0

Mikrotik OpenVPN Server

Jeżeli nie używasz jeszcze VPN’a, to najwyższy czas zacząć. Jest wiele zastosowań VPN’a, jednak najważniejsze to bezpieczeństwo. Nie odważyłbym się podłączyć do otwartego hotspotu, np. w kawiarni czy dworcu bez aktywnego połączenia VPN. Jest wiele dostawców usługi VPN, ale jeżeli posiadasz router Mikrotika taki serwer możesz postawić u siebie w domu czy też biurze. O samych zaletach i wadach VPN’a postaram się wam przybliżyć w następnym poście. Teraz skupimy się na konfiguracji Mikrotik OpenVPN Server.

Schemat połączeniowy

Mikrotik OpenVPN Server

Konfiguracja routera

Ponieważ OpenVPN bazuje na certyfikatach, zaczniemy od wygenerowania 3 certyfikatów. Dla serwera, klienta i certyfikat CA. Przechodzimy na zakładkę System->Certificates
Oczekiwany efekt powinien wyglądać tak:
Mikrotik OpenVPN Server

Generowanie certyfikatu CA
Zaczniemy od wygenerowania własnego CA, którym w późniejszym etapie podpiszemy certyfikat dla klienta i serwera. Klikamy na znak plusa i uzupełniamy:
Mikrotik OpenVPN Server

  • Name: podajemy dowolnie
  • Common Name: nazwę domeny
  • Key Size: 4096
  • Days Valid: 3650, czyli 10 lat

Zakładka Key Usage, zaznaczamy tylko:
Mikrotik OpenVPN Server

  • key cert. sign
  • crl sign

Generowanie certyfikatu dla serwera
Mikrotik OpenVPN Server

  • Name: podajemy dowolnie
  • Common Name: *.grzegorzkowalik.com, czyli certyfikat typu wildcard
  • Key Size: 4096
  • Days Valid: 3650, czyli 10 lat

Zakładka Key Usage, zaznaczamy tylko:

  • digital signature
  • key enciphement
  • data enciphement
  • tls server

Generowanie certyfikatu dla klienta
Mikrotik OpenVPN Server

  • Name: podajemy dowolnie
  • Common Name: user.grzegorzkowalik.com
  • Key Size: 4096
  • Days Valid: 3650, czyli 10 lat

Zakładka Key Usage, zaznaczamy tylko:

  • tls client

Podpisywanie certyfikatów

Po wygenerowaniu certyfikatu dla serwera i klienta musimy je podpisać naszym certyfikatem CA. Czas podpisywania zależy od CPU routera, i może zająć nawet kilkanaście minut. Certyfikaty możemy podpisać na dwa sposoby. Za pomocą terminala oraz z poziomu winbox’a. W przypadku skorzystania z terminala możecie otrzymać timeout dlatego warto dodatkowo włączyć podgląd zużycia CPU i poczekać, aż zjedzie ze 100%.
Mikrotik OpenVPN Server
CA tworzymy za pomocą terminala: sign CA-Cert name=CA-Certificate
Kolejne podpiszemy za pomocą winboxa klikając prawym myszy na certyfikacie i sign.
Mikrotik OpenVPN Server
przy podpisywaniu certyfikatu dla klienta podajemy dowolne hasło.

Eksport certyfikatów

Klient OpenVPN do poprawnej pracy potrzebuje certyfikatów(CA, klient i key). Klikamy prawym myszy na CA i wciskamy Eksport. Analogicznie postępujemy przy certyfikacie dla klienta. Jeżeli wszystko poprawnie zrobiliście, po przejściu na Files, powinny się pojawić trzy nowe pliki.
Mikrotik OpenVPN Server
Za pomocą drag&drop przenosimy pliki na dysk.

Przygotowanie adresacji dla klientów VPN

Tworzymy osobną pulę adresową dedykowaną dla połączeń VPN. Klikamy na IP->pool i dodajemy nową pulę.
Mikrotik OpenVPN Server

Konfiguracja serwera OpenVPN

Przechodzimy na PPP zakładka Profiles i dodajemy profil dla klientów VPN.
Mikrotik OpenVPN Server
Uzupełniamy:

  • Name: podajemy dowolnie
  • Local Address: w tej samej sieci co wcześniej stworzona pula. Np. 10.0.0.1
  • Remote Address: wybieramy pulę vpn
  • DNS Server: podajemy wewnętrzny adres routera

w zakładce Protocols zaznaczamy Use Encryption na required
Mikrotik OpenVPN Server
Przechodzimy na zakładkę Secrets i znakiem plusa dodajemy nowe konto. Ważne jest, aby nazwa konta była taka sam jak przy tworzeniu certyfikatu z pola Common Name, ale bez domeny.
Przy tworzeniu certyfikatu podałem nazwę user.grzegorzkowalik.com dlatego konto secret ustawiam na samo user, z dowolnym hasłem.

  • Service: wybieramy ovpn
  • Profile: wcześniej utworzony profil, czyli openvpn

Pozostaje nam jeszcze włączenie serwera, w tym celu przechodzimy na zakładkę Interface, będąc oczywiście dalej w PPP
Mikrotik OpenVPN Server

Konfiguracja Firewall’a

Ostatnia z rzeczy jakie musimy ustawić na Mikrotiku to odblokowanie portu 1194 dla połączeń przychodzących. Przechodzimy na IP->Firewall, dodajemy nową regułę:

  • Chain: wybieramy input
  • Protocol: tcp
  • Dst. Port: 1194
  • Action: accept

Mikrotik OpenVPN Server

Konfiguracja klienta OpenVPN

Zaczynamy od pobrania klienta OpenVPN, najlepiej z oficjalnej strony. Po instalacji dodajemy certyfikaty i plik z konfiguracją. W zależności od systemu operacyjnego może to być C:\Users\nazwa_usera\OpenVPN\config albo C:\Program Files\OpenVPN\config.
Plik z konfiguracją .ovpn powinien wyglądać mniej więcej tak:

client
dev tun
proto tcp
remote grzegorzkowalik.com 1194 #podajemy adres IP serwera
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user.crt
key user.key
remote-cert-tls server
cipher AES-256-CBC
auth SHA1
auth-user-pass
redirect-gateway def1
verb 3

Mikrotik OpenVPN Server

Grzegorz Kowalik

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Captcha * Time limit is exhausted. Please reload the CAPTCHA.