дата публикации 30.08.2018
Настройка OpenVPN сервера в mikrotik
Ниже приведена инструкция по настройке OpenVPN сервера на mikrotik средствами микротика. Без использования дополнительных инструментов типа скриптов OpenSSL.
1. Генерируем корневой сертификат
/certificate add name=template-ca country="RU" state="Moscow" locality="" organization="Company name" unit="IT department" common-name="template-ovpn-ca" key-size=1024 days-valid=3650 key-usage=crl-sign,key-cert-sign
/certificate sign template-ca ca-crl-host=127.0.0.1 name="ovpn-ca"
2. Генерируем серверный сертификат
/certificate add name=template-srv country="RU" state="Moscow" locality="" organization="Company name" unit="IT department" common-name="ovpn-srv" key-size=1024 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
/certificate sign template-srv ca="ovpn-ca" name="ovpn-srv"
3. Генерируем клиентский сертификат
/certificate add name=template-clnt country="RU" state="Moscow" locality="" organization="Company name" unit="IT department" common-name="template-ovpn-clnt" key-size=1024 days-valid=3650 key-usage=tls-client
/certificate add name=template-clnt-to-issue copy-from="template-clnt" common-name="ovpn-clnt-1"
/certificate sign template-clnt-to-issue ca="ovpn-ca" name="ovpn-clnt-1"
common-name и name должны быть одинаковые
4. Настраиваем OpenVPN сервер
Создаем пул адресов dhcp
/ip pool add name=ovpn_dhcp_pool ranges=172.16.10.2-172.16.10.254
Создаем профиль OpenVPN
/ppp profile add name=ovpn_srv local-address=172.16.10.1 remote-address=ovpn_dhcp_pool
Включаем аутентификацию по пользователю
/ppp aaa set accounting=yes
И собственно добавляем пользователя
/ppp secret add name=ovpn-usr-1 password=P@ssw0rd service=ovpn profile=ovpn_srv
Активируем OpenVPN сервер
/interface ovpn-server server set auth=sha1 cipher=AES256 default-profile=ovpn_srv mode=ip netmask=24 require-client-certificate=yes certificate=ovpn-srv enabled=yes
Выгружаем сертификат
/certificate export-certificate ovpn-ca export-passphrase=""
/certificate export-certificate ovpn-clnt-1 export-passphrase=111
Заходим через winbox и копируем файлы на компьютер
5. Настройка клиента
В папке config создаем файл company.conf с таким содержимым:
client
dev tun
proto tcp
remote 1.2.3.4 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca cert_export_ovpn-ca.crt
cert cert_export_ovpn-clnt-1.crt
key cert_export_ovpn-clnt-1.key
remote-cert-tls server
verb 3
route-delay 5
cipher AES256
auth SHA1
;Маршрут до сети за микротиком
route 192.168.0.0 255.255.255.0
;назначить микротик шлюзом
;redirect-gateway def1
И файл с логином и паролем user-pwd.txt:
ovpn-usr-1
P@ssw0rd
Сервер готов к использованию.
— Бесплатные Сайты и CRM.