Настройка клиента OpenVPN Mikrotik для Windows
Обновлено: 21.11.2024
Это руководство поможет вам настроить OpenVPN в маршрутизаторе Mikrotik, а также поможет удаленному пользователю войти на VPN-сервер головного офиса и работать удаленно. OpenVPN ничем не отличается от других типов VPN-сервисов, таких как PPTP, L2TP, SSTP.
OpnVPN можно использовать для VPN типа "сеть-сеть", а также можно настроить как модель VPN-сервер-клиент, когда удаленный пользователь может получить доступ к сети головного офиса, подключившись к VPN-серверу. OpenVPN обладает всеми функциями безопасности, поэтому он безопаснее, чем другие типы VPN.
В этом руководстве мы рассмотрим модель сервер-клиент OpenVPN, в которой удаленный пользователь подключается к сети головного офиса с помощью клиентского программного обеспечения openVPN с ПК с Windows. Для PPTP и L2TP в Windows доступны встроенные клиентские приложения VPN, но для OpenVPN необходимо использовать стороннее приложение.
Часть 1. Настройка сервера OpenVPN в маршрутизаторе MikroTik:
Для конфигурации сервера и клиента OpenVPN требуется сертификат SSL для безопасной связи. MikroTik RouterOS версии 6 и выше дает возможность создавать, хранить и управлять сертификатами в хранилище сертификатов. Итак, мы создадим сертификат OpenVPN из нашей RouterOS. Нам нужны три типа сертификатов для конфигурации сервера и клиента OpenVPN:
- Сертификат центра сертификации
- Сертификат сервера
- Клиентский сертификат
Создать сертификат ЦС:
Сначала мы создадим сертификат ЦС. Перейдите в систему > Сертификат
Нажмите знак +, чтобы добавить
Укажите имя ca и обычное имя ca. Перейдите на вкладку «Использование ключа» и снимите все флажки, кроме знак сертификата подлинности и сертификат ключа. знак.
Нажмите кнопку «Применить», а затем нажмите кнопку «Подписать». Теперь появится окно подписи. Имя вашего вновь созданного сертификата появится в раскрывающемся меню сертификата. Выберите только что созданный шаблон сертификата, если он не выбран. Теперь в поле CA CRL Host мы прописываем WAN-адрес нашего маршрутизатора 192.168.137.2. Нажмите кнопку подписи, и наш сертификат подписи будет создан.
Создание сертификата ЦС
Создать сертификат сервера:
Теперь на этом шаге мы создадим наш второй сертификат — сертификат сервера. Нажмите + подписать, чтобы добавить
Поместите сервер имен и общий сервер имен. Перейдите на вкладку "Использование ключа" и установите флажки цифровая подпись, шифрование ключа и сервер tls.
Нажмите кнопку «Применить», а затем нажмите кнопку «Подписать». Сертификат: сервер и ЦС являются сертификатом ЦС. Нажмите кнопку подписи, и наш сертификат подписи будет создан. Если флаг T или доверенное свойство не показывает никакого значения, дважды щелкните по нему и установите флажок для доверенного значения.
Создание сертификата сервера
Создать сертификат клиента:
Теперь в заключительной части мы создадим клиентский сертификат. Нажмите + подписать, чтобы добавить
Поместите имя клиента и общее имя клиента. Перейдите на вкладку "Использование ключа" и установите флажок только клиент tls.
Нажмите кнопку «Применить», а затем нажмите кнопку «Подписать». Сертификат: клиент и CA являются сертификатом CA. Нажмите кнопку подписи, и наш сертификат подписи будет создан.
Сертификат клиента
Экспорт CA и клиентских сертификатов
После создания сертификатов мы теперь экспортируем CA и сертификат клиента, чтобы клиент OpenVPN мог использовать этот сертификат.
Сервер OpenVPN будет использовать сертификат сервера из хранилища сертификатов MikroTik RouterOS. Но клиентский сертификат должен предоставляться клиенту OpenVPN. Итак, нам нужно экспортировать сертификат клиента и сертификат CA из хранилища сертификатов RouterOS.
Дважды щелкните сертификат ЦС. Нажмите на экспорт. Этот файл теперь хранится в разделе файлов mikrotik.
Теперь дважды щелкните еще раз. Нажмите на экспорт. В раскрывающемся списке выберите сертификат клиента. Теперь дайте пароль. Пароль должен состоять из 8 символов, и этот пароль необходимо указать, когда клиенту OpenVPN необходимо подключиться.
