В Москве:

РФ (звонок бесплатный):

+7 (495) 989-85-33 +7 (800) 333-75-33

Настройка OpenVPN сервера на роутере Mikrotik

OpenVPN-server, Mikrotik

  1. Скачиваем на машину под управлением OS Windows программу OpenVPN(версия 2.3.4 на момент написания статьи) для генерации необходимых сертификатов.

     

    Внимание!!! При установке программы выбираем все галочки!!!

     

  2. Далее переходим в C:\Program files\OpenVPN\easy-rsa, запускаем init-config.bat, появится vars.bat.sample, открываем его в блокноте и редактируем следующие строки:

     

    set KEY_COUNTRY=RU

    set KEY_PROVINCE=MoscowRegion

    set KEY_CITY=Moscow

    set KEY_ORG=OpenVPN

    set KEY_EMAIL=mybox@voxlink.ru

    set KEY_CN=server

    set KEY_NAME=server

    set KEY_OU=voxlink

     

    Все строки кроме “Key_CN” и “Key_NAME” заполняем в произвольном порядке.

    Сохраняем как vars.bat на рабочий стол, затем перемещаем в C:\Program files\OpenVPN\easy-rsa

     

  3. Теперь открываем openssl-1.0.0.cnf и проверяем параметр default_days=3650 (Это срок действия сертификата, 3650=10лет).

     

  4. Открываем командную строку от имени администратора и пишем:
    cd C:\Program Files\OpenVPN\easy-rsa

    vars

    clean-all

    Если видим сообщение о том, что «Скопировано файлов: 1». Значит, процедура успешна.

    В этом же окне набираем:

     

    build-dh (создание ключа Диффи-Хеллмана)
    
    build-ca (создание основного сертификата)

     

    На все вопросы нажимаете Enter пока не увидите путь

    C:\Program files\OpenVPN\easy-rsa

     

    Далее набираем:

    build-key-server server

    На все вопросы кроме «Sign the certificate?» и «1 out of 1 certificate requests certified, commit?» жмем Enter, на эти два жмём Y.

     

    Создадим сертификат клиента:

    build-key client

    На вопрос Common Name (eg, your name or your server’s hostname) нужно ввести client. В конце дважды ввести Y.

     

    Из папки C:\Program Files\OpenVPN\easy-rsa\keys забираем: ca.crt,  server.crt, server.key

     


     

Теперь, когда подготовительная часть окончена — приступаем к части настройки OpenVPN сервера на Mikrotik

 

  1. Заходим на Mikrotik посредством утилиты winbox, переходим в раздел Files и копируем туда 3 наших сертификата ca.crt, server.crt, server.key
  2. После этого произведём импорт сертификатов, идём в раздел System – Certificates, выбираем поочередно сертификаты из списка (ca.crt->server.crt->server.key) и жмём кнопку Import

    Получится следующая картина:

  3. Создаём пул IP адресов для наших OVPN клиентов. IP -> Pool, жмём кнопку “+”, я добавил диапазон 172.16.0.10-172.16.0.250, и назвал пул vpn_pool
  4. Создаём PPP профиль. PPP -> Profiles-> “+”, вводим имя, локальный адрес микротика(через него клиенты будут получать доступ к остальным сетям за микротиком), который разумеется должен лежать в одной подсети с созданным ранее пулом адресов, ну и указываем сам пул, остальные настройки оставляем по умолчанию.
  5. Далее настраиваем сам OpenVPN сервер, PPP->Interface-> кнопка OVPN Server, ставим галку Enabled, mode выставляем ip, выбираем созданный ранее профиль, а также ставим галку Require Client Certificate и выбираем сертификат микротика, остальные параметры на Ваше усмотрение
  6. Создадим пользователя, переходим в раздел PPP -> вкладка Secrets, вводим имя пользователя, пароль, указываем сервис и профиль.
  7. Так как мы используем сертификаты, необходимо что бы время на сервере и на клиенте совпадало, для этого настраиваем ntp клиент и временную зону на микротике в разделе- System ->Clock/NTP Client.

Адреса для NTP клиента можно взять пропинговав ru.pool.ntp.org

Осталось настроить разрешающее правило фаервола, IP -> Firewall-> вкладка Filter Rules

Созданное правило должно находиться выше запрещающих правил

Готово, теперь можно подключать к данному VPN серверу различные VPN клиенты.

Настройка OpenVPN клиента на роутере Mikrotik
Настройка OpenVPN клиента на Android

Настройка OpenVPN клиента на Windows к OpenVPN серверу на Mikrotik

ip-phone