.0.0.1

После этого будет создан сертификат и закрытый ключ сервера. Мы указываем ovpn-server на вкладке General нового сертификата (вы можете выбрать по своему усмотрению).

Введите digital-encipherment, key-editor и tlS на вкладке Key Usage. Затем подпишите его, используя ключ нашего ЦС, выбрав только что созданный сертификат в поле CAC.

mikrotik-openvpn-server-006.png

/certificate 
add name=ovpn-server country="RU" state="31" locality="BEL" organization="Interface LLC" unit="IT" common-name="ovpn-server" key-size=2048 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
sign ovpn-server ca="ca"

Теперь создайте сертификаты клиентов и введите имя клиента в поле Имя и общие имена (Name and Common Nomes).

Сертификат может быть создан еще на 10 лет, в зависимости от того, является ли клиент ноутбуком, принадлежащим сотруднику на испытательном сроке, или маршрутизатором удаленного офиса.

Похожее:  Дизайн домашнего кабинета (71 фото): интерьер рабочего пространства в квартире и в частном доме, обои и другие материала для современной обстановки

Мы указываем только tl-client на вкладке Key Usage, и он подписывается сертификатом нашего ЦС. Вы можете либо создавать из них сертификаты по мере необходимости, либо выпустить все необходимые вам клиентские сертификаты сразу.

Мне нужен сертификат клиента для консоли; как его получить?

/certificate 
add name=mikrotik country="RU" state="31" locality="BEL" organization="Interface LLC" unit="IT" common-name="mikrotik" key-size=2048 days-valid=365 key-usage=tls-client
sign mikrotik ca="ca"

Обратите внимание, что сертификат, который мы недавно выдали, имеет срок действия в 365 дней.

Следующие сертификаты будут вашими, если все сделано правильно. Требуется корневой сертификат KLAT, а также остальные флаги KI.

Для экспорта закрытых ключей и клиентских сертификатов нам необходимо предоставить корневой номер ЦС. Для этого лучше всего подходит формат PKCS12, в котором все необходимые компоненты собраны в одном файле.

В появившемся окне выберите Экспорт, затем в появившемся окне введите пароль экспорта, содержащий не менее 8 символов и формат Type как PKCS12. Без пароля экспорт закрытых ключей невозможен.

Выбирайте команды:

/certificate
export-certificate mikrotik type=pkcs12 export-passphrase=12345678

Создание сертификата сервера openvpn

Открываем Certificates и нажимаем на плюс.

  • Укажите уникальное и общее имя.

Открываем Key Usage, снимаем галочки с:

  • Признаки КРЛ;
  • Интерпретация данных;
  • Key sert sign;
    Мы ставим галочку напротив tls-сервера.

Так и останется. Тогда давайте перейдем к подписанию.

Выбираем сертификат в списке. В контекстном меню нам нужен Sign. В Certificate выбираем шаблон ServerOVPN, в CA самоподписанный корневой сертификат. Start.
Настройка OpenVPN-сервера на роутерах Mikrotik - Записки IT специалистаВ списке видим, что наш шаблон превратился в полноценный сертификат. Можем открыть его свойства.
Свойства сертификата сервера OVPN 4

Создание сертификата центра сертификации

На московском роутере открываем System — Certificates.
Импорт ключей OpenVPN

Все сертификаты на Mikrotik перечислены в этом разделе. Для настройки сервера необходимо выполнить следующие действия:

  • Создайте сертификат центра сертификации;
  • Создайте серверный сертификат.

Нажмите плюс, затем настройте параметры в соответствии со снимком экрана:

  • Имя – имя в списке Mikrotik;
  • Страна, штат, населенный пункт, организация, подразделение – произвольные поля для заполнения;
  • Общее название – наиболее важное. Укажите уникальное имя;
  • Key size – длина ключа. Выбирается из выпадающего списка;
  • Дни действия – срок действия.

Теперь мы закончили создание шаблона.

Подпись! Обратите внимание, что мы выпускаем самоподписанный сертификат корневого центра сертификации.

Это нормально; мы не будем использовать его для каких-либо дополнительных услуг. Мы выбираем наш шаблон, затем в контекстном меню выбираем Подписать.

В открывшемся окне выбираем CA. Обязательно указываем CA CRL Host – список отзыва, можно указать доменное имя.
Настройка OpenVPN-сервера на роутерах Mikrotik - Записки IT специалистаНажимаем Start и ждем окончания процесса.
Сертификат центра сертификации OVPN микротике

Создание сертификатов и ключей openvpn

2) Перейдите на официальный сайт и скачайте приложение OpenVPN.

2) Устанавливаем все галочки.

Для создания ключей и сертификатов нам нужны сценарии управления сертификатами EasyRSA.

4) Определите маршрут. Позже он нам понадобится. В нашей ситуации мы используем типичный C:Program FilesOpenVPN.

4) После установки заходим в C:Program filesOpenVPNeasy-rsa

Отредактируйте файл vars.bat с помощью Блокнота или NotePad (если он есть, обратите внимание на номер страницы):

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector