Jeżeli nie używasz jeszcze VPN’a, to najwyższy czas zacząć. Jest wiele zastosowań VPN’a, jednak najważniejsze to bezpieczeństwo. Nie odważyłbym się podłączyć do otwartego hotspotu, np. w kawiarni czy dworcu bez aktywnego połączenia VPN. Jest wiele dostawców usługi VPN, ale jeżeli posiadasz router Mikrotika taki serwer możesz postawić u siebie w domu czy też biurze. O samych zaletach i wadach VPN’a postaram się wam przybliżyć w następnym poście. Teraz skupimy się na konfiguracji Mikrotik OpenVPN Server.
Schemat połączeniowy
Konfiguracja routera
Ponieważ OpenVPN bazuje na certyfikatach, zaczniemy od wygenerowania 3 certyfikatów. Dla serwera, klienta i certyfikat CA. Przechodzimy na zakładkę System->Certificates
Oczekiwany efekt powinien wyglądać tak:
Generowanie certyfikatu CA
Zaczniemy od wygenerowania własnego CA, którym w późniejszym etapie podpiszemy certyfikat dla klienta i serwera. Klikamy na znak plusa i uzupełniamy:
- Name: podajemy dowolnie
- Common Name: nazwę domeny
- Key Size: 4096
- Days Valid: 3650, czyli 10 lat
Zakładka Key Usage, zaznaczamy tylko:
- key cert. sign
- crl sign
Generowanie certyfikatu dla serwera
- Name: podajemy dowolnie
- Common Name: *.grzegorzkowalik.com, czyli certyfikat typu wildcard
- Key Size: 4096
- Days Valid: 3650, czyli 10 lat
Zakładka Key Usage, zaznaczamy tylko:
- digital signature
- key enciphement
- data enciphement
- tls server
Generowanie certyfikatu dla klienta
- Name: podajemy dowolnie
- Common Name: user.grzegorzkowalik.com
- Key Size: 4096
- Days Valid: 3650, czyli 10 lat
Zakładka Key Usage, zaznaczamy tylko:
- tls client
Podpisywanie certyfikatów
Po wygenerowaniu certyfikatu dla serwera i klienta musimy je podpisać naszym certyfikatem CA. Czas podpisywania zależy od CPU routera, i może zająć nawet kilkanaście minut. Certyfikaty możemy podpisać na dwa sposoby. Za pomocą terminala oraz z poziomu winbox’a. W przypadku skorzystania z terminala możecie otrzymać timeout dlatego warto dodatkowo włączyć podgląd zużycia CPU i poczekać, aż zjedzie ze 100%.
CA tworzymy za pomocą terminala: sign CA-Cert name=CA-Certificate
Kolejne podpiszemy za pomocą winboxa klikając prawym myszy na certyfikacie i sign.
przy podpisywaniu certyfikatu dla klienta podajemy dowolne hasło.
Eksport certyfikatów
Klient OpenVPN do poprawnej pracy potrzebuje certyfikatów(CA, klient i key). Klikamy prawym myszy na CA i wciskamy Eksport. Analogicznie postępujemy przy certyfikacie dla klienta. Jeżeli wszystko poprawnie zrobiliście, po przejściu na Files, powinny się pojawić trzy nowe pliki.
Za pomocą drag&drop przenosimy pliki na dysk.
Przygotowanie adresacji dla klientów VPN
Tworzymy osobną pulę adresową dedykowaną dla połączeń VPN. Klikamy na IP->pool i dodajemy nową pulę.
Konfiguracja serwera OpenVPN
Przechodzimy na PPP zakładka Profiles i dodajemy profil dla klientów VPN.
Uzupełniamy:
- Name: podajemy dowolnie
- Local Address: w tej samej sieci co wcześniej stworzona pula. Np. 10.0.0.1
- Remote Address: wybieramy pulę vpn
- DNS Server: podajemy wewnętrzny adres routera
w zakładce Protocols zaznaczamy Use Encryption na required
Przechodzimy na zakładkę Secrets i znakiem plusa dodajemy nowe konto. Ważne jest, aby nazwa konta była taka sam jak przy tworzeniu certyfikatu z pola Common Name, ale bez domeny.
Przy tworzeniu certyfikatu podałem nazwę user.grzegorzkowalik.com dlatego konto secret ustawiam na samo user, z dowolnym hasłem.
