Mikrotik: Настройка VPN-Сервера

Mikrotik -- Латвийская компания выпускающая довольно умные сетевые железяки, на борту которых стоит RouterOS -- операционная система созданная ими же. Ниже показаны примеры настройки разных типов vpn-серверов в RouterOS.

 Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

1. PPTP VPN:

Выбираем диапазон адресов которые будут раздаваться клиентам:

IP -> Pool -> добавить.

Создаем новый PPP профиль:

PPP -> Profiles -> Добавить.

Создаем нового пользователя.

PPP -> Secrets -> Добавить.

Включаем PPTP сервер:

PPP -> Interface -> PPTP Server.

 

Настраиваем firewall:

Открываем порт для подключения:

IP -> Firewall -> Filter Rules -> Добавить.

 

Разрешаем GRE протокол:

IP -> Firewall -> Filter Rules -> Добавить.

Поднимаем правила выше всех запрещающих, иначе работать не будет.

2. L2TP IPSec VPN:

Выбираем диапазон адресов которые будут раздаваться клиентам:

IP -> Pool -> добавить.

Создаем новый PPP профиль:

PPP -> Profiles -> Добавить.

Создаем нового пользователя.

PPP -> Secrets -> Добавить.

Включаем L2TP сервер:

PPP -> Interface -> L2TP Server.

Настраиваем firewall:

IP -> Firewall -> Filter Rules -> Добавить.

Поднимаем правило выше всех запрещающих, иначе работать не будет.

3. Open VPN:

3.1 Генерация сертификатов.

Скачиваем vpn-клиент с офсайта или отсюда. При установке ставим галкb openSSL uitlites и OpenVPN RSA Certificate Managements Scripts.

В папке с установленным клиентом есть папка easy-rsa в ней редактируем файл vars.bat.sample под себя. Пример:


set KEY_COUNTRY=RU
set KEY_PROVINCE=Moscow
set KEY_CITY=Moscow
set KEY_ORG=OpenVPN
set KEY_EMAIL=Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
set KEY_CN=server
set KEY_NAME=server
set KEY_OU=changeme
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234
 
Сохраняем файл под именем vars.bat.
 
Запускаем командную строку от имени администратора.

Переходим в каталог easy-rsa:

cd "C:\Program Files\OpenVPN\easy-rsa"

vars

clean-all

Генерируем корневой сертификат:

build-ca

На все вопросы жмем Enter.

Генерируем серверный сертификат:

build-key-server server

на вопросы "Sign the certificate?" и  "1 out of 1 certificate requests certified, commit?" отвечаем y, на остальные жмем  Enter.

Генерируем сертификат клиента:

build-key client

ответ на вопрос common name должен быть уникальным и не совпадать с другими сертификатами. (например client)  

на вопросы "Sign the certificate?" и  "1 out of 1 certificate requests certified, commit?" отвечаем y, на остальные жмем  Enter.

3.2. Настройка Mikrotik.

Копируем файлы ca.crt, server.crt, server.key из папки keys на Mikrotik.

Импортируем сертификаты в последовательности ca.crt -> server.crt -> server.key:

System - Certificates - выбор сертификата - кнопка Import.

Выбираем диапазон адресов которые будут раздаваться клиентам:

IP -> Pool -> добавить.

Создаем новый PPP профиль:

PPP -> Profiles -> Добавить.

 

Включаем OVPN Сервер.

PPP -> Interface ->OVPN Server.

 Настраиваем Firewall.

 IP -> Firewall -> Filter Rules -> Добавить.

Поднимаем правило выше всех запрещающих, иначе работать не будет.

3.3. Настраиваем клиент.

Пример конфигурации клиента:


proto tcp-client
remote X.X.X.X # здесь внешний адрес нашего роутера
dev tap
nobind
persist-key
tls-client
ca ca.crt #указываем имя CA сертификата
cert client.crt #указываем имя сертификата клиента
key client.key # указываем имя файла-ключа для клиента
ping 10
verb 3 # уровень логирования
ns-cert-type server
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass auth.cfg
route  192.168.1.0 255.255.255.0 192.168.110.1 # эта строка задает маршрут, здесь 192.168.110.1 - адрес микротика из PPP-профиля, а 192.168.1.0 255.255.255.0 - сеть и маска сети.


В файле auth.cfg пишем логин пароль который вводили в Secrets. Например:


User1
pass0987654321


 Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

 
1 1 1 1 1 1 1 1 1 1 Рейтинг 0.00 [0 Голоса (ов)]

Комментарии   

 
0 #2 Sysadmin 11.04.2019 20:45
Цитирую Александр:
Добрый день! Понимаю, что кругом кросспостинг, но интересует такой момент как правильно запихать ключи из ca.crt , client.crt, client.key и файла auth чтобы сделать единый файл xxxxx.ovpn , закинув который в ovpn на ПК или Смартфоне сразу подцепил всё. Асус RT66 умеет так делать:(

Насколько помню, пихалось так:
https://tmie.ru/images/main/comm.jpg
Цитировать
 
 
0 #1 Александр 10.04.2019 13:50
Добрый день! Понимаю, что кругом кросспостинг, но интересует такой момент как правильно запихать ключи из ca.crt , client.crt, client.key и файла auth чтобы сделать единый файл xxxxx.ovpn , закинув который в ovpn на ПК или Смартфоне сразу подцепил всё. Асус RT66 умеет так делать:(
Цитировать
 

Добавить комментарий