89 вопросов по настройке mikrotik
Вы хорошо разбираетесь в микробах? Или вы не знакомы с этим оборудованием и не знаете, как его использовать? Курс “Конфигурирование оборудования MikroTek” содержит информацию, которая будет полезна в обеих ситуациях.
Конфигурирование клиента
Подключаемся к питерскому роутеру и в PPP создаем новый интерфейс OVPN Client.
Задаем имя интерфейса.
Открываем Dial Out и заполняем обязательные параметры.
Сохраняем и открываем вкладку Status.
Здесь мы видим статус подключено, шифрование и время жизни соединения. Вы спросите, а где же IP адрес клиента? Он по каким-то причинам не отображается в окне статуса интерфейса, зато есть в IP-Address. Возможно, ошибка, в данной прошивке. Попробуем проверить доступность московского роутера через VPN.
Ping-ки идут, соединение работает.
Конфигурирование сервера
Но для начала создадим профиль. PPP – Profiles – жмем .
Перед нами открывается окно нового профайла. В строке «Name» задаем понятное нам имя. В строке Local Address указываем IP адрес Mikrotik в VPN. Я указываю 172.16.25.1. Т.е. при подключении клиента автоматически присвоится именно это адрес.
Затем изменить:
- Измените TCP MSS на “да”.
- Используя UPnP, установите переключатель в положение “Нет”.
Никогда не используйте настройки по умолчанию, если хотите, чтобы все шло по плану.
Protocols:
- Нет для использования MPLS;
- Да для использования компрессии;
- Да для использования шифрования
Далее в Limits ставим no для Only One. Остальные настройки можно не задавать. К примеру, если бы нам нужно было ограничить скорость клиента внутри тоннеля, то нас интересовала вкладка Queue – но это совсем другая история.
Теперь можно сохранять. Жмем Apply и OK. В списке должен появиться наш созданный профиль.
Нам нужно создать пользователя и пароль, который будет подключаться к нашей сети. Открываем Secrets и жмем .
Настройка firewall
Далее нужно разрешить OpenVPN трафик на роутере.
Добавляем правило.
Action – accept.
После сохранения перейдите на сторону клиента.
Настройка openvpn клиента на роутере mikrotik
Затем на устройство будет загружен файл сертификата в формате PKCS12, экспортированный сервером. Введите файл сертификата и парольную фразу экспорта в окне Сертификат системы и окне Импорт соответственно.
/certificate
import file-name=mikrotik.p12 passphrase=12345678
Корневой сертификат будет содержать закрытый ключ, на что указывает флаг KT (K означает ключ), и у вас также будет второй сертификат. Вспомните имена сертификатов или дайте им новые.
Настройка openvpn по сертификату
Мы рассмотрим, как экспортировать и выпустить ключи для клиента, а также настроить подключение сертификата.
Настройка openvpn сервера
Для предоставления клиентам OpenVPN мы должны сначала создать пулы адресов. Мы создадим новый пул и присвоим ему IP-адрес Pool0. Адреса: 108.199-109.8.10.101 (выберите любой)
В консоли:
/ip pool
add name=ovpn_pool0 ranges=10.8.8.100-10.8.8.199
Создайте новый профиль, перейдя в PP – Профили прямо сейчас. Определим его Имя – ovpn, и удаленный адрес – 10.8.1 для локального адреса и 0_2 для удаленного API. Локальный адрес и диапазон адресов должны находиться в одной сети.
Как быстро создать профиль в Терминале?
/ppp profile
add local-address=10.8.8.1 name=ovpn remote-address=ovpn_pool0
Далее проверьте, что аутентификация пользователей включена в разделе PPM – Secrets. Для этого выберите PPp Authentication -Accounting и убедитесь, что флажок Activate установлен:
/ppp aaa
set accounting=yes
В этом разделе мы создадим учетные записи для клиентов. Для использования OpenVPN необходимо ввести имя и пароль. Рекомендуется использовать то же имя, которое вы использовали при регистрации сертификата, при указании имени учетной записи в разделе Имя.
Пароль – пароль, так как сертификаты служат основной формой аутентификации. Кто или что может использовать эту учетную запись? – указать Профиль – профиль ovpn, который мы создали, затем ограничить только OpenVPN.
Чтобы создать аккаунт в терминале, выполните следующие шаги:
/ppp secret
add name=mikrotik password=123 profile=ovpn service=ovpn
В данном случае мы ввели пароль 123 для пользователя mikrotik.
Когда мы нажимаем кнопку OVpn Server после создания пользователей в PPP – Interface, перед нами появляется флаг Enabled Default Profile – ovpn.
Require Client Certificate, который проверяет принадлежность клиентского сертификата к локальной цепочке сертификатов SCA, включен для дополнительной безопасности. Для шифрования семейств Auth, Cipher и других вводятся только коды из этого семейства без альтернативы.
