Ako niakoi ot vas si e gubil bezuspeshno vremeto za da podkara tazi kombinatsiia, mozhe bi statiiata shte mu e polezna.
No da znaete - pisana e za neprofesionalisti ot neprofesionalist, koito polzva dogadki i hipotezi, ta po-znaeshtite sum siguren, che shte budat taka lyubezni da napishat niakoi drug komentar sus zabelezhki i... zakani :)
Kakto mozhe bi ste chuvali, openvpn izpolzva asimetrichno kriptirane (kazvat mu oshte shifrovane), t.e. polzva dvoika chasten i publichen klyuch s prilezhashtite im sertifikati. Za tselta na nasheto uprazhnenie, shte ni triabvat udostoveritel (izvesten e oshte kato CA, certificate authority), koito shte podpishe sertifikatite na survura i klienta. Ima mnogo nachini da se napravi tova, predpolagam vseki si ima lyubim, no za da e nai-lesno shte polzvam direktno mikrotik i po-tochno ssh vruzka. Razbira se vsichko tova mozhe da se napravi i prez ueb interfeisa ili windows -koto prilozhenie... vupros na vkus.
Sled kato ustanovim SSH vruzka zapochvame:
'Vlizame' v kategoriia sertifikati |
[MyRouter@MikroTik] > certificate
|
Generirane na templeiti za sertifikati |
[MyRouter@MikroTik] /certificate> add name=ca-template common-name=ca key-usage=key-cert-sign,crl-sign
[MyRouter@MikroTik] /certificate> add name=server-template common-name=server
[MyRouter@MikroTik] /certificate> add name=clinet1-template common-name=client1
|
Podpisvane na sertifikati |
[MyRouter@MikroTik] /certificate> sign ca-template ca-crl-host=VASHIQT_DOMEIN_ILI_VUNSHNIQT_IP name=ca
[MyRouter@MikroTik] /certificate> sign server-template ca=ca name=server
[MyRouter@MikroTik] /certificate> sign client1_template ca=ca name=client1
|
I taka generirahme i podpisahme sertifikatite. Sega shte gi napravim 'dovereni' i shte napravim eksport na klientskiia sertifikat.
Primeren kod na bash |
[MyRouter@MikroTik] /certificate> set ca trusted=yes
[MyRouter@MikroTik] /certificate> set server trusted=yes
[MyRouter@MikroTik] /certificate> export-certificate ca
[MyRouter@MikroTik] /certificate> export-certificate client1 export-passphrase=NQKAKVA_PAROLA
|
proveriavame dali vsichko e kakto triabva |
[MyRouter@MikroTik] /certificate> print
|
Konfigurirane na rutera:
Purvo shte napravim grupa adresi koito shte obsluzhvat VPN -a |
[MyRouter@MikroTik] /certificate> /ip pool add name=openvpn ranges=10.10.0.2-10.10.0.10
|
Tova 10.10.0.0 – si e vash izbor, kakto i kolko adresa shte zadelite za da se svurzvat klientite.
Sled tova triabva da dobavim nov profil koito shte se polzva ot VPN -a |
/ppp profile add name=ovpn local-address=10.10.0.1 remote-address=openvpn
|
Sledva da si dobavim ime i parola |
/ppp secret add name="username" password="password" service=ovpn profile=ovpn
|
Sled tova puskame samiia VPN |
[MyRouter@MikroTik] /certificate> /interface ovpn-server server set auth=sha1,md5 certificate=server cipher=blowfish128,aes128,aes192,aes256 default-pr
ofile=ovpn enabled=yes require-client-certificate=no
|
Sled tova triabva da razreshim vruzka kum ot vunshniia sviat kum rutera (v zavisimost ot konfiguratsiiata na rutera, mozhe da se nalozhi da se prenarediat pravilata, za da srabotiat pravilno):
Primeren kod na bash |
[MyRouter@MikroTik] /ip firewall filter add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp
|
S tova konfiguratsiiata na survura e zavurshena.
Sega konfiguratsiiata na telefona:
1. Iztegliame si prilozhenie za OpenVPN (osven ako telefonut vi ne go poddurzha). Onova koeto e nai-udobno spored men e: blinkt openvpn
Sled tova triabva ot rutera da svalite eksportiranite sertifikati.
Ako izpolzvate web interfeis – namirat se v razdel „Files“.
Kachvate gi na telefona.
Ot prilozhenieto suzdavate nov profil.
Sled tova ot purviia tab BASIC se praviat slednite nastroiki:
1. Spirate LZO kompresiiata (poradi niakakva prichina ne se razbira s Mikrotik, veroiatno e nastoika).
2. Type – izbirate User/PW Certificates Ot suotvetnite butoncheta Select izbirate sertifikatite i klyuchovete koito kachihte predi malko.
3. Pishete imeto i parolata koito sa vuvedeni v profila na mikrotik
Vtori tab ServerList – vuvezhdate adresa na mikrotik -a, i izbirate TCP protokol (osven ako ne razreshite i UDP protokol ot Firewall -a na mirotic).
Treti tab – IP and DNS – tova veche e spored predpochitaniiata, mozhe da se ostavi kakto si e.
CHetvurti tab Routing – ako iskate tseliia trafik na telefona da minava prez mikrotik, otbeliazvate suotvetnite nastroiki.
Peti tab – Autentication/Encription. Vazhno! Mahate otmetkata
Certificate Hostname Check
SHesti tab – Advanced. Vazhno!
Nai-dolu shtrakvate vurhu Custom Options
V prozorcheto pishete:
tls-cipher DEFAULT
I ponezhe tova e shtastliviiat vi den, bi triabvalo vsichko da sraboti.
Uspeh!