راه اندازی OpenVPN میکروتیک

Question

OpenVPN چیست؟

اوپن وی پی ان یا OpenVPN یه پروژه اوپن سورس هست که باهاش میشه ارتباطات وی پی ان نقطه به نقطه (Point-to-Point) یا سایت به سایت (Site-to-Site) رو برقرار کرد.

اوپن وی پی ان به علت راحتی استفاده، پایداری بالا و امنیت، به یه سرویس محبوب تبدیل شده. این سرویس امکان ارتباط از بستر پروتکل‌های TCP و UDP رو داره. ضمنا از IPV6 و رمزنگاری TLS هم پشتیبانی می‌کنه.

OpenVPN میکروتیک چطوری کار می‌کنه؟

ما می‌تونیم روتر میکروتیک یا سرور مجازی میکروتیک رو به یه سرور اوپن وی پی ان تبدیل کنیم تا کاربران بتونن از بستر اینترنت به شبکه متصل بشن.

در حال حاضر اوپن وی پی ان میکروتیک امکانات زیر رو نداره:

استفاده از بستر UDP

فشرده سازی LZO

پروتکل TLS

احراز هویت بدون Username و Password

آموزش کانفیگ اوپن وی پی ان میکروتیک

مرحله اول راه اندازی OpenVPN میکروتیک: تنظیمات اولیه روتر

قبل از اینکه کانفیگ اوپن وی پی ان میکروتیک رو انجام بدیم، باید تنظیمات آی‌پی، Src NAT و Default Route رو انجام بدیم.

مرحله دوم راه اندازی OpenVPN میکروتیک: ساخت Certificateهای مورد نیاز برای OpenVPN میکروتیک

با استفاده از WinBox یا SSH به میکروتیک لاگین می‌کنیم و توی ترمینال دستورات زیر رو وارد می‌کنیم.

نکته: با این دستورات یه Certificate 10 ساله روی روتر ست می‌کنیم.

/certificate add name=ca-template common-name=ramtiiin.ir days-valid=3650 key-size=4096 key-usage=crl-sign,key-cert-sign add name=server-template common-name=*.ramtiiin.ir days-valid=3650 key-size=4096 key-usage=digital-signature,key-encipherment,tls-server add name=client-template common-name=client.ramtiiin.ir days-valid=3650 key-size=4096 key-usage=tls-client

نکته: برای اوپن وی پی ان میکروتیک نیازی به وارد کردن common-name خاصی نیست. می‌تونیم هر آدرس دامنه یا آی‌پی رو وارد کنیم.

این پست رو هم بخونین  آموزش پورت فورواردینگ میکروتیک

مرحله سوم راه اندازی OpenVPN میکروتیک: ساین کردن Certificateهای ساخته شده

برای این‌ مرحله از Open VPN میکروتیک، دستورات زیر رو توی ترمینال وارد می‌کنیم.

نکته1: اینکار بسته به قدرت CPU ممکنه زمان‌بر باشه. می‌بینیم که لود CPU بالا میره و به صد در صد می‌رسه. پس صبوری می‌کنیم و وقتی لود CPU کم شد دستور بعدی رو وارد می‌کنیم.

نکته 2: اگه توی ترمینال با ارور Operation Timeout مواجه شدیم، مشکلی نیست. صبر می‌کنیم تا بار CPU کم بشه و دستور بعدی رو وارد می‌کنیم.

/certificate sign ca-template name=ca-certificate sign server-template name=server-certificate ca=ca-certificate sign client-template name=client-certificate ca=ca-certificate

مرحله چهارم راه اندازی OpenVPN میکروتیک: خروجی گرفتن از CA و Client

باید از CA و Client خروجی بگیریم تا باهاشون فایل ovpn بسازیم.

توی میکروتیک باید حتما passphrase رو وارد کنیم تا key رو در اختیارمون بذاره. هر مقداری که توی این مرحله وارد می‌کنیم باید همون رو توی مرحله ششم وارد کنیم.

دستورات زیر رو وارد می‌کنیم.

/certificate export-certificate ca-certificate export-passphrase="" export-certificate client-certificate export-passphrase=12345678

مرحله پنجم راه اندازی OpenVPN میکروتیک: انتقال Certificateها به سیستم و تغییر نام

1: از طریق وینباکس منوی Files رو باز می‌کنیم و فایل‌های

cert_export_ca-certificate.crt

cert_export_client-certificate.crt

cert_export_client-certificate.key

رو دانلود می‌کنیم.

2: فایل‌ها رو به ترتیب به

ca.crt

client.crt

client.key

تغییر نام می‌دیم.

مرحله ششم راه اندازی OpenVPN میکروتیک: ساخت فایل کانفیگ ovpn.

برای اینکار به این لینک می‌ریم و مراحل رو اونجا دنبال می‌کنیم.

مطابق تصویر زیر تنظیمات رو انجام می‌دیم.

تنظیمات OpenVPN میکروتیک توی سایت ovpnconfig.com.br

Remote (Address): آی‌پی روتر یا سرور میکروتیک رو وارد می‌کنیم.

Port: پورت پیش‌فرض اوپن وی ان 1194 هست. می‌تونیم به دلخواه تغییرش بدیم.

Auth: SHA-1

Cipher: AES-256-CBC

Key Passphrase: 12345678 (یا هر مقداری که در مرحله 4 وارد کردیم.)

این پست رو هم بخونین  مک فیلترینگ در میکروتیک

در سمت راست فایل های Certificate رو آپلود می‌کنیم.

بقیه گزینه‌ها رو تغییر نمی‌دیم.

در نهایت دکمه Generate رو می‌زنیم.

توی فیلدی که پایین قرار گرفته، فایل کانفیگ OpenVPN رو بصورت متن می‌بینیم.

عبارت‌های زیر رو از متن حذف می‌کنیم.

credentials.txt

ca [inline]

cert [inline]

key [inline]

و درنهایت دکمه Save رو می‌زنیم تا فایل کانفیگ اوپن وی پی ان میکروتیک دانلود بشه.

مرحله هفتم راه اندازی OpenVPN میکروتیک: کانفیگ OpenVPN میکروتیک

1: یه IP Pool تعریف می‌کنیم.

/ip pool add name="Ovpn-pool" ranges=192.168.250.2-192.168.250.253

نکته: اگه از سابنت ماسک 24/ (255.255.255.0) استفاده می‌کنیم، بهتره از آی‌پی 254 در آخر Pool استفاده نکنیم.

2: یه پروفایل برای کاربران اوپن وی پی ان می‌سازیم.

/ppp profile add name="vpn-profile" use-encryption=yes local-address=192.168.250.1 dns-server=8.8.8.8 remote-address=vpn-pool

توی وینباکس از مسیر +<PPP>Secrets برای کاربران اکانت می‌سازیم. و پروفایل ساخته شده رو انتخاب می‌کنیم.

 نکته: اگه می‌خوایم سرور اوپن وی پی ان میکروتیک رو به Radius Server یا اکانتینگ متصل کنیم، توی تب Secrets دکمه PPP Authentication&Accounting رو انتخاب  می‌کنیم. توی پنجره ظاهر شده، تیک Use Radius رو می‌زنیم.

4: توی WinBox از مسیر PPP>Interface>OVPN Server رو می‌زنیم و تنظیمات رو مطابق عکس زیر انجام می‌دیم.

می تونیم از طریق ترمینال هم با وارد کردن دستورات زیر این کار رو انجام بدیم.

/interface ovpn-server server set default-profile=vpn-profile certificate=server-certificate require-client-certificate=yes auth=sha1 cipher=aes128,aes192,aes256 enabled=yes