Mikrotik
      Вернуться на главную
      1. Центр поддержки
      2. VPN
      3. Mikrotik

      Настройка OpenVPN на роутере

      Эта статья поможет Вам узнать, как установить и настроить OpenVPN на роутере на примере роутера MikroTik.

      Настройка OpenVPN на роутер MikroTik состоит из пяти этапов:

      1. Подготовка роутера.
      2. Создание ключей и сертификатов.
      3. Настройка OpenVPN сервера.
      4. Настройка OpenVPN клиента на роутере Mikrotik.
      5. Настройка стандартного клиента OpenVPN на ПК.

      Подготовка роутера

      1. Настройте время на Mikrotik, чтобы не было расхождения времени между клиентом и сервером.
        Для того чтобы установить правильное значение часового пояса и отключить его автоматическое определение, откройте панель конфигурации MikroTik (командную строку) и введите:
        /system clock

        set time-zone-autodetect=no time-zone-name=Europe/Netherlands
        В качестве параметра опции time-zone-name следует указать наименование Вашего часового пояса согласно tz database.
      2. Затем установите пакет NTP, для этого Вам потребуется скачать с официального сайта архив Extra packages для Вашей архитектуры и версии RouterOS:
        /system ntp client

        set enabled=yes primary-ntp=185.209.85.222 secondary-ntp=37.139.41.250
        Обратите внимание, что вместо доменных имен серверов следует указать их IP, имейте в виду, что адреса pool.ntp.org указывают на случайно выбранные из пула сервера, которые меняются каждый час, поэтому полученные Вами адреса могут отличаться от указанных нами.
      3. Дополнительно загрузите файл конфигурации OpenVPN (client01-tcp.ovpn) по предоставленной ссылке: http://server_IP:port/xxxxxxxxxx/. Вы должны были получить эту ссылку по электронной почте после активации услуги. 
        2
        3
      4. Также доступы к VPN можно найти в личном кабинете:
        1. В Вашем личном кабинете найдите вкладку «VPN серверы».
        2. Нажмите «Управлять».
          10_RU
        3. В разделе «Доступ», найдите настройки OpenVPN.
          11_RU
        4. Там Вы можете скачать доступы.
          12_RU

      Создание ключей и сертификатов

      1. Для того чтобы создать новый корневой сертификат центра сертификации (CA), введите в консоли определенные данные и информацию о них:
        /certificate

        add name=ca country="NL" state="31" locality="BEL" organization="Interface LLC" unit="IT" common-name="ca" key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign

        sign ca ca-crl-host=127.0.0.1
      2. Для того чтобы создать сертификат и закрытый ключ сервера, в консоли выполните:
        /certificate

        add name=ovpn-server country="NL" state="31" locality="BEL" organization="Interface LLC" unit="IT" common-name="ovpn-server" key-size=2048 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server

        sign ovpn-server ca="ca"
      3. Для того чтобы создать клиентские сертификаты, введите:
        /certificate

        add name=mikrotik country="NL" state="31" locality="BEL" organization="Interface LLC" unit="IT" common-name="mikrotik" key-size=2048 days-valid=365 key-usage=tls-client

        sign mikrotik ca="ca"
      4. Для использования на клиентах экспортируйте закрытый ключ и сертификат клиента, а также корневой сертификат центра сертификации. Удобнее всего использовать для этого формат PKCS12, который содержит все необходимые компоненты в одном файле (сертификат, ключ и сертификат CA). Для этого введите:
        /certificate

        export-certificate mikrotik type=pkcs12 export-passphrase=12345678

      Настройка OpenVPN сервера

      1. Для того чтобы создать пул адресов для выдачи OpenVPN клиентам, в консоли введите:
        /ip pool

        add name=ovpn_pool0 ranges=10.8.8.100-10.8.8.199
      2. Создайте новый профиль:
        /ppp profile

        add local-address=10.8.8.1 name=ovpn remote-address=ovpn_pool0
      3. Для того чтобы включить аутентификацию по пользователю, введите:
        /ppp aaa

        set accounting=yes
      4. Для создания учетной записи выполните:
        В данном случае создана запись для пользователя mikrotik с паролем 123.
        /ppp secret

        add name=mikrotik password=123 profile=ovpn service=ovpn
      5. Для дальнейшей настройки VPN сервера, выполните следующие команды:
        /interface ovpn-server server

        set auth=sha1 certificate=ovpn-server cipher=aes256 default-profile=ovpn enabled=yes require-client-certificate=yes
        /ip firewall filter

        add action=accept chain=input dst-port=1194 protocol=tcp
        На этом настройка OpenVPN сервера на базе роутера Mikrotik закончена.