Нажмите кнопку экспорта, и наш сертификат клиента и файл ключа будут экспортированы в раздел файла маршрутизатора mikrotik.
Экспорт CA и клиентских сертификатов
Теперь проверяем из файлового раздела. Как видите, мы экспортировали два файла сертификата и один файл ключа.
Перетащите эти файлы на рабочий стол. Мы будем использовать эти файлы при настройке клиента OpenVPN
Загруженный файл сертификата ЦС
Сервер OpenVPN в маршрутизаторе Mikrotik:
После сертификата TLS теперь мы настроим сервер OpenVPN в Mikrotik Router.
Заходим в меню PPP. На вкладке интерфейса нажимаем на сервер OVPN. Certificate-Server мы выберем сертификат сервера и поставим галочку в этом поле требовать сертификат клиента. Для аутентификации мы будем использовать sha1. Для шифрования мы выберем aes256. Маршрутизатор Mikrotik поддерживает OpenVPN с TCP-портом 1194. Теперь установите этот флажок, чтобы включить эту службу.
Настройка сервера OpenVPN
Теперь нам нужно создать пользователя и пароль для удаленного пользователя. Для этого мы перейдем на вкладку секрет.
Создать пользователя OpenVPN
Часть 2. Настройка клиента OpenVPN в операционной системе Windows:
Теперь, чтобы настроить клиент OpenVPN, нам нужно загрузить стороннее приложение, поскольку в операционной системе Windows нет клиентских приложений OpenVPN, таких как L2TP или PPTP.
Теперь мы установим его.
Это приложение поможет нам подключиться к серверу OpenVPN. Теперь мы войдем в папку приложения OpenVPN. Откройте папку конфигурации. Теперь мы добавим файлы сертификата и ключа в папку конфигурации.
Мы должны создать файл с расширением .ovpn. Я копирую и вставляю шаблоны в файл блокнота и сохраняю его как client.ovpn.
Загрузить шаблон client.ovpn: Нажмите здесь, чтобы скачать
Сейчас я переименую файл — ca, client, client.key.
Нам нужен еще один файл для секрета, потому что мы поместили файл auth-user-pass в секрет. Таким образом, наша аутентификация пользователя и пароля должна храниться в файле с именем secret. Сейчас мы создадим этот секретный файл. Это имя пользователя и пароль будут использоваться для подключения к VPN-серверу.
Сохраните это как текстовый файл. Переименуйте его и не давайте расширения.
Файл OpenVPN в каталоге
Теперь щелкните правой кнопкой мыши значок на панели задач. Щелкните правой кнопкой мыши OpenVPN. Нажмите «Подключиться», и вам будет предложено указать пароль сертификата клиента, который вы указали во время экспорта сертификата клиента.
Значок клиента OpenVPN на панели задач
Предоставление пароля сертификата OpenVPN
После проверки пароля сертификата клиента, а также имени пользователя и пароля клиент OpenVPN будет подключен.
Статус подключения клиента OpenVPN
Если вы будете следовать до сих пор, вы сможете получить доступ к ресурсам вашего удаленного офиса с помощью клиента OpenVPN.
Технология VPN (виртуальная частная сеть) обеспечивает безопасный и зашифрованный туннель через общедоступную сеть. Таким образом, пользователь частной сети может отправлять и получать данные в любую удаленную частную сеть через VPN-туннель, как если бы его сетевое устройство было напрямую подключено к этой частной сети.
MikroTik OpenVPN Server обеспечивает безопасный и зашифрованный туннель через общедоступную сеть для передачи IP-трафика с использованием PPP. OpenVPN использует сертификаты SSL. Таким образом, OpenVPN Tunnel — это надежный туннель для отправки и получения данных через общедоступную сеть. MikroTik OpenVPN Server можно применить двумя способами.
- Подключение к удаленной рабочей станции/клиенту: в этом методе клиентское программное обеспечение OpenVPN, установленное на любой операционной системе, такой как Windows, может связываться с сервером MikroTik OpenVPN через туннель OpenVPN, когда это необходимо, и может получать доступ к удаленной частной сети, как если бы она была напрямую подключена к удаленной частной сети. сети.
- Site-to-Site OpenVPN: этот метод также известен как VPN между маршрутизаторами. В этом методе маршрутизатор, поддерживаемый клиентом OpenVPN, всегда устанавливает туннель OpenVPN с сервером MikroTik OpenVPN. Таким образом, частные сети этих маршрутизаторов могут взаимодействовать друг с другом, как если бы они были напрямую подключены к одному и тому же маршрутизатору.