В терминале команды выполняются командами:
/interface ovpn-server server
set auth=sha1 certificate=ovpn-server cipher=aes256 default-profile=ovpn enabled=yes require-client-certificate=yes
Разрешите входящие соединения с вашим сервером OpenVPN для продолжения работы. Chain – input, Protocol – tcp – правило, которое должно быть добавлено в открытый IP Firewall. Порт 1194. Поскольку по умолчанию стоит accept, действие не указано.
Выполните:
/ip firewall filter
add action=accept chain=input dst-port=1194 protocol=tcp
В цепочке INPUT правила должны идти перед теми, которые запрещены.
Это включило OpenVPN в сети Mikrotik.
Настройка openvpn сервера на mikrotik
Давайте настроим программное обеспечение Winbox. Перетащите файлы из папки C:Program FilesOpenVPSNeasy-rsakeys, выбрав в меню пункт Files.
13) Необходимо импортировать следующие сертификаты: c. crtserver,ca ;key);
После импортных визитов можно заметить:
14) Создайте пул IP-адресов для пользователей VPN.
Введите название “openvpn-pool” и нажмите Add.
15) Создадим PPR профиль.
Добавить PPP – профили к заголовку ()
Назовем его сервером OpenVPN, и когда мы создаем наш Ovpn Server, он будет включен.
Настройка vpn клиента на mikrotik
Даже в тех случаях, когда нет белого IP-адреса, вы можете настроить доступ к Mikrotik, используя систему OpenVPN.
21) Активируйте Mikrotik с помощью программы Winbox. 2 файла ключей: clientcrt, tlentkey
Перетащите их из папки C:Program topenVP с помощью опции меню Files.
23) Далее необходимо их импортировать.
Откроем System – Certificates — Import и поочерёдно выберем сертификаты в этом порядке:
client.crt
client.key
Опишите PPP – добавить() – ключевые показатели эффективности OVN.
Во вкладке General указываем имя
Name — openVPN1 (любое, на ваше усмотрение)
Вкладка Dial Out:
Connect To — Адрес сервера(Внешний IP адрес главного роутера Mikrotik)
Port 1194
Указываем пользователя и пароль, который мы создали на VPN сервере
В нашем случае это пользователь ovpn_mikrotik1
Сертификат Client.crt
Нажмите ОК
25) В терминале набираем /interface ovpn-client monitor openVPN1Должно появиться сообщение со статусом connected
Теперь вы можете подключиться к нему через VPN, используя адрес, который дал ему сервер.
Посмотреть адрес можно:
В Mikrotik-клиенте в IP-Adresses строка с нашим интерфейсом openVPN1
Услуги CPAP начали поддерживаться сервером Mikrotik PPP Active Connections.
Настройка vpn клиента на компьютере под управлением windows
19) Копируем в папку C:Program filesOpenVPNconfig
Следующие файлы -asa.crt и cclient_key – находятся в C:Program FilesOpenVPNeasy-rsakeys
из C:Program filesOpenVPNsimple-configclient.ovpn
Настройка клиента
После экспорта и копирования ключей подключимся к питерскому роутеру. Открываем Files и переносим с рабочего стола 2 файла скопированных ранее.
Переходим в Certificates и импортируем открытый и закрытый ключи.
В выпадающем списке выбираем открытый ключ и вписываем пароль. Import.
Тоже самое с закрытым ключом.
Далее импортируем CA.
Открываем ранее созданный OVPN Client интерфейс, выбираем импортированный сертификат и требуем проверку серверного.
Соединение установилось.
Проверим его.
Настройка стандартного клиента openvpn на пк
Попробуем переключить задачу, предполагая, что у нас есть ноутбук компании с установленным клиентом OpenVPN. Каталог C:OpenVPNkeys используется для хранения ключей, если OpenVPN установлен в C:OpenVPN.
Подготовка роутера
Подобно другим инструментам шифрования (например, SSH), OpenVPN имеет тенденцию искажать время между клиентами и серверами. Сначала мы настроим время Mikrotik. Желательно отключить автоматическое определение, чтобы получить правильное значение часового пояса.
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
При установке часов по базе данных TZ этот параметр был выбран из опции часового пояса.
Создание ключей и сертификатов
Многочисленные онлайн-руководства предполагают использование сторонних инструментов, таких как Easy-RSA, для создания ключей и сертификатов. Создайте новый корневой сертификат для нашего ЦС в System – Certificate.
Имя и общий узел – ca; Размер ключа – 2048 или 10 лет – обязательные поля, обозначенные красным цветом. Поля, выделенные зеленым цветом, заполнять не обязательно.
Затем выберите вкладку Key Usage и введите только crl-подпись и код ключа. Подпишите сертификат, затем нажмите Применить. Адрес локального цикла 127.0.0.1 должен быть введен в поле CA CRL Host появившегося окна перед тем, как нажать Start и дождаться подписания сертификата.
