آموزش راه اندازی سرور OpenVPN در روتر میکروتیک

5/5 - (1 امتیاز)

0/24

برای راه اندازی سرور OpenVPN در روترهای میکروتیک میتوانید این ویدئو را مشاهده کنید، دستورات استفاده شده در این ویدئو را میتوانید اینجا مشاهده کنید.

دقت داشته باشید مطلبی که می‌خونید در مورد راه اندازی سرویس اوپن وی پی ان بر روی میکیروتیک به عنوان بستری برای ارتباط بین شعب سازمان‌ها و دفاتر کاربرد داره و هدف از اون آموزش ایجاد بستری امن برای تبادل اطلاعات سازمانی بر روی اینترنت هست و به عبور از فیلترینگ ارتباطی ندارد!

اول از همه به گواهی SSL نیاز داریم که باید بسازیمش، ترجیحا با تاریخ انقضای طولانی، مثلا ۱۰ سال

/certificate
add name=ca-template common-name=example.com days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign
add name=server-template common-name=*.example.com days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=client-template common-name=client.example.com days-valid=3650 key-size=2048 key-usage=tls-client

برای استفاده از OPENVPN نیازی نیست که common name خاصی بذارید، درواقع هرچی بذارید کار میکنه، اما اگر میخوایید از SSTP هم استفاده کنید حتما مقادیر معتبری بذارید، یا آدرس IP یا اینکه دامنه یا زیردامنه معتبر که به سرور میکروتیک شما اشاره میکنه.
حالا نوبت sign کردن گواهی هایی هست که ساختیم

/certificate
sign ca-template name=ca-certificate
sign server-template name=server-certificate ca=ca-certificate
sign client-template name=client-certificate ca=ca-certificate

بسته به سرعت روتر شما ممکنه کمی زمان بر باشه، صبور باشید.
حالا نوبت export کردن فایل‌هاست تا بتونیم ازشون استفاده کنیم.

/certificate
export-certificate ca-certificate export-passphrase=””
export-certificate client-certificate export-passphrase=12345678

باید این سه تا فایل رو در اختیارتون قرار بده:

cert_export_ca-certificate.crt
cert_export_client-certificate.crt
cert_export_client-certificate.key

این فایل ها رو کپی کنید روی کامپیوتر و تغییر نام بدید که کار باهاشون کمی راحت تر بشه.

ca.crt
client.ert
client.key

حالا نوبت به ساخت یه POOL برای IP کلاینت ها میرسه.
فرض میکنیم که رنج IP مورد نظر ما برای کلاینت ها ۱۰٫۰٫۰٫۰/۲۴٫ خواهد بود

/ip
pool add name=”vpn-pool” ranges=10.0.0.1-10.0.0.253

به جای اینکه پروفایل پیش فرض رو تغییر بدیم، یه پروفایل جدید برای کانکشن های VPN میسازیم

/ppp
profile add name=”vpn-profile” use-encryption=yes local-address=10.0.0.254 dns-server=8.8.8.8 remote-address=vpn-pool

یه کاربر هم برای تست اضافه میکنیم

secret add name=user profile=vpn-profile password=password

در نهایت هم سرور OPENVPN رو فعال میکنیم.

/interface ovpn-server server
set default-profile=vpn-profile certificate=server-certificate require-client-certificate=yes auth=sha1 cipher=aes128,aes192,aes256 enabled=yes

در این مرحه نیزا هست که client.key که با استفاده از OpenSSL خروجی بگیریم چون با وجود private passphrase که همون ۱۲۳۴۵۶ هست که تو مرحله اول قرار دادیم OpenVPN نمیتونه تصدیق گواهی رو انجام بده. شاید خیلی از شما تو این مرحله به مشکل میخورید. OpenSSL هم میتونید به راحتی دانلود کنید. دستورات زیر برای لینوکس طراحی شده،

> openssl rsa -in client.key -out client.key
Enter pass phrase for client.key: 12345678
writing RSA key

حالا نوبت به ساخت پروفایل OpenVPN میرسه
باید یه فایل profile پیدا کنید و با اطلاعات export شده از گواهی های میکروتیک اون رو ویرایش کنید. فایل های export شده گواهی ها رو با نوت پد باز کنید و اطلاعاتش رو کپی کنید داخل پروفایل تو قسمت های مربوطه
و در نهایت اگر رول فایروالی دارید که اجازه درخواست input رو بسته باید یه رول ایجاد کنید که به پورت OpenVPN اجازه دسترسی بده و اون رو بالاتر از رول قبلی قرار بدید.