OpenVPN-сервер на роутере MikroTik
ЧАСТЬ 1. Подготовка маршрутизатора MikroTik
Шаг 1. Обновление MikroTik RouterOS
1. Подключитесь к роутеру через Winbox.
2. Перейдите в System → Packages.
3. Нажмите Check for Updates, затем Download & Install.
4. Подождите перезагрузки устройства.
Важно: Версия RouterOS должна быть 6.45+, желательно — последняя стабильная.
ЧАСТЬ 2. Создание и установка сертификатов
Шаг 2. Создание сертификатов
1. Откройте System → Certificates.
2. Создайте Root CA:
certificate add name=ca-template common-name=ca key-usage=key-cert-sign,crl-sign
3. Создайте сертификат сервера:
certificate add name=server-template common-name=server key-usage=digital-signature,key-encipherment,tls-server
4. Создайте сертификат клиента:
certificate add name=client-template common-name=client key-usage=tls-client
5. Подпишите сертификаты:
certificate sign ca-template name=ca certificate sign server-template name=server ca=ca certificate sign client-template name=client ca=ca
6. Проверьте: во вкладке Certificates статус должен быть KT (Key and Trusted).
ЧАСТЬ 3. Настройка OpenVPN-сервера
Шаг 3. Настройка IP-адресов и пула
1. Создайте пул IP-адресов для клиентов:
ip pool add name=ovpn-pool ranges=192.168.89.10-192.168.89.20
2. Создайте профиль PPP:
ppp profile add name=ovpn-profile local-address=192.168.89.1 remote-address=ovpn-pool use-encryption=yes
Шаг 4. Настройка PPP-сервера
1. Включите OpenVPN Server:
interface ovpn-server server set enabled=yes certificate=server require-client-certificate=yes auth=sha1 cipher=aes256 default-profile=ovpn-profile port=1194
Шаг 5. Создание пользователя
1. Добавьте VPN-пользователя:
ppp secret add name=vpnuser password=vpnpass profile=ovpn-profile service=ovpn
ЧАСТЬ 4. Настройка брандмауэра и NAT
Шаг 6. Разрешить порт OpenVPN
1. Откройте доступ к порту 1194:
ip firewall filter add chain=input protocol=tcp dst-port=1194 action=accept place-before=0
2. Разрешите доступ к VPN из интернета:
ip firewall filter add chain=input protocol=tcp dst-port=1194 src-address-list=allowed_vpn action=accept
(Опционально: добавьте IP-адреса клиентов в address-list=allowed_vpn)
ЧАСТЬ 5. Экспорт сертификатов и подготовка `.ovpn` файла
Шаг 7. Экспорт сертификатов
1. Экспорт CA и клиентского сертификата:
certificate export-certificate ca export-passphrase="" certificate export-certificate client export-passphrase=""
2. Загрузите через Winbox (Files) следующие файлы:
- ca.crt
- client.crt
- client.key
Шаг 8. Создание OVPN-файла (пример)
Создайте текстовый файл client.ovpn следующего содержания:
client dev tun proto tcp remote YOUR_PUBLIC_IP 1194 resolv-retry infinite nobind persist-key persist-tun cipher AES-256-CBC auth SHA1 remote-cert-tls server auth-user-pass verb 3 <ca> -----BEGIN CERTIFICATE----- [вставьте содержимое ca.crt] -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- [вставьте содержимое client.crt] -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- [вставьте содержимое client.key] -----END PRIVATE KEY----- </key>
Важно: Замените YOUR_PUBLIC_IP на внешний IP-адрес вашего MikroTik.
ЧАСТЬ 6. Проверка соединения
1. Установите OpenVPN-клиент на ПК/телефон.
2. Импортируйте client.ovpn.
3. При подключении введите логин и пароль:
- Имя пользователя: vpnuser
- Пароль: vpnpass
4. Подключитесь.
Если всё сделано верно — соединение установится, вы получите IP из пула.