[Mikrotik] OpenVPN + TLS – Виконую встановлення, налаштування, супроводження серверів. Для деталей використовуйте форму зворотнього звʼязку

Нарешті! В mikrotik в OpenVPN можна використовувати TLS auth. Це можливо лише починаючи з версії 7.17rc3.

Щоб це спрацювало, треба імпортувати конфіг openvpn як один файл, всередині якого будуть і ключі і сертифікати. А також, є один нюанс, про який не пишуть в документації – треба в самому початку конфігу вказувати, що це client, інакше буде помилка:

[admin@MikroTik] > /interface/ovpn-client/import-ovpn-configuration file-name=OfficeUser.ovpn 
  progress: only ovpn client configuration can be imported

add "client" in the first line.

Отже, приблизний конфіг ovpn буде

client
...
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-auth>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>

Пробуємо

[admin@MikroTik] > /interface/ovpn-client/import-ovpn-configuration file-name=OfficeUser.ovpn 
  progress: config 'ovpn-import1750751599' import completed with warnings, please see system log

[admin@MikroTik] > ip route print 
Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, d - DHCP, v - VPN
Columns: DST-ADDRESS, GATEWAY, ROUTING-TABLE, DISTANCE
    DST-ADDRESS      GATEWAY                ROUTING-TABLE  DISTANCE
DAd 0.0.0.0/0        192.168.1.1            main                  1
DAc 10.44.0.0/24     ovpn-import1750751599  main                  0
DAv 10.101.1.0/24    10.44.0.1              main                  1
DAv 10.202.1.0/24    10.44.0.1              main                  1
DAc 192.168.1.0/24   ether1                 main                  0
DAc 192.168.88.0/24  bridge                 main                  0

[admin@MikroTik] > interface ovpn-client print 
Flags: X - disabled; R - running; H - hw-crypto; Ta - tls-auth; Tc - tls-crypt 
 0  RHTa   name="ovpn-import1750751599" mac-address=FE:C2:87:01:2E:34 max-mtu=1500 connect-to=XX.XX.XX.XX port=1194 mode=ip 
           protocol=tcp user="ovpnuser" password="" profile=default certificate=cert_ovpn-import1750751599 
           verify-server-certificate=yes tls-version=any auth=sha1 cipher=aes256-cbc use-peer-dns=yes add-default-route=no 
           route-nopull=no

Якщо треба увімкнути NAT (masquerade) на цьому інтерфейсі, то робимо так

[admin@MikroTik] > /ip firewall nat add chain=srcnat out-interface=ovpn-import1750751599 action=masquerade

Залишити відповідь Скасувати коментар