Целью этой статьи является подключение удаленного клиента с помощью туннеля OpenVPN через общедоступную сеть. Итак, в этой статье я покажу только, как настроить MikroTik OpenVPN Server для подключения удаленной рабочей станции/клиента (Windows Client).
Сетевая схема
Чтобы настроить туннель MikroTik OpenVPN для подключения удаленной рабочей станции/клиента, я следую схеме сети, как показано на рисунке ниже.
В этой сети маршрутизатор MikroTik (RouterOS v6.38.1) подключен к Интернету через интерфейс ether1 с IP-адресом 192.168.30.2/30. В вашей реальной сети этот IP-адрес следует заменить общедоступным IP-адресом.Интерфейс ether2 маршрутизатора MikroTik подключен к локальной сети с IP-адресом 10.10.11.0/24. Мы настроим сервер OpenVPN на этом маршрутизаторе, и после настройки OpenVPN маршрутизатор создаст виртуальный интерфейс (туннель OpenVPN) в общедоступной сети, IP-адрес которого будет 10.10.11.1. С другой стороны, удаленный ноутбук (рабочая станция/клиент) подключен к Интернету и хочет подключиться к нашему серверу OpenVPN для доступа к ресурсам локальной сети. Мы настроим клиент OpenVPN на этом ноутбуке, и после установки туннеля OpenVPN через общедоступную сеть этот ноутбук получит локальный IP-адрес маршрутизатора MikroTik 10.10.11.10 и сможет получить доступ к частной сети маршрутизатора MikroTik.
Конфигурация сервера MikroTik OpenVPN
Теперь мы приступим к настройке OpenVPN Server. Полную настройку OpenVPN можно разделить на две части.
- Часть 1. Настройка сервера OpenVPN в маршрутизаторе MikroTik
- Часть 2. Настройка клиента OpenVPN в ОС Windows
Часть 1: Настройка сервера OpenVPN в маршрутизаторе MikroTik
Согласно нашей сетевой схеме маршрутизатор MikroTik является нашим сервером OpenVPN. Итак, мы установим и настроим OpenVPN Server в MikroTik Router. Полную настройку MikroTik RouterOS для OpenVPN Server можно разделить на пять шагов.
- Шаг 1. Базовая настройка маршрутизатора MikroTik
- Шаг 2. Создание SSL-сертификата для сервера и клиента OpenVPN
- Шаг 3. Настройка сервера OpenVPN
- Шаг 4. Создание секрета PPP для клиента OpenVPN
- Шаг 5. Включение прокси-ARP на интерфейсе локальной сети
Шаг 1. Базовая настройка маршрутизатора MikroTik
В базовой конфигурации маршрутизатора MikroTik мы назначим IP-адреса WAN, LAN и DNS, а также выполним настройку NAT и маршрутизации. Следующие шаги покажут, как сделать эти темы в вашей RouterOS.
- Войдите в MikroTik RouterOS с помощью winbox и перейдите в раздел IP > Адреса. В окне списка адресов нажмите ЗНАК ПЛЮС (+). В окне «Новый адрес» введите IP-адрес WAN (192.168.30.2/30) в поле ввода «Адрес», выберите интерфейс WAN (ether1) в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК». Снова нажмите ЗНАК ПЛЮС и введите IP-адрес LAN (10.10.11.1/24) в поле ввода адреса, выберите интерфейс LAN (ether2) в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК».
- Перейдите в раздел IP > DNS и введите IP-адрес DNS-серверов (8.8.8.8 или 8.8.4.4) в поле ввода "Серверы" и нажмите кнопку "Применить" и "ОК".
- Перейдите в раздел IP > Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+). На вкладке «Общие» выберите srcnat в раскрывающемся меню «Цепочка», нажмите вкладку «Действие», а затем выберите masquerade в раскрывающемся меню «Действие». Нажмите кнопку "Применить" и "ОК".
- Перейдите в раздел IP > Маршруты и нажмите ЗНАК ПЛЮС (+). В окне «Новый маршрут» щелкните поле ввода «Шлюз», введите адрес шлюза WAN (192.168.30.1) в поле ввода «Шлюз» и нажмите кнопку «Применить» и «ОК».
Базовая настройка RouterOS завершена. Теперь мы создадим сертификат SSL для сервера и клиента OpenVPN.
