OpenVPN na Mikrotik ROS

Návod na nastavení OpenVPN serveru na routeru Mikrotik.

Klíče

Klíče vygenerujeme běžných způsobem (nebo easy-rsa).

Pro nastavení na MK potřebujeme:

• ca.crt
• vpn.key (./build-key-server)
• vpn.crt (./build-key-server)

A klíče pro klienta (./build-key):

• user.key
• user.crt

Instalace

• VPN je nastavena jako typ ethernet (L2) a je připojena do již existujícího bridge bridge0, který vede na lan.
• VPN distribuuje IP adresy stejné jaké jsou v LAN. Berou se z poolu private_pool.

Nejprve je potřeba dostat do routeru certifikáty (ca.crt, vpn.key, vpn.crt). Ty se nahrají do files a potom se naimportují do System / Certificates.

Nastavení poolu adres

Pokud již nějaký pool adres používaných na LAN existuje, je možné použít ten a tento krok přeskočit.

/ip pool
add name=private_pool ranges=192.168.200.100-192.168.200.200

PPP Profile

Nastavení bridge, nastavení DNS.

/ppp profile
add bridge=bridge1
    dns-server=192.168.200.17,192.168.200.30
    local-address=192.168.200.1
    name=OpenVPNProfile
    remote-address=private_pool
    use-encryption=required

Nastavení OpenVPN serveru

/interface ovpn-server server
set auth=sha1
    certificate=server.crt_0
    cipher=aes256
    default-profile=OpenVPNProfile
    enabled=yes
    mode=ethernet
    require-client-certificate=yes

SHA1 je sice lehoučce out of date, ale ROS nic lepšího neumí (2017).

Nastavení secret

/ppp secret
add name=vpnuser password=vpnpass profile=OpenVPNProfile service=ovpn

Nastavení klienta

• Zařízení TAP
• Protokol TCP
• Soubor s tajemstvím.

client
dev tap
proto tcp

remote router.domena.cz 1194
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cert user.crt
key user.key
pull
tls-client
verb 3
auth-user-pass secret
cipher AES-256-CBC
auth SHA1

Nastavení šifer musí souhlasit s nastavením šifer v OpenVPN serveru na routeru.

Obsah souboru secret:

vpnuser
vpnpass

secret musí korespondovat s nastavením PPP Secret na routeru.