      Настройка OpenVPN клиента на роутере Mikrotik

      Для того чтобы настроить OpenVPN на роутере Mikrotik, выполните следующие шаги:

      1. Закачайте файл сертификатов в формате PKCS12.  Для того чтобы закачать на устройство файл сертификатов в формате PKCS12, в консоли выполните:
        /certificate

        import file-name=mikrotik.p12 passphrase=12345678
      2. Для того чтобы создать новый интерфейс типа OVPN Сlient и установить нужные параметры, введите:
        /interface ovpn-client

        add certificate=mikrotik.p12_0 cipher=aes256 connect-to=192.168.3.115 name=ovpn-out1 password=123 user=mikrotik
        Если все было сделано правильно, то соединение будет установлено сразу, как Вы создадите интерфейс.
      3. Чтобы клиенты сети за клиентом имели доступ в сеть за сервером и наоборот, необходимо настроить маршрутизацию. Для того чтобы установить маршрутизацию, выполните:
        /ip route

        add distance=1 dst-address=192.168.186.0/24 gateway=ovpn-out1
      4. Для того чтобы маршрут не «ломался» при отключении клиента, создайте для этого клиента постоянный интерфейс.
        /interface ovpn-server

        add name=ovpn-mikrotik user=mikrotik
      5. Для того чтобы добавить на сервере маршрут к сети за клиентом, введите:
        /ip route

        add distance=1 dst-address=192.168.111.0/24 gateway=ovpn-mikrotik
        После чего можете проверить связь. Узлы различных сетей должны видеть друг друга.

      Настройка стандартного клиента OpenVPN на ПК

      1. Разместите файл сертификатов в формате PKCS12 в директории для хранения ключей, а также создайте файл с учетными данными C:\OpenVPN\auth.cfg и разместите в нем в разных строках логин и пароль:
        win10

        123
      2. Создайте файл C:\OpenVPN\keypass.cfg, в котором Вы можете разместить парольную фразу для сертификата: 
        12345678
      3. Укажите, что у это клиент, тип туннеля tun и протокол tcp:
        client

        dev tun

        proto tcp
      4. Укажите адрес и порт сервера: 
        remote 192.168.3.115 1194
      5. Убедитесь  в наличии опций:
        persist-key

        persist-tun
      6. Замените весь блок с указанием путей к ключам и сертификатам:
        ca ca.crt

        cert client.crt

        key client.key
      7. Замените весь блок единственной строкой, где будет указан путь к файлу сертификатов в формате PKCS12, а так же где брать учетные данные для дополнительной аутентификации и парольную фразу:
        pkcs12 C:\\OpenVPN\\keys\\win10.p12

        auth-user-pass C:\\OpenVPN\\auth.cfg

        askpass C:\\OpenVPN\\keypass.cfg
      8. Проверьте наличие опции и закомментируйте её:
        remote-cert-tls server

        #tls-auth ta.key 1
      9. Добавьте маршрут к сети за сервером, укажите выбранный нами на сервере шифр и отключите сжатие:
        route 192.168.186.0 255.255.255.0 10.8.8.1

        cipher AES-256-CBC

        #comp-lzo

      Теперь можно пробовать подключаться. Если все сделано правильно, то клиент подключится к серверу и ему будут доступны ресурсы сети за сервером. Никаких дополнительных настроек на сервере производить не нужно.


      Если у Вас остались какие-либо вопросы, Вы можете задать их в онлайн чате в правом нижнем углу сайта или тикетом в техподдержку.
      Для того чтобы Заказать услугу Личный VPN и Socks 5 прокси, продолжите оформление.