OpenVPN сервер на базе Mikrotik (v7.15 и выше)

2025-08-10 14:59Leave a Comment

С версии 7.15 в микротике OpenVPN стал более мнее похож на человеческий. И хотя все равно остались нюансы, характерные для Mikrotik-way, но им уже можно пользоваться чтобы настроить ВПН для небольшого офиса. Ниже чеклист по настройке

Сразу оговорюсь что настройки по дефолту не очень удобны ни пользователям ни администратору, поэтому слегка их модифицируем

Сделаем так:

  • соединение будет требовать сертификат. Он будет у нас один (если очень хочется можно и для каждого сделать свой, но кмк это чрезмерно. В крайнем случае — выпускать сертификат для особых случаев или групп пользователей)
  • при подключении OpenVPN клиент будет просить пароль пользователя
  • По этим пользователям и ведем учет подключений, блокируем-раблокируем и тд

Сначала нужно проверить время и убедиться что настроен синк по NTP. Правильное время — очень важно для корректности работы TLS

Создаем сертификаты

  • CA (3650 дней, crl siSS D gn, Key cert sign, подписать без указывания CA, CRL = 127.0.0.1
  • ovpn-server (3649 дней, digital signature, key encipherment, tls server, подписать указав CA = нашему CA )
  • ovpn-client (3648 дней, tls client, подписать указав CA = нашему CA )

Создаем пул адресов для OpenVPN клиентов

Создаем PPP профиль с названием например ovpn и секреты для пользователей. Для каждого пользователя свой секрет. Аутентификация будет по ним, сертификат напомню — один на всех

Создаем OpenVPN сервер, указав

  • профиль ovpn
  • сертификат ovpn-server
  • authentication = sha256, sha512
  • chipher aes-256-gcm
  • require client certificate = YES
  • push route = 10.100.100.0 255.255.255.0 10.100.101.1 9 (Network, MASK, GW, metric) (тут делаем пуш роута на нашу офисную сеть, подставьте свою, чтобы клиенты подключившись понимали куда идти)

Экспортируем СА серт без указания пароля в формате PEM (выгрузится только публичный ключ)

Экспортируем клиентский серт с указанием паролем в формате PEM (выгрузится два ключа, приватный и публичный)

Забираем из файлов экспортированный приватный ключ клиента и с помощью Openssl убираем из него требование пароля (расшифровываем) командами

openssl.exe pkey -in C:\Soft\encrypted.key -noout -text #проверим что ключ читается норм
openssl.exe pkey -in C:\Soft\encrypted.key -out C:\Soft\decrypted.key #если после ввода пароля видим содержимое - все ок

Загружаем расшифрованный (не требующий пароля ключ) назад в микротик и использйем его чтобы экспортировать настройки настройки ovpn с указанием СА, Клиента, ключа клиента(расшифрованного)

Не забудем настроить правила файрвола на вход (порт 1194\TCP), и форвард между овпн пулом и основной сетью

Posted in: blogsTagged: ,

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Post Navigation

 
Яндекс.Метрика