unix 2012-10-23 19-29-09
OVPN Server на Mikrotik
Делаем сертификаты с помощью easy-rsa(идет в комплекте с openvpn):
sudo -i
cd /usr/share/doc/openvpn/examples/easy-rsa/2.0
vim vars
. ./vars
./clean-all
./build-ca
./build-key-server mikrotikserver
./build-key clientname
Ключ для микротика конвертим в .pem:
openssl rsa -in keys/mikrotikserver.key -out keys/mikrotikserver.pem
Создаем ip pool:
/ip pool add name=ovpn-pool ranges=192.168.89.10-192.168.89.100
Создаем ppp профиль:
/ppp profile
add name="ovpn-profile" local-address=192.168.89.1 remote-address=ovpn-pool use-mpls=default use-compression=default use-vj-compression=default use-encryption=required only-one=default change-tcp-mss=default
Заливаем ключи на mikrotik через web или ftp. Нам нужны ca.crt, mikrotikserver.crt, mikrotikserver.pem
Импортируем ключи(я делал через web)
Включаем сервис(через web):
ppp -> OVPNServer
Enabled -> ok
Default profile -> ovpn-profile
Certificate -> cert2(тот, который mikrotikserver)
Делаем пользователя(через web):
ppp->secrets
Name ->
Password ->
Service -> ovpn
Profile -> default
Теперь на клиенте:
cd /etc/openvpn
touch mikrotik.conf
mkdir -p mikrotik.d/{certs,keys}
touch miktotik.d/credentials
Кладем клиентские ключи и сертификаты(ca.crt, clientname.crt, clientname.key)в соответствующие директории.
В mikrotik.d/credentials прописываем 2 строчки:
username
userpass
Содержимое mikrotik.conf:
client
dev tun
proto tcp
remote my.mikrotik.tld 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /etc/openvpn/mikrotik.d/certs/ca.crt
cert /etc/openvpn/mikrotik.d/certs/clientname.crt
key /etc/openvpn/mikrotik.d/keys/clientname.key
ns-cert-type server
#comp-lzo
verb 3
mute 20
cipher AES-256-CBC
auth SHA1
daemon
auth-user-pass /etc/openvpn/mikrotik.d/credentials
route 192.168.88.0 255.255.255.0 vpn_gateway #незнаю как пушить роут от микротика клиенту, поэтому прописываем роут в локальную сеть за микротиком здесь
Всё, можно запускать:
openvpn --conf /etc/openvpn/mikrotik.conf
или
/etc/init.d/openvpn start