Эти же действия в консоли:
/certificate
add name=ca country="RU" state="31" locality="BEL" organization="Interface LLC" unit="IT" common-name="ca" key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign
sign ca ca-crl-host=127.0.0.1
После этого будет создан сертификат и закрытый ключ сервера. Мы указываем ovpn-server на вкладке General нового сертификата (вы можете выбрать по своему усмотрению).
Введите digital-encipherment, key-editor и tlS на вкладке Key Usage. Затем подпишите его, используя ключ нашего ЦС, выбрав только что созданный сертификат в поле CAC.
/certificate
add name=ovpn-server country="RU" state="31" locality="BEL" organization="Interface LLC" unit="IT" common-name="ovpn-server" key-size=2048 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
sign ovpn-server ca="ca"
Теперь создайте сертификаты клиентов и введите имя клиента в поле Имя и общие имена (Name and Common Nomes).
Сертификат может быть создан еще на 10 лет, в зависимости от того, является ли клиент ноутбуком, принадлежащим сотруднику на испытательном сроке, или маршрутизатором удаленного офиса.
Мы указываем только tl-client на вкладке Key Usage, и он подписывается сертификатом нашего ЦС. Вы можете либо создавать из них сертификаты по мере необходимости, либо выпустить все необходимые вам клиентские сертификаты сразу.
Мне нужен сертификат клиента для консоли; как его получить?
/certificate
add name=mikrotik country="RU" state="31" locality="BEL" organization="Interface LLC" unit="IT" common-name="mikrotik" key-size=2048 days-valid=365 key-usage=tls-client
sign mikrotik ca="ca"
Обратите внимание, что сертификат, который мы недавно выдали, имеет срок действия в 365 дней.
Следующие сертификаты будут вашими, если все сделано правильно. Требуется корневой сертификат KLAT, а также остальные флаги KI.
Для экспорта закрытых ключей и клиентских сертификатов нам необходимо предоставить корневой номер ЦС. Для этого лучше всего подходит формат PKCS12, в котором все необходимые компоненты собраны в одном файле.
В появившемся окне выберите Экспорт, затем в появившемся окне введите пароль экспорта, содержащий не менее 8 символов и формат Type как PKCS12. Без пароля экспорт закрытых ключей невозможен.
Выбирайте команды:
/certificate
export-certificate mikrotik type=pkcs12 export-passphrase=12345678
Создание сертификата сервера openvpn
Открываем Certificates и нажимаем на плюс.
- Укажите уникальное и общее имя.
Открываем Key Usage, снимаем галочки с:
- Признаки КРЛ;
- Интерпретация данных;
- Key sert sign;
Мы ставим галочку напротив tls-сервера.
Так и останется. Тогда давайте перейдем к подписанию.
Выбираем сертификат в списке. В контекстном меню нам нужен Sign. В Certificate выбираем шаблон ServerOVPN, в CA самоподписанный корневой сертификат. Start.
В списке видим, что наш шаблон превратился в полноценный сертификат. Можем открыть его свойства.
Создание сертификата центра сертификации
На московском роутере открываем System — Certificates.
Все сертификаты на Mikrotik перечислены в этом разделе. Для настройки сервера необходимо выполнить следующие действия:
- Создайте сертификат центра сертификации;
- Создайте серверный сертификат.
Нажмите плюс, затем настройте параметры в соответствии со снимком экрана:
- Имя – имя в списке Mikrotik;
- Страна, штат, населенный пункт, организация, подразделение – произвольные поля для заполнения;
- Общее название – наиболее важное. Укажите уникальное имя;
- Key size – длина ключа. Выбирается из выпадающего списка;
- Дни действия – срок действия.
Теперь мы закончили создание шаблона.
Подпись! Обратите внимание, что мы выпускаем самоподписанный сертификат корневого центра сертификации.
Это нормально; мы не будем использовать его для каких-либо дополнительных услуг. Мы выбираем наш шаблон, затем в контекстном меню выбираем Подписать.
В открывшемся окне выбираем CA. Обязательно указываем CA CRL Host – список отзыва, можно указать доменное имя.
Нажимаем Start и ждем окончания процесса.
Создание сертификатов и ключей openvpn
2) Перейдите на официальный сайт и скачайте приложение OpenVPN.
2) Устанавливаем все галочки.
Для создания ключей и сертификатов нам нужны сценарии управления сертификатами EasyRSA.
4) Определите маршрут. Позже он нам понадобится. В нашей ситуации мы используем типичный C:Program FilesOpenVPN.
4) После установки заходим в C:Program filesOpenVPNeasy-rsa
Отредактируйте файл vars.bat с помощью Блокнота или NotePad (если он есть, обратите внимание на номер страницы):