Свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналoв типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек. OpenVPN была создана Джеймсом Йонаном и распространяется под лицензией GNU GPL.
В настоящее время OpenVPN — один из самых популярных протоколов виртуальных частных сетей. Он не сложен в реализации, обеспечивает хороший уровень защиты, и доступен на всех популярных операционных системах, включая мобильные.
В случае с Mikrotik имеется ряд нюансов, которые однако решены в RouterOS 7, которая на момент написания статьи, всё еще находится в стадии тестирования. В данной статье я коснусь их лишь косвенно, но хорошая новость в том, что «на ход поршней» это не влияет.
И так, приступим. В данной статье я рассмотрю базовую настройку сервера. Первым делом, для настройки нам потребуются сертификаты: CA, Сервера и в последствии клиентов. Как это сделать — описано в соседней статье цикла .
После создания сертификатов переходим к настройке сервера.
- Для начала создаем пул ip адресов для клиентов
IP — Pool — Нажимаем +
Name = OpenVPN — Поле для произвольного имени
Addresses = 172.1.3.2-172.1.3.100 — Пул адресов, принимает адреса как по маске 10.10.10.0/24 так и набором 10.10.10.1-10.10.10.254
Next Pool = None — Следующий пул, на который перейти если текущий закончится. В нашем случае это не требуется.
/ip pool
add name=OpenVPN ranges=172.1.3.2-172.1.3.1002. Переходим к настройке профиля безопастности
PPP — Profiles — Нажимаем +
Вкладка «General«:
Name = OpenVPN — Произвольное имя
Local Address = 172.1.3.1 — Локальный адрес сервера
Remote Addresess — OpenVPN — выбираем пул созданный ранее
Вкладка «Protocols«
Устанавливаем флаги
Use Compression — No
Use Encryption — Yes
Вкладка «Limits«
Only One = Yes\No — Установите в Да — если хотите ограничить соединения 1 пользователь — 1 подключение. Установите No — если хотите разрешить больше одного подключения с одним логином.
/ppp profile
add local-address=172.1.3.1 name=OpenVPN only-one=yes remote-address=OpenVPN \
use-compression=no use-encryption=yes3. Добавляем учётную запись пользователя
*** Один из нюансов RouterOS 6 — Обязательная аутентификация пользователя по паре логин\пароль ***
PPP — Secrets — +
Name = UserName — Логин пользователя
Password = ***** — Пароль пользователя
Service = ovpn — Выбираем сервис для которого разрешена данная учётка
Profile = OpenVPN — Выбираем созданный ранее профиль безопасности.
/ppp secret
add name=User1 password="DerParol" profile=OpenVPN service=ovpn
/ppp secret
add name=User1 password="DerParol" profile=OpenVPN service=ovpn4. После создания пользователя — переходим к настройке непосредственно сервера:
PPP — OVPN Server
Enabled = On — Устанавливаем флаг включен.
Port = 11945 — Порт, который будет слушать сервер. Рекомендую использовать пятизначные порты, отличные от стандартного 1194, т.к. стандартный часто атакуют.
Default Profile = OpenVPN — Выбираем профиль безопасности.
Cetificate = Server — Выбираем сертификат сервера, созданный ранее.
Require Client Certificate = On — Требуется для проверки валидности сертификата клиента
Auth = sha1, md5 — Параметры шифрования
Cipher = aes256
/interface ovpn-server server
set certificate=Server cipher=aes256 default-profile=OpenVPN enabled=yes port=\
11945 require-client-certificate=yes
5. И последнее что осталось — настройка FireWall для разрешения подключения к нашему серверу.
IP — Firewall — Filter Rules — Add
Chain = input
Protocol = tcp
Dst. Port = 11945
In. Interface List = WAN
Action = Accept
/ip firewall filter
add action=accept chain=input comment="Open VPN" dst-port=11945 in-interface-list=WAN protocol=tcpНа этом настройка OpenVPN Server завершена
Другие статьи по этой теме:
- Сборка opvn.conf для клиента Mikrotik
- RADIUS Server на базе WinSrv 2019 для Mikrotik
- Генерация сертификатов на Mikrotik для OpenVPN
Отправить ответ