Шаг 2. Создание сертификата SSL для сервера и клиента OpenVPN
Для конфигурации сервера и клиента OpenVPN требуется сертификат SSL, поскольку OpenVPN использует сертификат SSL для безопасной связи. MikroTik RouterOS версии 6 дает возможность создавать, хранить и управлять сертификатами в хранилище сертификатов. Итак, мы создадим необходимый сертификат OpenVPN из нашей RouterOS. Для конфигурации сервера и клиента OpenVPN требуются сертификаты трех типов:
- Сертификат центра сертификации
- Сертификат сервера и
- Клиентский сертификат
Создание сертификата ЦС
Следующие шаги покажут, как создать сертификат CA в MikroTik RouterOS.
- Перейдите в пункт меню «Система» > «Сертификаты» в Winbox, щелкните вкладку «Сертификаты», а затем нажмите «Плюс» (+). Появится окно нового сертификата.
- Укажите имя сертификата ЦС (например: ca) в поле ввода имени. Также укажите общее имя сертификата (например: ca) в поле ввода Общее имя.
- На вкладке "Общие" вы найдете несколько необязательных полей. Вы можете заполнить, если хотите. Все поля определяются самостоятельно.
- Перейдите на вкладку "Использование ключа" и снимите все флажки, кроме знак сертификата подлинности и сертификат ключа. подписать
- Нажмите кнопку «Применить», а затем нажмите кнопку «Подписать». Появится окно подписи.
- Ваш недавно созданный шаблон сертификата появится в раскрывающемся меню сертификата. Выберите только что созданный шаблон сертификата, если он не выбран.
- Укажите IP-адрес MikroTik Router в глобальной сети (192.168.30.2) в поле ввода CA CRL Host.
- Нажмите кнопку «Подписать». Ваш сертификат Sign будет создан в течение нескольких секунд.
- Нажмите кнопку "ОК", чтобы закрыть окно "Новый сертификат".
- Если для вновь созданного сертификата CA не отображается флаг T или для свойства Trusted отображается значение no, дважды щелкните свой сертификат CA и установите флажок Trusted в нижней части вкладки General, а затем нажмите Apply и кнопку ОК.
Сертификат ЦС успешно создан. Теперь мы создадим сертификат сервера.
Создание сертификата сервера
Следующие шаги покажут, как создать сертификат сервера в MikroTik RouterOS.
- Снова нажмите ЗНАК ПЛЮС (+). Появится окно нового сертификата.
- Укажите имя сертификата вашего сервера (например, server) в поле ввода имени. Также введите общее имя сертификата (например, сервер) в поле ввода Общее имя.
- Если вы поместили какие-либо необязательные поля для сертификата ЦС, поместите их и здесь.
- Перейдите на вкладку "Использование ключа" и снимите все флажки, кроме цифровая подпись, шифрование ключа и сервер tls
- Нажмите кнопку «Применить», а затем нажмите кнопку «Подписать». Появится окно подписи.
- Шаблон сертификата, созданный вашим новым сервером, появится в раскрывающемся меню сертификата. Выберите только что созданный шаблон сертификата, если он не выбран.
- Также выберите сертификат ЦС в раскрывающемся меню ЦС.
- Нажмите кнопку «Подписать». Ваш сертификат Sign будет создан в течение нескольких секунд.
- Нажмите кнопку "ОК", чтобы закрыть окно "Новый сертификат".
- Если для вновь созданного сертификата сервера не отображается флаг T или для свойства Trusted отображается значение no, дважды щелкните сертификат сервера и установите флажок Trusted в нижней части вкладки General, а затем нажмите Apply и кнопку ОК.
Сертификат сервера успешно создан. Теперь мы создадим клиентский сертификат.
Создание сертификата клиента
Следующие шаги покажут, как создать сертификат клиента в MikroTik RouterOS.
- Снова нажмите ЗНАК ПЛЮС (+). Появится окно нового сертификата.
- Укажите имя сертификата клиента (например, клиент) в поле ввода имени. Также укажите общее имя сертификата (например, клиент) в поле ввода Общее имя.
- Если вы поместили какие-либо необязательные поля для сертификата ЦС, поместите их и здесь.
- Перейдите на вкладку "Использование ключа" и снимите все флажки, кроме клиент tls .
- Нажмите кнопку «Применить», а затем нажмите кнопку «Подписать». Появится окно подписи.
- Вновь созданный шаблон сертификата клиента появится в раскрывающемся меню сертификатов. Выберите только что созданный шаблон сертификата, если он не выбран.
- Также выберите сертификат ЦС в раскрывающемся меню ЦС.
- Нажмите кнопку «Подписать». Ваш сертификат Sign будет создан в течение нескольких секунд.
