Mainos / Advertisement:

Ero sivun ”RouterOS OpenVPN” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
Rivi 78: Rivi 78:
  
 
[[Category:RouterOS]]
 
[[Category:RouterOS]]
 +
[[Category:VPN]]

Versio 8. toukokuuta 2015 kello 14.03

RouterOS on mahdollista tehdä OpenVPN palvelin ja asiakas. OpenVPN on yksi maailman turvallisimmista VPN tunneli protokolista.

Palvelin

Tässä ohjeessa tehdään Mikrotikin reitittimeen OpenVPN palvelin.

Vaatimukset / Suositukset

  • SSL juurisertifikaatti (CA)
  • SSL palvelin sertifikaatti
  • SSL asiakas sertifikaatti (suositus tehdä valmiiksi)
  • Testattu Mikrotik RB951G-2HnD ja RouterOS 6.26

Konfigurointi

1. Luo SSL sertifikaatit ensin, esimerkiksi OpenSSL:n avulla ja siirrä se Winboxin avulla, vetämällä hiirellä Winboxin päälle.

Importetaan sertifikaatti avain ja sertifikaatti RouterOS:n. 

/certificates import file-name=ssl.key

/certificates import file-name=ssl.crt

RouterOS import ssl cert 1.png

2. Luo DHCP Pool (jos haluat siltaavaksi voit ohittaa tämän kohdan) 

  /ip pool add name=ovpn-pool ranges=10.15.32.34-10.15.32.38
  • DHCP poolin nimi on ovpn-pool
  • Poolin alue on 10.15.32.34-10.15.32.38

3. Luodaan reititys OpenVPN verkosta lähiverkkoon (jos haluat siltaavaksi, voit ohittaa tämän kohdan) 

 /ip firewall nat add chain=srcnat  out-interface=ether2 action=masquerade

Luodaan NAT ether2 interfaceen

4. Luodaan OpenVPN profiili 

 /ppp profile add name=openvpn local-address=10.15.32.33 remote-address=ovpn-pool
  • Profiilin nimi on openvpn
  • Paikallinen IP-osoite on 10.15.32.33
  • VPN asiakkaille annetaan etä IP-osoitteeksi ovpn-poolista (DHCP)
  • Saat siltauksen poistamalla local-address ja remote-address korvaamalla tämä bridge=bridge-local, esimerkki:
 /ppp profile add name=openvpn_bridge bridge=bridge-local

5. Luo VPN käyttäjä 

 /ppp secret add disabled=no   name="openvpn" password="Qwerty1" service=any
  • Käyttäjänimi: openvpn
  • Salasana: Qwerty1
  • Palvelut jota tunnusta voi käyttää: Openvpn

6. OpenVPN palvelimen konfiguraatio 

 /interface ovpn-server server set auth=sha1, certificate=ssl_cert cipher=aes128,aes256 default-profile=openvpn enabled=yes keepalive-timeout=60 max-mtu=1500 mode=ip netmask=29 port=1194 require client-certificate=no
  • Todennustapa: SHA1
  • SSL sertifikaatti: ssl-cert
  • SSL Chipper: AES128, AES256
  • Opetusprofiili: openvpn (4. vaiheessa luotu profiili)
  • Keepalive-timeout=60
  • MAX-MTU (paketin koko): 1500
  • mode=ip
  • require client-certificate=no (jos on asiakas sertifikaatti, niin laita yes)

5. Salli asiakas laitteen muodostamisen OpenVPN palvelimeen palomuurista 

 /ip firewall filter add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp

Luodaan uusi palomuurisääntö jossa sallitaan protokolassa TCP porttiin 1194 yhdistämisen.

Noudettu kohteesta ”https://taisto.org/index.php?title=RouterOS_OpenVPN&oldid=5988
Mainos / Advertisement: