Mikrotik: Настройка VPN-Сервера

Mikrotik -- Латвийская компания выпускающая довольно умные сетевые железяки, на борту которых стоит RouterOS -- операционная система созданная ими же. Ниже показаны примеры настройки разных типов vpn-серверов в RouterOS.

1. PPTP VPN:

Выбираем диапазон адресов которые будут раздаваться клиентам:

IP -> Pool -> добавить.

Создаем новый PPP профиль:

PPP -> Profiles -> Добавить.

Создаем нового пользователя.

PPP -> Secrets -> Добавить.

Включаем PPTP сервер:

PPP -> Interface -> PPTP Server.

 

Настраиваем firewall:

Открываем порт для подключения:

IP -> Firewall -> Filter Rules -> Добавить.

 

Разрешаем GRE протокол:

IP -> Firewall -> Filter Rules -> Добавить.

Поднимаем правила выше всех запрещающих, иначе работать не будет.

2. L2TP IPSec VPN:

Выбираем диапазон адресов которые будут раздаваться клиентам:

IP -> Pool -> добавить.

Создаем новый PPP профиль:

PPP -> Profiles -> Добавить.

Создаем нового пользователя.

PPP -> Secrets -> Добавить.

Включаем L2TP сервер:

PPP -> Interface -> L2TP Server.

Настраиваем firewall:

IP -> Firewall -> Filter Rules -> Добавить.

Поднимаем правило выше всех запрещающих, иначе работать не будет.

3. Open VPN:

3.1 Генерация сертификатов.

Скачиваем vpn-клиент с офсайта или отсюда. При установке ставим галкb openSSL uitlites и OpenVPN RSA Certificate Managements Scripts.

В папке с установленным клиентом есть папка easy-rsa в ней редактируем файл vars.bat.sample под себя. Пример:


set KEY_COUNTRY=RU
set KEY_PROVINCE=Moscow
set KEY_CITY=Moscow
set KEY_ORG=OpenVPN
set KEY_EMAIL=Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
set KEY_CN=server
set KEY_NAME=server
set KEY_OU=changeme
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234
 
Сохраняем файл под именем vars.bat.
 
Запускаем командную строку от имени администратора.

Переходим в каталог easy-rsa:

cd "C:\Program Files\OpenVPN\easy-rsa"

vars

clean-all

Генерируем корневой сертификат:

build-ca

На все вопросы жмем Enter.

Генерируем серверный сертификат:

build-key-server server

на вопросы "Sign the certificate?" и  "1 out of 1 certificate requests certified, commit?" отвечаем y, на остальные жмем  Enter.

Генерируем сертификат клиента:

build-key client

ответ на вопрос common name должен быть уникальным и не совпадать с другими сертификатами. (например client)  

на вопросы "Sign the certificate?" и  "1 out of 1 certificate requests certified, commit?" отвечаем y, на остальные жмем  Enter.

3.2. Настройка Mikrotik.

Копируем файлы ca.crt, server.crt, server.key из папки keys на Mikrotik.

Импортируем сертификаты в последовательности ca.crt -> server.crt -> server.key:

System - Certificates - выбор сертификата - кнопка Import.

Выбираем диапазон адресов которые будут раздаваться клиентам:

IP -> Pool -> добавить.

Создаем новый PPP профиль:

PPP -> Profiles -> Добавить.

 

Включаем OVPN Сервер.

PPP -> Interface ->OVPN Server.

 Настраиваем Firewall.

 IP -> Firewall -> Filter Rules -> Добавить.

Поднимаем правило выше всех запрещающих, иначе работать не будет.

3.3. Настраиваем клиент.

Пример конфигурации клиента:


proto tcp-client
remote X.X.X.X # здесь внешний адрес нашего роутера
dev tap
nobind
persist-key
tls-client
ca ca.crt #указываем имя CA сертификата
cert client.crt #указываем имя сертификата клиента
key client.key # указываем имя файла-ключа для клиента
ping 10
verb 3 # уровень логирования
ns-cert-type server
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass auth.cfg
route  192.168.1.0 255.255.255.0 192.168.110.1 # эта строка задает маршрут, здесь 192.168.110.1 - адрес микротика из PPP-профиля, а 192.168.1.0 255.255.255.0 - сеть и маска сети.


В файле auth.cfg пишем логин пароль который вводили в Secrets. Например:


User1
pass0987654321


 

 
1 1 1 1 1 1 1 1 1 1 Рейтинг 5.00 [1 Голос]

Добавить комментарий