- Нажмите кнопку "ОК", чтобы закрыть окно "Новый сертификат".
- Для сертификата клиента не требуется флаг T.
Клиентский сертификат успешно создан. Теперь мы экспортируем сертификаты CA и Client, чтобы клиент OpenVPN мог использовать этот сертификат.
Экспорт сертификатов ЦС и клиентов
Сервер OpenVPN будет использовать сертификат сервера из хранилища сертификатов MikroTik RouterOS. Но клиентский сертификат должен предоставляться клиенту OpenVPN. Итак, нам нужно экспортировать сертификат клиента, а также сертификат CA из хранилища сертификатов RouterOS. Следующие шаги покажут, как экспортировать сертификат ЦС и сертификат клиента из хранилища сертификатов MikroTik.
- Дважды щелкните свой сертификат ЦС, а затем нажмите кнопку «Экспорт» на правой панели. Появится окно экспорта.
- Выберите свой сертификат ЦС в раскрывающемся меню Сертификат.
- Нажмите кнопку «Экспорт». Ваш сертификат ЦС будет экспортирован, и окно экспорта будет закрыто. Ваш экспортированный сертификат ЦС будет сохранен в списке файлов.
- Снова нажмите кнопку «Экспорт» на правой панели и выберите сертификат клиента в раскрывающемся меню «Сертификат».
- Укажите пароль в поле ввода Экспортной фразы-пароля. Пароль должен состоять не менее чем из 8 символов, и этот пароль должен быть введен при подключении клиента OpenVPN.
- Нажмите кнопку «Экспорт». Сертификат клиента и файл ключа будут экспортированы в список файлов.
- Теперь нажмите на меню «Файлы» на левой панели меню Winbox. Здесь вы найдете два файла сертификата (.crt) и один ключ (.key).
- Перетащите эти три файла в папку на рабочем столе. Мы будем использовать эти файлы при настройке клиента OpenVPN.
Создание сертификата SSL для сервера и клиента OpenVPN завершено. Теперь мы настроим наш сервер OpenVPN в маршрутизаторе MikroTik.
Шаг 3. Настройка сервера OpenVPN в маршрутизаторе MikroTik
После создания SSL-сертификата мы теперь можем включить OpenVPN Server в MikroTik Router. Следующие шаги покажут, как включить OpenVPN Server на маршрутизаторе MikroTik с правильной настройкой.
- Выберите пункт меню PPP в Winbox, а затем перейдите на вкладку "Интерфейс".
- Нажмите кнопку "Сервер OVPN". Появится окно сервера OVPN.
- Установите флажок Включено.
- В раскрывающемся меню Сертификат выберите сертификат сервера, который мы создали ранее. Также установите флажок «Требовать сертификат клиента».
- От авт. Panel снимите все флажки, кроме sha1.
- На панели "Шифрование" снимите все флажки, кроме aes 256.
- Теперь нажмите кнопку "Применить" и "ОК".
Сервер OpenVPN теперь работает в MikroTik Router. Теперь мы создадим пользователя OpenVPN, который будет подключен к этому серверу.
Шаг 4. Создание секрета PPP для клиента OpenVPN
После настройки OpenVPN Server нам нужно создать пользователя OpenVPN, который будет подключен к OpenVPN Server. OpenVPN Server использует пользователя PPP для аутентификации. Итак, теперь мы создадим секрет PPP (имя пользователя и пароль) для клиента OpenVPN. Следующие шаги покажут, как создать секрет PPP в MikroTik Router.
- Выберите пункт меню PPP в Winbox, а затем перейдите на вкладку Секреты.
- Нажмите ЗНАК ПЛЮС (+). Появится новое окно PPP Secret.
- Введите имя пользователя (например: sayeed) в поле ввода имени и пароль в поле ввода пароля. Это имя пользователя и пароль потребуются во время настройки клиента OpenVPN.
- Выберите ovpn в раскрывающемся меню «Сервис».
- Поместите IP-адрес шлюза (10.10.11.1) в поле ввода «Локальный адрес» и укажите IP-адрес локальной сети (10.10.11.10), который будет назначен клиентской рабочей станции, когда этот пользователь будет подключен, в поле ввода «Удаленный адрес».
- Нажмите кнопку "Применить" и "ОК".
Пользователь PPP, который будет подключаться с удаленного клиентского компьютера, создан. В этот момент, если пользователь подключится с удаленного клиентского компьютера и попытается выполнить эхо-запрос на любую рабочую станцию с удаленного компьютера, время ожидания пинга истечет, поскольку удаленный клиент не сможет получить ARP-запросы с рабочих станций. Решение состоит в том, чтобы настроить proxy-arp на интерфейсе LAN.
