====== OpenVPN-сервер на роутере MikroTik ======
----
=====ЧАСТЬ 1. Подготовка маршрутизатора MikroTik=====
----
===Шаг 1. Обновление MikroTik RouterOS===
----
1. Подключитесь к роутеру через Winbox.
2. Перейдите в **System → Packages**.
3. Нажмите **Check for Updates**, затем **Download & Install**.
4. Подождите перезагрузки устройства.
> **Важно:** Версия RouterOS должна быть **6.45+**, желательно — последняя стабильная.
----
----
=====ЧАСТЬ 2. Создание и установка сертификатов=====
----
===Шаг 2. Создание сертификатов===
----
1. Откройте **System → Certificates**.
2. Создайте Root CA:
certificate add name=ca-template common-name=ca key-usage=key-cert-sign,crl-sign
3. Создайте сертификат сервера:
certificate add name=server-template common-name=server key-usage=digital-signature,key-encipherment,tls-server
4. Создайте сертификат клиента:
certificate add name=client-template common-name=client key-usage=tls-client
5. Подпишите сертификаты:
certificate sign ca-template name=ca
certificate sign server-template name=server ca=ca
certificate sign client-template name=client ca=ca
6. Проверьте: во вкладке **Certificates** статус должен быть **KT** (Key and Trusted).
----
=====ЧАСТЬ 3. Настройка OpenVPN-сервера=====
----
===Шаг 3. Настройка IP-адресов и пула===
----
1. Создайте пул IP-адресов для клиентов:
ip pool add name=ovpn-pool ranges=192.168.89.10-192.168.89.20
2. Создайте профиль PPP:
ppp profile add name=ovpn-profile local-address=192.168.89.1 remote-address=ovpn-pool use-encryption=yes
----
===Шаг 4. Настройка PPP-сервера===
----
1. Включите OpenVPN Server:
interface ovpn-server server set enabled=yes
certificate=server
require-client-certificate=yes
auth=sha1
cipher=aes256
default-profile=ovpn-profile
port=1194
----
===Шаг 5. Создание пользователя===
----
1. Добавьте VPN-пользователя:
ppp secret add name=vpnuser password=vpnpass profile=ovpn-profile service=ovpn
----
=====ЧАСТЬ 4. Настройка брандмауэра и NAT=====
----
===Шаг 6. Разрешить порт OpenVPN===
----
1. Откройте доступ к порту 1194:
ip firewall filter add chain=input protocol=tcp dst-port=1194 action=accept place-before=0
2. Разрешите доступ к VPN из интернета:
ip firewall filter add chain=input protocol=tcp dst-port=1194 src-address-list=allowed_vpn action=accept
(Опционально: добавьте IP-адреса клиентов в address-list=allowed_vpn)
----
=====ЧАСТЬ 5. Экспорт сертификатов и подготовка `.ovpn` файла=====
----
===Шаг 7. Экспорт сертификатов===
----
1. Экспорт CA и клиентского сертификата:
certificate export-certificate ca export-passphrase=""
certificate export-certificate client export-passphrase=""
2. Загрузите через Winbox (Files) следующие файлы:
* ca.crt
* client.crt
* client.key
----
===Шаг 8. Создание OVPN-файла (пример)===
----
Создайте текстовый файл **client.ovpn** следующего содержания:
client
dev tun
proto tcp
remote YOUR_PUBLIC_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth SHA1
remote-cert-tls server
auth-user-pass
verb 3
-----BEGIN CERTIFICATE-----
[вставьте содержимое ca.crt]
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
[вставьте содержимое client.crt]
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
[вставьте содержимое client.key]
-----END PRIVATE KEY-----
> **Важно:** Замените **YOUR_PUBLIC_IP** на внешний IP-адрес вашего MikroTik.
----
=====ЧАСТЬ 6. Проверка соединения=====
----
1. Установите OpenVPN-клиент на ПК/телефон.
2. Импортируйте client.ovpn.
3. При подключении введите логин и пароль:
* **Имя пользователя:** vpnuser
* **Пароль:** vpnpass
4. Подключитесь.
**Если всё сделано верно** — соединение установится, вы получите IP из пула.
----