дата публикации 30.08.2018

Настройка OpenVPN сервера в mikrotik

Ниже приведена инструкция по настройке OpenVPN сервера на mikrotik средствами микротика. Без использования дополнительных инструментов типа скриптов OpenSSL.

1. Генерируем корневой сертификат

/certificate add name=template-ca country="RU" state="Moscow" locality="" organization="Company name" unit="IT department" common-name="template-ovpn-ca" key-size=1024 days-valid=3650 key-usage=crl-sign,key-cert-sign 
/certificate sign template-ca ca-crl-host=127.0.0.1 name="ovpn-ca" 

2. Генерируем серверный сертификат

/certificate add name=template-srv country="RU" state="Moscow" locality="" organization="Company name" unit="IT department" common-name="ovpn-srv" key-size=1024 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
/certificate sign template-srv ca="ovpn-ca" name="ovpn-srv"

3. Генерируем клиентский сертификат

/certificate add name=template-clnt country="RU" state="Moscow" locality="" organization="Company name" unit="IT department" common-name="template-ovpn-clnt" key-size=1024 days-valid=3650 key-usage=tls-client
/certificate add name=template-clnt-to-issue copy-from="template-clnt" common-name="ovpn-clnt-1"
/certificate sign template-clnt-to-issue ca="ovpn-ca" name="ovpn-clnt-1"

common-name и name должны быть одинаковые
4. Настраиваем OpenVPN сервер
Создаем пул адресов dhcp

/ip pool add name=ovpn_dhcp_pool ranges=172.16.10.2-172.16.10.254

Создаем профиль OpenVPN

/ppp profile add name=ovpn_srv local-address=172.16.10.1 remote-address=ovpn_dhcp_pool

Включаем аутентификацию по пользователю

/ppp aaa set accounting=yes

И собственно добавляем пользователя

/ppp secret add name=ovpn-usr-1 password=P@ssw0rd service=ovpn profile=ovpn_srv

Активируем OpenVPN сервер

/interface ovpn-server server set auth=sha1 cipher=AES256 default-profile=ovpn_srv mode=ip netmask=24 require-client-certificate=yes certificate=ovpn-srv enabled=yes

Выгружаем сертификат

/certificate export-certificate ovpn-ca export-passphrase=""
/certificate export-certificate ovpn-clnt-1 export-passphrase=111

Заходим через winbox и копируем файлы на компьютер
5. Настройка клиента
В папке config создаем файл company.conf с таким содержимым:

client
dev tun
proto tcp
remote 1.2.3.4 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca cert_export_ovpn-ca.crt
cert cert_export_ovpn-clnt-1.crt
key cert_export_ovpn-clnt-1.key
remote-cert-tls server
verb 3
route-delay 5
cipher AES256
auth SHA1
;Маршрут до сети за микротиком
route 192.168.0.0 255.255.255.0
;назначить микротик шлюзом
;redirect-gateway def1

И файл с логином и паролем user-pwd.txt:

ovpn-usr-1
P@ssw0rd

Сервер готов к использованию.