Шаг 4. Включение прокси-ARP на интерфейсе локальной сети
Следующие шаги покажут, как включить proxy-arp на интерфейсе LAN.
- Нажмите на элемент меню Интерфейсы в Winbox, а затем нажмите на вкладку интерфейса.
- Дважды щелкните интерфейс локальной сети (ether2). Появится окно свойств интерфейса.
- На вкладке "Общие" выберите proxy-arp в раскрывающемся меню ARP.
- Нажмите кнопку "Применить" и "ОК".
После включения proxy-arp удаленный клиент может успешно получить доступ ко всем рабочим станциям в локальной сети за маршрутизатором.
Сервер MikroTik OpenVPN теперь полностью готов принять клиент OpenVPN. Итак, теперь мы настроим клиент OpenVPN в операционной системе Windows.
Часть 2. Настройка клиента OpenVPN в ОС Windows
После загрузки установите клиент OpenVPN в вашей операционной системе, следуя инструкциям. Процесс установки так же прост, как установка другого программного обеспечения в операционной системе Windows.
После установки клиента OpenVPN перейдите в расположение файла конфигурации (по умолчанию: C:\Program Files\OpenVPN\config или C:\Program Files (x86)\OpenVPN\config< /em> в зависимости от вашей операционной системы) и следуйте приведенным ниже инструкциям, чтобы настроить клиент OpenVPN.
Среда, 06 июня 2018 г., 0:58
Привет, ребята,
Мне нужна помощь! У меня в офисе есть RB951, и по этому маршруту я настроил Openvpn Server. Я считаю, что конфигурация в порядке, потому что, когда я подключаюсь к клиенту Windows, туннель стабилизируется. Но у меня нет доступа ни к одной ресурсной сети.
Поищите в Интернете некоторые документы и учебные пособия, это нормально.
У кого-нибудь была такая же проблема или какие-нибудь советы, которые могли бы мне помочь? Я уже настроил маршрут на Windows-клиенте, и даже тогда у меня нет доступа к сети за Mikrotik.
6 июня 2018 г., 1:23
Если режим моста (нажмите), то:
Если у вас мост1, отредактируйте интерфейс и установите режим arp на прокси.
Если у вас нет моста 1, отредактируйте ether2 и установите режим arp на прокси.
Можете хотя бы пропинговать адрес Mikrotik?
Среда, 6 июня 2018 г., 20:00
Если режим моста (нажмите), то:
Если у вас мост1, отредактируйте интерфейс и установите режим arp на прокси.
Если у вас нет моста 1, отредактируйте ether2 и установите режим arp на прокси.
Можете хотя бы пропинговать адрес Mikrotik?
Привет, Van9018
У меня есть один мост, но я использую его для другой функции.
Для понимания конфигурация RB выглядит следующим образом:
Ether1 - Интернет-канал
Ehter2 - Интернет-канал (отказоустойчивость)
Ehter3 - Lan Dados
Ether4 - (Lan Voip)
Ehter5 — точка доступа
Я пингую пул VPN, который я создал для распространения среди клиентов, подключающихся к VPN, и пингую общедоступный IP-адрес, который я подключаю к VPN.
Мне нужно создать статический маршрут, чтобы соединить мою локальную сеть VPN с локальной сетью Office?
Спасибо за помощь!
Среда, 06 июня 2018 г., 22:42
Ваши две локальные сети должны быть отдельными подсетями.
На микротике SERVER входящее соединение OVPN создает динамический интерфейс. При разрыве связи интерфейс исчезает. Для применения маршрутизации вам нужен статический интерфейс.
Создайте интерфейс сервера OVPN, он понадобится для каждого удаленного сайта. Введите имя пользователя подключающегося OVPN-соединения в поле «Пользователь». Когда входящее соединение использует это имя пользователя, этот статический интерфейс используется для ссылки на это соединение.
Затем перейдите в «Маршруты» и создайте маршрут. Адрес dst должен быть вашей удаленной локальной сетью (т.е. 192.168.2.0/24), Gateway будет созданным вами статическим интерфейсом OVPN.
Теперь пакеты, предназначенные для удаленной локальной сети, знают, что они проходят через соединение OVPN.
На микротике КЛИЕНТ также необходимо создать маршрут.
