Mainos / Advertisement:

RouterOS OpenVPN

Kohteesta Taisto
Versio hetkellä 22. maaliskuuta 2015 kello 16.03 – tehnyt Minh (keskustelu | muokkaukset) (→‎Konfigurointi)
Siirry navigaatioon Siirry hakuun

RouterOS on mahdollista tehdä OpenVPN palvelin ja asiakas. OpenVPN on yksi maailman turvallisimmista VPN tunneli protokolista.

Palvelin

Tässä ohjeessa tehdään Mikrotikin reitittimeen OpenVPN palvelin.

Vaatimukset / Suositukset

  • SSL juurisertifikaatti (CA)
  • SSL palvelin sertifikaatti
  • SSL asiakas sertifikaatti (suositus tehdä valmiiksi)
  • Testattu Mikrotik RB951G-2HnD ja RouterOS 6.26

Konfigurointi

1. Luo SSL sertifikaatit ensin, esimerkiksi OpenSSL:n avulla ja siirrä se Winboxin avulla, vetämällä hiirellä Winboxin päälle.

Importetaan sertifikaatti avain ja sertifikaatti RouterOS:n.

/certificates import file-name=ssl.key
/certificates import file-name=ssl.crt

RouterOS import ssl cert 1.png

2. Luo DHCP Pool (jos haluat siltaavaksi voit ohittaa tämän kohdan)

  /ip pool add name=ovpn-pool ranges=10.15.32.34-10.15.32.38
  • DHCP poolin nimi on ovpn-pool
  • Poolin alue on 10.15.32.34-10.15.32.38

3. Luodaan reititys OpenVPN verkosta lähiverkkoon (jos haluat siltaavaksi, voit ohittaa tämän kohdan)

 /ip firewall nat add chain=srcnat  out-interface=ether2 action=masquerade

Luodaan NAT ether2 interfaceen

4. Luodaan OpenVPN profiili

 /ppp profile add name=openvpn local-address=10.15.32.33 remote-address=ovpn-pool 
  • Profiilin nimi on openvpn
  • Paikallinen IP-osoite on 10.15.32.33
  • VPN asiakkaille annetaan etä IP-osoitteeksi ovpn-poolista (DHCP)
  • Saat siltauksen poistamalla local-address ja remote-address korvaamalla tämä bridge=bridge-local, esimerkki:
 /ppp profile add name=openvpn_bridge bridge=bridge-local

5. Luo VPN käyttäjä

 /ppp secret add disabled=no   name="openvpn" password="Qwerty1" service=any
  • Käyttäjänimi: openvpn
  • Salasana: Qwerty1
  • Palvelut jota tunnusta voi käyttää: Openvpn

6. OpenVPN palvelimen konfiguraatio

 /interface ovpn-server server set auth=sha1, certificate=ssl_cert cipher=aes128,aes256 default-profile=openvpn enabled=yes keepalive-timeout=60 max-mtu=1500 mode=ip netmask=29 port=1194 require client-certificate=no
  • Todennustapa: SHA1
  • SSL sertifikaatti: ssl-cert
  • SSL Chipper: AES128, AES256
  • Opetusprofiili: openvpn (4. vaiheessa luotu profiili)
  • Keepalive-timeout=60
  • MAX-MTU (paketin koko): 1500
  • mode=ip
  • require client-certificate=no (jos on asiakas sertifikaatti, niin laita yes)

5. Salli asiakas laitteen muodostamisen OpenVPN palvelimeen palomuurista

 /ip firewall filter add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp

Luodaan uusi palomuurisääntö jossa sallitaan protokolassa TCP porttiin 1194 yhdistämisen.

Mainos / Advertisement: