Каталог
+38 (057) 782 - 40 - 62
0
Поиск
Войти
Контакты
Каталог
03.06.2015
Рейтинг:   3.9  (голосов 27)

Настройка VPN через MikroTik - OpenVPN

Настройка VPN через MikroTik - OpenVPN

В предыдущей статье мы писали о настройке VPN через MikroTik с помощью протоколов PPPoE и PPTP. Это самые популярные способы туннелирования. Сегодня мы остановимся на OpenVPN - также распространенном решении VPN-туннелей на роутерах Микротик.

Особенности OpenVPN на MikroTik

OpenVPN имеет много преимуществ, благодаря которым он по-прежнему один из самых популярных протоколов для поднятия VPN туннелей:

  • простота настройки;
  • надежность и защищенность благодаря сертификатам;
  • универсальность - удаленный доступ можно организовать с устройств с любой операционной системой;
  • отсутствие проблем с NAT.

Однако отметим, что возможности OpenVPN на MikroTik урезаны:

  • нет сжатия LZO;
  • нет UDP, хотя именно он является предпочтительным для OpenVPN как простой и легковесный транспорт;
  • скорость передачи данных не слишком высока;
  • нет возможности присваивать адреса через другой DHCP, их выдает только сам Mikrotik.

Поднятие OpenVPN на MikroTik состоит из 3 этапов:

  • генерация сертификатов;
  • настройка OpenVPN сервера на MikroTik;
  • настройка клиента.

Генерация сертификатов для OpenVPN

Сертификаты для сервера и клиента можно создать средствами самого OpenVPN (Easy-RSA), а можно с помощью ресурса CAcert.org. Рассмотрим создание самоподписанных сертификатов посредством Easy-RSA.

Скачиваем и устанавливаем OpenVPN.

Идем на официальный сайт http://openvpn.net/ и скачиваем версию ПО, которая подходит для нашей системы.
Установка OpenVPN
Далее устанавливаем OpenVPN, галочки можно снять только с неважных пунктов (например, добавление ярлыка программы на панель быстрого доступа и в меню Пуск, ассоциации файлов).

Установка OpenVPN для генерации сертификатов

  Редактируем параметры easy-rsa OpenVPN.

После установки идем в папку с программой, в каталог easy-rsa

и открываем с помощью блокнота файл vars.bat.sample, редактируем его.

Если мы создаем дубликат папки easy-rsa (а в этом есть смысл) и работаем в нем, то необходимо отредактировать строку, прописав в ней новый путь к папке:

set HOME=%ProgramFiles%\OpenVPN\easy-rsa

Значение строки set KEY_SIZE=1024 можно поменять на 2048 (как сказано в комментариях в файле - если вы параноик), но учтите, что производительность уменьшится.

Далее редактируем следующие строки, проставляя в них актуальные для себя значения (пустыми параметры оставлять нельзя):

set KEY_COUNTRY=UA

set KEY_PROVINCE=Harkiv
set KEY_CITY=Harkiv
set KEY_ORG=OpenVPN
set KEY_EMAIL=admin@lantorg.com
set KEY_CN=server
set KEY_NAME=server
set KEY_OU=lantorg
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234

Последние два параметра можно не менять.

После чего сохраняем файл под именем vars.bat.

Если при сохранении vars.bat в этом же каталоге система выдает ошибку:

Ошибка сохранения vars.bat

то сохраните файл вначале на рабочем столе, а потом перенесите в этот каталог.

 Выполняем генерацию сертификатов для OpenVPN под MikroTik.

Работаем в командной строке Windows (cmd), запустив ее от имени администратора.

 Переходим в нужный каталог: cd "C:\Program Files\OpenVPN\easy-rsa"

 Набираем команду vars и жмем энтер.

 Набираем команду clean-all и жмем энтер.

Следующий этап генерации сертификатов

Если мы видим надпись, как на изображении - "Скопировано файлов - 1.", значит, все сделано правильно.

 Набираем команду build-ca. Программа начинает генерацию публичного сертификата OpenVPN и запрашивает у нас значения параметров. Если на вопрос в командной строке мы просто жмем энтер, то программа подставляет значения по умолчанию, которые мы вписали в файл vars.bat. Останавливаемся, когда снова появляется строка C:\Program Files\OpenVPN\easy-rsa.

 Даем команду на генерацию сертификата сервера OpenVPN для MikroTik: build-key-server имя_сертификата. В нашем случае пишем 

build-key-server server, на вопрос "Sign the certificate?" отвечаем y, точно также на вопрос "1 out of 1 certificate requests certified, commit?", на остальные просто жмем энтер.

 Даем команду на генерацию сертификата клиента - build-key client. Имя сертификата (Common Name) должно быть уникальным и не совпадать с другими сертификатами. Поэтому на этот вопрос отвечаем - client. Здесь также в конце появятся два вопроса, как в предыдущем пункте, и мы тоже отвечаем на них - y.

Все, теперь в папке C:\Program Files\OpenVPN\easy-rsa\keys лежат все созданные ключи и сертификаты OpenVPN.

Установка сертификатов OpenVPN и настройка сервера на MikroTik

Из созданных нами сертификатов и ключей нас интересуют 3 файла:

  • ca.crt,
  • server.crt,
  • server.key.

 Импортируем сертификаты OpenVPN в ОС MikroTik.

Заходим с помощью WinBox на роутер Микротик, на котором мы будем поднимать OpenVPN сервер. Копируем 3 вышеуказанных файла из папки, где они лежат, и вставляем с помощью меню: Files - Paste.

Вставка сертификатов OpenVPN в Winbox MikroTik
Далее импортируем их. Для этого используем меню WinBox: System - Certificates - выбор сертификата - кнопка Import.
Импорт производим в следующем порядке: ca.crt => server.crt => server.key.

После этого в окне Certificate List добавятся две записи: публичного сертификата CA и сертификата OpenVPN сервера. В первом столбце записи сертификата сервера должны стоять две буквы - KR. Если вы видите там что-то другое, попробуйте еще раз импортировать файл ключа (*.key).

Сертификаты OpenVPN после импорта

  Создаем PPP-профиль на роутере MikroTik.

Если подключение по VPN-тоннелю будет разрешено с нескольких IP-адресов, нам нужно создать их пул. Идем в IP -> Pool, создаем его и присваиваем имя.

Если подключение по тоннелю будет производиться с одного  IP-адреса, то пропускаем этот момент.

 Создаем PPP-профиль. Для этого идем: PPP - Profiles. Добавляем его кнопкой +.
В поля вписываем:
  • имя профиля,
  • Local Address - адрес роутера Микротик, к которому будут подключаться клиенты. Он должен лежать в одой подсети с Remote Address
  • Remote Address- здесь пишем либо один IP-адрес клиента, либо имя ранее созданного пула адресов.

Остальные настройки не трогаем.

Настройка OpenVPN сервера на MikroTik

 Настраиваем сервер OpenVPN на роутере MikroTik.

Идем в меню PPP- Interface - OVPN Server.

  • Активируем его, поставив галочку в пункте Enabled.
  • В поле mode оставляем IP (IP-туннелирование по умолчанию) или выставляем ethernet (режим сетевого моста), это L3 и L2 соответственно. Чаще всего используется IP.
  • Default Profile - выбираем профиль, который мы создали ранее.
  • Certificate - сертификат сервера.
  • require-client-certificate - если ставим галку, то сервер при подключении проверяет сертификат клиента. Если нет - то не проверяет, и настройка клиента при этом упрощается.

Настройки OpenVPN сервера на Микротик

 Создаем и настраиваем пользователя.

Идем: PPP - Secrets и добавляем пользователя. Тут все просто: имя, пароль, сервис и профиль.

Создание пользователя OpenVPN

Необходимо также в настройках клиента предусмотреть синхронизацию времени с сервером. Вначале убеждаемся, что у нас выставлена правильная тайм-зона (меню System - Clock). Далее идем в меню System - SNTP Client и прописываем адрес NTP сервера (на скриншоте указан локальный, но можно взять любой, к примеру 85.21.78.91).

 Настраиваем разрешающее правило фаерволла.

Идем IP - Firewall - Filter Rules и разрешаем трафик на порт OpenVPN:

  • В поле Chain ставим input.
  • Protocol - 6(tcp).
  • Dst. Port - 1194.
  • In. Interface - прописываем название интерфейса, на который идет входящий трафик.

Настройка правила

Активируем правило на вкладке Action:

Напомним, что разрешающее правило в списке правил должно быть выше запрещающих, иначе оно не будет работать.

Настройка клиента OpenVPN

Если мы не используем клиентские сертификаты (в настройках сервера не отмечали галочкой пункт require-client-certificate), то настроить клиент OpenVPN будет быстрее и проще. Нам не нужно будет копировать сертификаты для клиента, только создать в меню PPP - Interfaces новую запись OVPN Client и и на вкладке Dial Out прописать:

  • адрес OpenVPN сервера (поле Connect To),
  • логин и пароль пользователя (поля User и Password),
  • порт соединения,
  • тип аутентификации и шифрования (поля Auth и Cipher).

Если мы используем сертификаты, читаем дальше.

 Настройка второго роутера Микротик как клиента OpenVPN.

 Так же, как и при настройке сервера, копируем из папки C:\Program Files\OpenVPN\easy-rsa\keys и вставляем в раздел Files файлы сертификатов и ключей OpenVPN. Только теперь это будут:

  • ca.crt,
  • client.crt,
  • client.key.

 После этого поочередно импортируем их, используя меню System – Certificates - выбор сертификата - кнопка Import.

 После успешного импорта в строке сертификата должны появиться буквы KT

Импорт сертификата клиента OpenVPN

 Далее настраиваем соединение, практически так же, как и в случае без сертификатов. Создаем в меню PPP - Interfaces новую запись OVPN Client и и на вкладке Dial Out прописываем:

  • адрес OpenVPN сервера (поле Connect To),
  • логин и пароль пользователя (поля User и Password),
  • порт соединения,
  • наименование сертификата,
  • тип аутентификации и шифрования (поля Auth и Cipher).

Настройка клиента OpenVPN

Все, осталось проверить, поднялось ли соединение.

 Настройка клиента OpenVPN в Windows.


 Копируем ранее созданные нами файлы ca.crt, client.crt, client.key из папки C:\Program Files\OpenVPN\easy-rsa\keys в каталог C:\Program Files\OpenVPN\config.

 Создаем здесь же обычный текстовый файл, который сохраняем как auth.cfg (обратите внимание, меняем и расширение тоже).

 Открываем файл auth.cfg для редактирования в блокноте и вписываем в него 2 строки: первую -логин пользователя, вторую - пароль, которые мы задали на сервере. Сохраняем файл.

 Создаем еще один текстовый файл, который сохраняем как client.ovpn (включая смену расширения).

 Файл client.ovpn редактируем следующим образом:

  1. proto tcp-client
  2. remote 123.123.123.123 # здесь внешний адрес нашего роутера MikroTik
  3. dev tap
  4. nobindpersist-key
  5. tls-client
  6. ca ca.crt #указываем имя CA сертификата
  7. cert client.crt #указываем имя сертификата клиента
  8. key client.key # указываем имя файла-ключа для клиента
  9. ping 10
  10. verb 3 # чем выше этот параметр - тем выше уровень логирования
  11. ns-cert-type server
  12. cipher AES-256-CBC
  13. auth SHA1
  14. pull
  15. auth-user-pass auth.cfg # здесь имя файла с логином-паролем пользователя
  16. route-method exe 
  17. route-delay 2 
  18. route 192.168.1.0 255.255.255.0 172.21.108.1 # эта строка задает маршрут, здесь 172.21.108.1 - адрес микротика из PPP-профиля, а 192.168.1.0 255.255.255.0 - сеть и маска сети.

