Настройка сервера OpenVPN на Mikrotik

В этой статье рассматривается поднятие OpenVPN сервера на микротик через утилиту Winbox и подключение к нему клиентов посредством сертификатов.

Длинна ключей шифрования и частота смены сертификатов зависит от уровня паранойи или политики вашей компании.

Создание сертификатов

Первое что необходимо сделать, это создать сертификаты для сервера OpenVPN. Для этого заходим:

  1. System > Certificates > Вкладка Certificates
  2. Нажимаем кнопку Добавить (синий крест) и переходим на вкладку General
    • Заполняем Name и Common Name для начала впишем «CA«;
    • Поля Country, State, Locality, Organization, Unit заполнять не обязательно;
    • Указываем Key Size, чем больше число тем надежнее шифрование, но больше нагрузка на процессор. Мы оставим значение по умолчанию 2048;
    • Days Valid указывает срок действия сертификата. Мы укажем 3650 (10 лет).
  3. Далее переходим на вкладку Key Usage
    • Снимаем все галочки;
    • Отмечаем key. cert. sign и crl sign.
  4. Нажимаем кнопку Apply;
  5. Сертификат создан. Осталось его подписать. Для этого нажимаем на кнопку Sign.
    • Поле Certifiacte должно быть уже заполнено нашим сертификатом CA;
    • Укажем в поле CA CRL Host внешний IP-адрес микротика. Иначе не будет сформирован список отзывов, а так же данное поле будет прописано в сертификате.
    • Нажимаем кнопку Start и когда видим в поле Progress надпись done нажимаем Close.
  6. Закрываем окно с сертификатом кнопкой OK.
  7. Если все сделано верно в первой колонке рядом с названием сертификата вы уведите надпись KLAT. Если вдруг не будет буквы T откройте сертификат двойным щелчком по нему, и снизу на вкладке General нужны поставить галочку рядом с Trusted, после чего нажать кнопку OK.

Итак сертификат центра сертификации создан.

Теперь нам нужно создать сертификат сервера по аналогии:

  1. System > Certificates > Вкладка Certificates
  2. Нажимаем кнопку Добавить (синий крест) и переходим на вкладку General
    • Заполняем Name и Common Name теперь впишем «Server«;
    • Поля Country, State, Locality, Organization, Unit заполнять не обязательно;
    • Указываем Key Size, чем больше число тем надежнее шифрование, но больше нагрузка на процессор. Мы оставим значение по умолчанию 2048;
    • Days Valid указывает срок действия сертификата. Мы укажем 3650 (10 лет).
  3. Далее переходим на вкладку Key Usage
    • Снимаем все галочки;
    • Отмечаем digital signature, key encipherment и tls server;
  4. Нажимаем кнопку Apply;
  5. Сертификат создан. Осталось его подписать. Для этого нажимаем кнопку Sign.
    1. Поле Certifiacte должно быть уже заполнено нашим сертификатом Server;
    2. Выбираем в поле CA сертификат центра сертификации CA.
    3. Нажимаем кнопку Start и когда видим в поле Progress надпись done нажимаем Close.
  6. Нажимаем кнопку OK.
  7. Если все сделано верно в первой колонке рядом с названием сертификата вы уведите надпись KIT. Если вдруг не будет буквы T откройте сертификат двойным щелчком по нему, и снизу на вкладке General нужны поставить галочку рядом с Trusted, после чего нажать кнопку OK.

Если все сделано верно у вас будет два сертификата CA (KLAT) и Server (KIT). Сертификат пользователя мы создадим чуть позже, после того как включим наш сервер.

Те же команды что выше только для консоли:

/certificate add name=CA common-name=CA key-size=2048 days-vali
d=3650 key-usage=key-cert-sign,crl-sign
/certificate add name=Server common-name=Server key-size=2048 d
ays-valid=3650 key-usage=digital-signature,key-encipherment,tls-server

/certificate sign CA ca-crl-host=127.0.0.1
/certificate sign Server ca=CA

/certificate set CA trusted=yes
/certificate set Server trusted=yes

Включаем OpenVPN

Для начала необходимо включить OpenVPN сервер который и будет слушать запросы на указанном порту. Для этого заходим:

  • PPP > Вкладка Interface > Кнопка OVPN Server;
    • Ставим галочку напротив Enabled;
    • В поле Mode выбираем ip;
    • В поле Port указываем порт на котором будет работать OpenVPN сервер, оставим по умолчанию 1194;
    • В поле Certificate указываем наш сертификат сервера Server;
    • Ставим галочку Require Client Certificate;
    • В поле Auth оставляем только sha1;
    • В поле Cipher оставляем только aes 256;
  • Закрываем окно кнопкой OK.

Аналогично через консоль:

/interface ovpn-server server set enabled=yes port=1194 certifi
cate=Server require-client-certificate=yes auth=sha1 cipher=aes256 mode=ip

Leave a Reply