Jeżeli nie używasz jeszcze VPN’a, to najwyższy czas zacząć. Jest wiele zastosowań VPN’a, jednak najważniejsze to bezpieczeństwo. Nie odważyłbym się podłączyć do otwartego hotspotu, np. w kawiarni czy dworcu bez aktywnego połączenia VPN. Jest wiele dostawców usługi VPN, ale jeżeli posiadasz router Mikrotika taki serwer możesz postawić u siebie w domu czy też biurze. O samych zaletach i wadach VPN’a postaram się wam przybliżyć w następnym poście. Teraz skupimy się na konfiguracji Mikrotik OpenVPN Server.
Schemat połączeniowy
Konfiguracja routera
Ponieważ OpenVPN bazuje na certyfikatach, zaczniemy od wygenerowania 3 certyfikatów. Dla serwera, klienta i certyfikat CA. Przechodzimy na zakładkę System->Certificates
Oczekiwany efekt powinien wyglądać tak:
Generowanie certyfikatu CA
Zaczniemy od wygenerowania własnego CA, którym w późniejszym etapie podpiszemy certyfikat dla klienta i serwera. Klikamy na znak plusa i uzupełniamy:
- Name: podajemy dowolnie
- Common Name: nazwę domeny
- Key Size: 4096
- Days Valid: 3650, czyli 10 lat
Zakładka Key Usage, zaznaczamy tylko:
- key cert. sign
- crl sign
Generowanie certyfikatu dla serwera
- Name: podajemy dowolnie
- Common Name: *.grzegorzkowalik.com, czyli certyfikat typu wildcard
- Key Size: 4096
- Days Valid: 3650, czyli 10 lat
Zakładka Key Usage, zaznaczamy tylko:
- digital signature
- key enciphement
- data enciphement
- tls server
Generowanie certyfikatu dla klienta
- Name: podajemy dowolnie
- Common Name: user.grzegorzkowalik.com
- Key Size: 4096
- Days Valid: 3650, czyli 10 lat
Zakładka Key Usage, zaznaczamy tylko:
- tls client
Podpisywanie certyfikatów
Po wygenerowaniu certyfikatu dla serwera i klienta musimy je podpisać naszym certyfikatem CA. Czas podpisywania zależy od CPU routera, i może zająć nawet kilkanaście minut. Certyfikaty możemy podpisać na dwa sposoby. Za pomocą terminala oraz z poziomu winbox’a. W przypadku skorzystania z terminala możecie otrzymać timeout dlatego warto dodatkowo włączyć podgląd zużycia CPU i poczekać, aż zjedzie ze 100%.
CA tworzymy za pomocą terminala: sign CA-Cert name=CA-Certificate
Kolejne podpiszemy za pomocą winboxa klikając prawym myszy na certyfikacie i sign.
przy podpisywaniu certyfikatu dla klienta podajemy dowolne hasło.
Eksport certyfikatów
Klient OpenVPN do poprawnej pracy potrzebuje certyfikatów(CA, klient i key). Klikamy prawym myszy na CA i wciskamy Eksport. Analogicznie postępujemy przy certyfikacie dla klienta. Jeżeli wszystko poprawnie zrobiliście, po przejściu na Files, powinny się pojawić trzy nowe pliki.
Za pomocą drag&drop przenosimy pliki na dysk.
Przygotowanie adresacji dla klientów VPN
Tworzymy osobną pulę adresową dedykowaną dla połączeń VPN. Klikamy na IP->pool i dodajemy nową pulę.
Konfiguracja serwera OpenVPN
Przechodzimy na PPP zakładka Profiles i dodajemy profil dla klientów VPN.
Uzupełniamy:
- Name: podajemy dowolnie
- Local Address: w tej samej sieci co wcześniej stworzona pula. Np. 10.0.0.1
- Remote Address: wybieramy pulę vpn
- DNS Server: podajemy wewnętrzny adres routera
w zakładce Protocols zaznaczamy Use Encryption na required
Przechodzimy na zakładkę Secrets i znakiem plusa dodajemy nowe konto. Ważne jest, aby nazwa konta była taka sam jak przy tworzeniu certyfikatu z pola Common Name, ale bez domeny.
Przy tworzeniu certyfikatu podałem nazwę user.grzegorzkowalik.com dlatego konto secret ustawiam na samo user, z dowolnym hasłem.
- Service: wybieramy ovpn
- Profile: wcześniej utworzony profil, czyli openvpn
Pozostaje nam jeszcze włączenie serwera, w tym celu przechodzimy na zakładkę Interface, będąc oczywiście dalej w PPP
Konfiguracja Firewall’a
Ostatnia z rzeczy jakie musimy ustawić na Mikrotiku to odblokowanie portu 1194 dla połączeń przychodzących. Przechodzimy na IP->Firewall, dodajemy nową regułę:
- Chain: wybieramy input
- Protocol: tcp
- Dst. Port: 1194
- Action: accept
Konfiguracja klienta OpenVPN
Zaczynamy od pobrania klienta OpenVPN, najlepiej z oficjalnej strony. Po instalacji dodajemy certyfikaty i plik z konfiguracją. W zależności od systemu operacyjnego może to być C:\Users\nazwa_usera\OpenVPN\config albo C:\Program Files\OpenVPN\config.
Plik z konfiguracją .ovpn powinien wyglądać mniej więcej tak:
client
dev tun
proto tcp
remote grzegorzkowalik.com 1194 #podajemy adres IP serwera
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user.crt
key user.key
remote-cert-tls server
cipher AES-256-CBC
auth SHA1
auth-user-pass
redirect-gateway def1
verb 3