Дст. Адрес должен быть удаленной локальной сетью, шлюзом будет ваш клиентский интерфейс OVPN. Этот интерфейс по умолчанию является статическим для клиентских VPN-подключений.
Вот как работают мои сайты SSTP и PPTP. Реализация OpenVPN в Mikrotik ограничена использованием NET30 в качестве топологии, я не уверен, как это повлияет на приведенную выше конфигурацию.
Наконец, для VPN типа "сеть-сеть" вы можете максимально использовать ЦП вашего маршрутизатора при использовании OVPN (или SSTP). Я могу получить только 3–5 Мбит/с, прежде чем маршрутизатор перегрузится и перестанет отвечать.
Если ваш RB поддерживает аппаратное ускорение (Hex поддерживает), рассмотрите возможность использования IPSec или IPSec/GRE. Аппаратное ускорение используется только в IPSec.
Чт, 07 июня 2018 г., 0:06
Ваши две локальные сети должны быть отдельными подсетями.
На микротике SERVER входящее соединение OVPN создает динамический интерфейс. При разрыве связи интерфейс исчезает. Для применения маршрутизации вам нужен статический интерфейс.
Создайте интерфейс сервера OVPN, он понадобится для каждого удаленного сайта. Введите имя пользователя подключающегося OVPN-соединения в поле «Пользователь». Когда входящее соединение использует это имя пользователя, этот статический интерфейс используется для ссылки на это соединение.
Затем перейдите в «Маршруты» и создайте маршрут. Адрес dst должен быть вашей удаленной локальной сетью (т.е. 192.168.2.0/24), Gateway будет созданным вами статическим интерфейсом OVPN.
Теперь пакеты, предназначенные для удаленной локальной сети, знают, что они проходят через соединение OVPN.
На микротике КЛИЕНТ также необходимо создать маршрут.
Дст. Адрес должен быть удаленной локальной сетью, шлюзом будет ваш клиентский интерфейс OVPN. Этот интерфейс по умолчанию является статическим для клиентских VPN-подключений.
Вот как работают мои сайты SSTP и PPTP. Реализация OpenVPN в Mikrotik ограничена использованием NET30 в качестве топологии, я не уверен, как это повлияет на приведенную выше конфигурацию.
Наконец, для VPN типа "сеть-сеть" вы можете максимально использовать ЦП вашего маршрутизатора при использовании OVPN (или SSTP). Я могу получить только 3–5 Мбит/с, прежде чем маршрутизатор перегрузится и перестанет отвечать.
Если ваш RB поддерживает аппаратное ускорение (Hex поддерживает), рассмотрите возможность использования IPSec или IPSec/GRE. Аппаратное ускорение используется только в IPSec.
Я живу в слаборазвитой стране Южной Азии, и когда я захожу в Интернет, моя сетевая идентификация появляется как из бедной страны. Но я хочу подключить свою домашнюю сеть к богатой стране, такой как США или Великобритания.
Итак, я подписался на недорогой VPS (2 доллара в месяц) в центре обработки данных в Великобритании и собираюсь использовать лондонского интернет-провайдера в качестве домашней сети в моей стране.
Я установил образ MikroTik CHR (облачный маршрутизатор) на свой VPS в Великобритании в качестве маршрутизатора на стороне сервера. Таким образом, обе стороны (серверная и клиентская) будут работать на MikroTik RouterOS.
Если у поставщика VPS есть панель настройки внешнего брандмауэра, откройте необходимые 3 порта, чтобы настроить ожидаемую настройку. TCP-порты 1194, 8291 и 443
Войдите в Winbox с помощью реального IP-адреса вашего VPS с пустым именем пользователя admin и паролем.
После первого входа в систему измените пароль администратора. Затем начните настройку, выполнив следующие действия:
Создание и подписание сертификатов:
Все сертификаты должны быть помечены как доверенные, если нет, то перейдите в Winbox > Система > Сертификаты; дважды щелкните, чтобы открыть окно сертификата, и установите флажок «Доверенный», затем примените и ОК.
/certificate
export-certificate ca export-passphrase=""
export-certificate clientrouter export-passphrase=12345678
После экспорта вы найдете файлы сертификатов в списке файлов MikroTik. (Войти в MikroTik > Файлы)
Загрузите сертификаты из списка файлов и сохраните на локальном компьютере. (Используйте перетаскивание для загрузки)
Мы определим диапазон IP-адресов для распределения IP-адресов VPN на стороне сервера, чтобы предоставить клиентскому маршрутизатору.