- Service: wybieramy ovpn
- Profile: wcześniej utworzony profil, czyli openvpn
Pozostaje nam jeszcze włączenie serwera, w tym celu przechodzimy na zakładkę Interface, będąc oczywiście dalej w PPP
Konfiguracja Firewall’a
Ostatnia z rzeczy jakie musimy ustawić na Mikrotiku to odblokowanie portu 1194 dla połączeń przychodzących. Przechodzimy na IP->Firewall, dodajemy nową regułę:
- Chain: wybieramy input
- Protocol: tcp
- Dst. Port: 1194
- Action: accept
Konfiguracja klienta OpenVPN
Zaczynamy od pobrania klienta OpenVPN, najlepiej z oficjalnej strony. Po instalacji dodajemy certyfikaty i plik z konfiguracją. W zależności od systemu operacyjnego może to być C:\Users\nazwa_usera\OpenVPN\config albo C:\Program Files\OpenVPN\config.
Plik z konfiguracją .ovpn powinien wyglądać mniej więcej tak:
client
dev tun
proto tcp
remote grzegorzkowalik.com 1194 #podajemy adres IP serwera
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user.crt
key user.key
remote-cert-tls server
cipher AES-256-CBC
auth SHA1
auth-user-pass
redirect-gateway def1
verb 3
Dzień dobry,
Świetny artykuł!
Mam kilka spostrzeżeń:
1. Można wygenerować jeden certyfikat klienta a dostęp dla poszczególnych użytkowników ustawić w PPP. Wszyscy użytkownicy mają ten sam certyfikat klienta (a co za tym idzie jeden plik profilu .ovpn, ale o tym w punkcie 3).
2. Można uniknąć pytania o hasło do klucza prywatnego (oprócz loginu i hasła). W tym celu trzeba wykonać:
openssl.exe rsa -in user.key -out user.key
3. Zamiast 4 plików (profil.ovpn, ca.cert, user.cert, user.key) można mieć jeden – profil.ovpn w nim sekcje:
W tych sekcjach należy wkleić odpowiednie certyfikaty (ca.cert, user.cert, user.key).
Z pliku profilu trzeba usunąć linie:
ca ca.crt
cert user.crt
key user.key
Pozdrawiam,
Bogusław Gębura
Dziękuje za przydatne uwagi:)
Widzę, że do komentarza nie wkleiły się sekcje. Hmmm… Jak to napisać?
znak mniejszośći ca znak większości
znak mniejszośći /ca znak większości
znak mniejszośći cert znak większości
znak mniejszośći /cert znak większości
znak mniejszośći key znak większości
znak mniejszośći /key znak większości
Tagi w komentarzach są filtrowane.
Witam, walczę z OpenVPN wg Pana poradnika i pawie się udało ale…
Tue May 15 22:09:56 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue May 15 22:09:56 2018 TLS Error: TLS handshake failed
Tue May 15 22:09:56 2018 Fatal TLS error (check_tls_errors_co), restarting
Mogę liczyć na drobną pomoc? Mogę przesłać cały log i plik konfiguracji ovpn
Sprawdź czy na pewno port 1194 jest odblokowany.
Tak, na mikrotiku w chain input jest accept na 1194 i TCP. Wg licznika przepuścił 66 pakietów.
Router jest za modemem/routerem LTE ale Mikrotik jest w strefie DMZ
Modem LTE jest z hlinkiem? Jaki dostajesz adres wanowy??
Podpowie ktoś jak skonfigurować klienta aby w tej konfiguracji przez tunel vpn łączył się tylko z jednym hostem bądz z konkretną siecią natomiast internet był dostępny przez łącze lokalne.
Wszystko zależy od routingu. Pokaż jak masz skonfigurowany teraz routing.
Witam, mam problem z zestawieniem sesji cały czas zapętla się jak w logu poniżej uprzejmie proszę o pomoc
Tue Jun 19 10:21:52 2018 MANAGEMENT: >STATE:1529396512,RESOLVE,,,,,,
Tue Jun 19 10:21:52 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]188.125.56.5:1194
Tue Jun 19 10:21:52 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Jun 19 10:21:52 2018 Attempting to establish TCP connection with [AF_INET]188.125.56.5:1194 [nonblock]
Tue Jun 19 10:21:52 2018 MANAGEMENT: >STATE:1529396512,TCP_CONNECT,,,,,,