Konfigurasi OpenVPN MikroTik

Duniajaringanindo - Memiliki server OpenVPN di router Anda adalah fitur yang bagus. Namun, seperti sering dengan Mikrotik, tidak semua lurus ke depan.

Untuk memahami tentang OpenVPN kalian bisa baja juga artikel kami tentang mengenal OpenVPN pada artikel sebelumnya.

Panduan konfigurasi openVPN ini akan saya buat melalui New Terminal dari WinBox. Dengan begitu saya hanya akan mengulangi perintah yang dibutuhkan alih-alih melalui layar. Perintah sebenarnya cukup deskriptif dan mudah untuk "diterjemahkan" ke dalam tindakan GUI jika itu yang Anda inginkan.

Prasyarat untuk setiap server VPN adalah untuk mendapatkan sertifikat secara urut. Untuk OpenVPN kita membutuhkan Otoritas Sertifikat utama, server, dan sertifikat klien. Ya, sebenarnya, sertifikat klien adalah opsional tetapi jangan berhemat untuk keamanan.

Pertama-tama kita membuat semua templat sertifikat (validitas 10 tahun) yang akan kita butuhkan:

/certificate
add name=ca-template common-name=example.com days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign
add name=server-template common-name=*.example.com days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=client-template common-name=client.example.com days-valid=3650 key-size=2048 key-usage=tls-client

Untuk tujuan nama umum server OpenVPN bisa kalian buat sesuai keingan. Namun, beberapa VPN lain tidak mentolerir ( jika melihat aturan SSTP ) jadi mungkin lebih baik untuk memiliki IP eksternal atau nama host Anda sebagai teks umum. Mungkin ya, jika Anda memiliki IP dinamis dan Anda tidak menggunakan domain Anda sendiri, Anda dapat meletakkan * .dyndns.org di sana - jangan khawatir.

Sertifikat yang dibuat perlu ditandatangani:

/certificate
sign ca-template name=ca-certificate
sign server-template name=server-certificate ca=ca-certificate
sign client-template name=client-certificate ca=ca-certificate

Bergantung pada kecepatan router Anda, perintah masuk itu mungkin akan habis - tidak perlu dikhawatirkan - tunggu saja CPU turun di bawah 100%. Atau sebagai alternatif, periksa nama sertifikat - komponen templat akan hilang setelah penandatanganan selesai.

Dengan ini kita perlu mengekspor beberapa file:

/certificate
export-certificate ca-certificate export-passphrase=""
export-certificate client-certificate export-passphrase=12345678

Ini akan memberi Anda tiga file: cert_export_ca-certificate.crt, cert_export_client-certificate.crt, dan cert_export_client-certificate.key. Setelah menyalin ini di komputer untuk nanti saya ingin mengubah nama mereka menjadi: ca.crt, client.crt, dan client.key masing-masing.

Selanjutnya kita membutuhkan kumpulan alamat IP yang terpisah untuk klien. Saya akan menganggap Anda memiliki klien di beberapa jaringan lain (mis. 192.168.1.x) dan jaringan baru ini hanya untuk VPN:

/ip
pool add name="vpn-pool" ranges=192.168.8.10-192.168.8.99

Alih-alih mengedit profil terenkripsi default, kita dapat membuat yang baru. Asumsinya adalah Mikrotik Anda juga akan menjadi server DNS. Dan saat melakukannya, Anda dapat membuat pengguna / kata sandi sedikit lebih imajinatif:

/ppp
profile add name="vpn-profile" use-encryption=yes local-address=192.168.8.250 dns-server=192.168.8.250 remote-address=vpn-pool
secret add name=user profile=vpn-profile password=password

Akhirnya, kita dapat mengaktifkan antarmuka server OpenVPN:

/interface ovpn-server server
set default-profile=vpn-profile certificate=server-certificate require-client-certificate=yes auth=sha1 cipher=aes128,aes192,aes256 enabled=yes

Sekarang akhirnya kita bisa menyalin keduanya ca.crt and client.crt to C:\Program Files\OpenVPN\config\ directory di samping client.ovpn.

Anda tidak punya klien.ovpn? Ya, ada di direktori contoh-konfigurasi dan kita hanya perlu mengubah / menambahkan item yang disorot:

client
dev tun
proto tcp
remote example.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
cipher AES-128-CBC
auth SHA1
auth-user-pass
redirect-gateway def1
verb 3

Pembuatan sertifikat yang disesuaikan untuk bekerja pada RouterOS 6.38 dan yang lebih baru].
Mengubah ukuran key menjadi 2048 (bukan 4096) sehingga tidak butuh waktu lama untuk menghasilkan sertifikat. :)].
Mengubah contoh untuk menggunakan AES-128 untuk penggunaan CPU yang lebih rendah pada router.] .

Demikian tutorial dari kami. Semoga bemanfaat.

Share this post