 Файл сохраняем. Запускаем OpenVPN GUI  (исполняемый файл лежит в папке C:\Program Files\OpenVPN\bin)

Запускаем обязательно от имени администратора!
Оцените материал:
3.9 (голосов 27)
Предыдущая статья
05.05.2015
Ubiquiti PowerBeam PBE-5AC-620 появились в продаже
Следующая статья
05.06.2015
AirFiber 5X и AirFiber 24HD можно заказывать
Комментарии


  • 03.03.2020, 19:35
    mikrotik
    тот случай, когда pptp настраивается в 2 клика, а OVPN через задницу и левый софт...
    самое время написать в преимуществах "простота настройки;"
  • 21.02.2020, 08:55
    Anders
    Интересно, как настраивать OpenVPN, если его сервером является прокси-сервер на Linux (Zentyal 6.1), а удалённым клиентом - как раз Mikrotik в филиале?
  • 29.01.2020, 11:00
    ALEKSANDR
    здравствуйте. Появляется ошибка на этапе ввода команды build-ca
    C:\Program Files\OpenVPN\easy-rsa>vars

    C:\Program Files\OpenVPN\easy-rsa>clean-all
    Скопировано файлов: 1.
    Скопировано файлов: 1.

    C:\Program Files\OpenVPN\easy-rsa>build-ca
    "openssl" не является внутренней или внешней
    командой, исполняемой программой или пакетным файлом.

    Что не так? cmd от админа.
  • 21.11.2019, 20:13
    Иван
    Юрий, у меня была аналогичная проблема, потому что я сделал так, что объединяемые сегменты сети были в одном диапазоне адресов.
    Сделал разные диапазоны и заработало.
  • 09.06.2019, 18:17
    Юрий
    Добрый день а если у меня пк получил из пула openvpn ip но не видит пк из сети на mirotik.
  • 14.03.2019, 20:48
    Богдан Юрійович
    Підкажіть будь ласка... Якщо в мене 20 клієнтів будуть підключатися до OpenVPN сервера на mikrotik, то мені потрібно створювати кожному клієнту окремо сертифікат чи один можна буде використовувати на всіх???
  • 14.02.2019, 11:24
    роман
    спасибо. хорошо когда все в одном месте. я так же делал, хотя и не по этой статье. но тут не описано как настраивать openvpn клиента если их несколько и с сертификатами. понадобилось добавить второго и нет описаний. надо ли для каждого делать свой сертификат или можно обойтись одним, а авторизоваться исключительно лигин-пароль? надеюсь, что Вы еще не забыли об этой статье и еще имеете возможность отвечать.
  • 12.09.2018, 15:25
    Комментарий администратора
    Антон, не нужно будет копировать сертификаты для клиента. Поэтому если вы не используете клиентские сертификаты (в настройках сервера не отмечали галочкой пункт require-client-certificate), то настроить клиент OpenVPN будет быстрее и проще.
  • 28.08.2018, 12:58
    anton
    Если не отмечали галочкой пункт require-client-certificate, то при настройке OpenVPN клиента в Windows не нужно копировать сертификаты?
  • 29.05.2018, 10:03
    Комментарий администратора
    White, спасибо за полезное дополнение!
  • 29.05.2018, 09:51
    White
    "а также нужно отметить если в микротике стоит тип ethernet то - dev tap
    если ip то - dev tun"
    Собственно и решило проблему :)
  • 24.05.2018, 08:31
    Комментарий администратора
    Как будет возможность проверим инструкцию на новой версии.
  • 21.05.2018, 09:44
    x
    К сожалению, на новых версиях не работает! Мануал не актуален.
  • 02.05.2018, 09:54
    Комментарий администратора
    Добрый день Сергей, данную настройку мы делали лично, у нас все хорошо работает, перечитайте статью и попробуйте проделать все шаги повторно.
  • 30.04.2018, 19:28
    Сергей
    Не работает по этой статье
  • 23.10.2017, 11:41
    Борис
    Не отметил, что VPN делал на OpenVPN.
    Для IP-телефонии какой протокол лучше?
  • 23.10.2017, 11:35
    Борис
    По Вашей статье сделал VPN на микротиках. Не запускается.
    Где смотреть, почему?
  • 05.09.2017, 12:03
    Anton
    KR не ставится, как же его поставить тогда? Пробовал менять расширение на .pem, но это не помогло.
  • 16.08.2017, 11:11
    Антон
    Сергей, убедитесь, что у вас настроен одинаковый размер MTU на обоих роутерах. Если устройству приходится фрагментировать пакеты это очень плохо сказывается на пропускной способности.
  • 14.08.2017, 21:46
    Сергей
    Есть ли возможность поднять скорость передачи данных в VPN туннеле? К примеру, при создании VPN туннеля на двух Mikrotik RB951G-2HnD скорость не поднимается выше 8 Мбит/с.
  • 26.05.2017, 07:03
    Константин
    Options error: Unrecognized option or missing or extra parameter(s) in client.ovpn:7: ca.crt (2.4.1)

    Ребят. что значит эта ошибка ?
  • 04.04.2017, 21:57
    Александр
    Владимир, у меня такая-же ситуация была. Проблема в фаерволе виндовс. Виндовс определяет как доверенную только сеть к которой подключен, другие как общественные и блочит их. Я дописывал в правила фаервола нужные мне подсети, после чего все успешно друг друга начинали видеть.
  • 27.03.2017, 17:54
    maxxsoft
    client.ovpn
    в 4й строке, нужно разделить параметры на:
    nobind
    persist-key
    а также нужно отметить если в микротике стоит тип
    ethernet то dev tap
    ip то dev tun
  • 13.02.2017, 16:41
    Дмитрий
    Владимир, попробуйте проверить правила фаервола , а также проверьте, прописаны ли маршруты на самих роутерах, при этом важно: объединяемые сигменты сети должны иметь разные диапазоны адресов.
  • 13.02.2017, 13:58
    Дмитрий
    Nikolay, причина в том, что появился баг по импорту сертификатов в прошивке 6,5 , поэтому ставить или свежее версию прошивки или же на предыдущую прошивку перейти нужно
  • 10.02.2017, 06:02
    Владимир
    Добрый день. Извиняюсь за некропостинг, но может мне повезет с ответом =)
    Есть 3 сети с микротиками, они соединены через vlan. На одном из микротиков есть белый ip и настроен openvpn. Клиент подключается по openvpn и видит только сеть на одном микротике.

    192.168.1.0/24 (микротик с белым айпи), остальные 2 сети с микротиками на vlan: 192.168.0.0/24, 192.168.2.0/24
    Сеть vlan 192.168.5.0/24.
    Клиент подключается по 172.21.108.2.

    Как сделать так, чтобы клиент видел все 3 сети? Понимаю, что нужно прописать маршруты, но уже каких только не прописывал, все равно не видит.
  • 23.11.2016, 16:11
    Nikolay

    Не импортируются сертификаты в микротик из Files.
    OS 6.5, модель RB2011UiAS
    В чем может быть причина?
  • 22.11.2016, 07:52
    Дмитрий
    Иван, желательно посмотреть на config.
  • 22.11.2016, 07:40
    Дмитрий
    Oleg. Да, будет, хотя и будет происходить сжатие
  • 09.11.2016, 11:47
    Kristen
    KR не ставится. Только KT если создавать сертификаты этим способом.
    Работает только на Windows. Если взять эти же настройки и вместо dev tap написать dev tun - то ничего не будет работать.
  • 07.11.2016, 05:46
    Oleg
    Будет ли работать OpenVPN, если корпоративный прокси режет ICMP ?
  • 24.10.2016, 19:06
    Иван
    Options error: Unrecognized option or missing parameter(s) in Client.ovpn:4: nobindpersist-key (2.3.12)

    Что бы это значило?
  • 01.07.2016, 16:12
    Комментарий администратора
    User, спасибо за отзыв, мы рады, что информация Вам помогла :)
  • 01.07.2016, 15:36
    user
    безмерно благодарен за рабочий вариант
Вам может быть интересно
Все статьи
Запросить прайс
Подписаться на новости
Задать вопрос
Написать директору