( Пример: 192.168.22.128/25 )
Добавить пул IP-адресов VPN:
/ip
pool add name="ovpn-pool" ranges=192.168.22. 130 -192.168.22. 254
Создайте профиль аутентификации пользователя VPN.
/ppp
profile add name="ovpn-profile" use-encryption=yes local-address=192.168.22. 129 dns-server= 8.8.8.8 , 1.1.1.1 remote-address=ovpn-pool
Для DNS-сервера в строке профиля PPP выше вы можете использовать два сервера имен, предоставленных вашей компанией/поставщиком VPS.
Создайте пользователя VPN.
/ppp
secret add name= clientrouter password= ySw4eVnet profile=ovpn-profile remote-address=192.168.22. 130
Если у вас есть больше маршрутизаторов для дома или офиса, при необходимости создайте дополнительных пользователей. Просто помните, что удаленный IP-адрес remote-address= будет увеличиваться на 1 для каждого пользователя.
например. секрет добавить имя = Officerouter пароль = dQk8vTx5j профиль = ovpn-профиль удаленный-адрес = 192.168.22. 131
Или, для вашего третьего филиала: секретное имя добавления = пароль третьего филиала = eJb7dWh3pk профиль = ovpn-профиль удаленный адрес = 192.168.22. 132
Создайте сервер OpenVPN.
Важно! Создайте «OVPN-сервер» из графического интерфейса Winbox, а не с помощью командной строки. приведенная ниже команда предназначена только для справки.
/interface ovpn-server server
set keepalive-timeout=86400 default-profile=ovpn-profile certificate=cloudrouter require-client-certificate=yes auth=sha1 cipher=aes128,aes256 enabled=yes
Пришло время настроить брандмауэр, выполните команды:
/IP фильтр брандмауэра
/ip брандмауэра nat
add chain=srcnat src-address=192.168.22.128/25 action=masquerade comment="Разрешить клиентам OVPN просматривать Интернет через облачную/серверную сеть"
/certificate
add name=ssl-ca common-name=CloudRouterSSL days-valid=3650 key-usage=key-cert-sign,crl-sign
sign ssl-ca
добавить name=ssl-cert common-name=CloudRouterSSL days-valid=3650
sign ssl-cert ca=ssl-ca
Все сертификаты должны быть помечены как доверенные, если нет, то перейдите в > Система > Сертификаты; дважды щелкните, чтобы открыть окно сертификата, и установите флажок «Доверенный», затем примените и ОК.
Отключить одноранговый DNS на интерфейсе подключения провайдера PPPoE.
Измените расстояние маршрута по умолчанию на 2 на интерфейсе подключения PPPoE. Так что мы можем установить расстояние маршрута OVPN/PPP равным 1
В каждом домашнем/офисном маршрутизаторе загрузите и импортируйте файлы сертификатов. (При необходимости используйте пароль 12345678)
Чтобы загрузить: Войдите в Winbox > Файлы > Перетащите файлы сертификатов
Для импорта: Войдите в Winbox > Система > Сертификаты > Импорт (кнопка GUI)
Создайте интерфейс подключения клиента OpenVPN.
Настроить с именем пользователя clientrouter и паролем ySw4eVnet и другими настройками…
Включите «Добавить маршрут по умолчанию» в интерфейсе подключения OVPN-клиента.
Затем настройте правила брандмауэра клиентского маршрутизатора:
/IP фильтр брандмауэра
add chain=output out-interface=ovpn-out1 action=accept comment="Разрешить маршрутизацию трафика через OVPN"
add chain=forward out-interface=ovpn-out1 action=accept comment="Разрешить перенаправление трафика Через OVPN"
add chain=input src-address=192.168.22.128/25 in-interface=ovpn-out1 action=accept comment="Разрешить ввод от клиентов OVPN"
add chain=input protocol=tcp dst-port=8291 action=accept comment="Разрешить доступ к Winbox"
Измените правило брандмауэра masquerade, чтобы разрешить доступ в Интернет через Интернет-сервер OpenVPN, а также доступ к другому клиентскому маршрутизатору.
/ip firewall nat
add chain=srcnat out-interface=ovpn-out1 action=masquerade comment="Разрешить просмотр Интернета через сеть CHR"
add chain=srcnat dst-address=192.168.22.128 /25 out-interface=ovpn-out1 action=masquerade comment="Удаленный/другой доступ к Winbox/MikroTik через OVPN"
. Самое важное .
Без лицензии скорость вашего просмотра в Интернете будет до 1 Мбит/с. Обновите лицензию MikroTik, чтобы получить скорость интернета.
Читайте также: