Mikrotik OpenVPN server and OpenVPN client.md

Mikrotik OpenVPN server and OpenVPN client

Sơ đồ hệ thống

Hệ thống thiết kế theo mô hình VPN Remote Access. Trong đó có các thiết bị trong mạng LAN tại văn phòng công ty được nối với một Mikrotik Router. Trên Mikrotik router này được cấu hình OpenVPN server từ đó các máy tính "Remote client" có thể kết nối với server qua mạng internet, nhờ vậy các máy tính cá nhân có thể truy cập được vào mạng LAN của văn phòng từ bất cứ đâu chỉ cần có kết nối internet.

Router có ip: 192.168.3.1
Interface ether1 của Mikrotik RB750 có ip: 192.168.3.254
Mạng VLAN kết nối với RB750 có ip: 192.168.2.0/24 default-gateway: 192.168.2.1
Mạng VLAN của OpenVPN remote client có ip: 10.100.10.0/30 default-gateway: 10.100.10.1

Tạo chứng chỉ phục vụ cho cấu hình OpenVPN:

Tạo Certificate sử dụng Easy-RSA trên hệ điều hành Ubuntu

Download Easy-RSA tại đây: https://github.com/OpenVPN/easy-rsa/releases/download/2.2.2/EasyRSA-2.2.2.tgz

Trên cửa sổ Terminal thứ tự chạy các lệnh:

cd Dowloads
tar zvxf EasyRSA-2.2.2.tgz
cd Easy-RSA-2.2.2
cp openssl-0.9.8.cnf openssl.cnf
gedit vars

Trong cửa sổ gedit hiện lên chỉnh sửa các thống số cá nhân của mình và lưu lại.

export KEY_COUNTRY="VN"
export KEY_PROVINCE="HN"
export KEY_CITY="Ha-Noi"
export KEY_ORG="NetNam"
export KEY_EMAIL="nguyenvandau.hut@gmai.com"

Sau đó tiếp tục trên cửa sổ terminal

source vars
./clean-all
./pkitool --initca 
./pkitool --server RB750
openssl rsa -in keys/RB450.key -out keys/RB750.pem
./pkitool client1
openssl rsa -in keys/client1.key -out keys/client1.pem

Key vừa tạo ra được chứa trong thư mục

Downloads/Easy-RSA-2.2.2/keys/

Hoặc các bạn cũng có thể download certificate mình đã tạo ở Đây và giải nén

Cài đặt OpenVPN server trên Mikrotik router

1. Import certificate to Router RB750

Kết nối với router qua Winbox

Copy certificate vào cửa sổ File trên Winbox

Trên cửa sổ terminal gõ thứ tự các lệnh sau:

certificate import file-name=ca.crt
certificate import file-name=RB750.crt
certificate import file-name=RB750.key

2. Create an IP pool for OpenVPN client

Create each pool of /30 subnet

Copy lệnh tại đây và paste vào cửa sổ terminal để tạo IP pool table

3. Cấu hình OpenVPN server

Trên Winbox chọn PPP, tạo mới một PPP Profiles

Chuyển qua tab Secret tạo mới một PPP Secret

Chuyển qua tab Interface nhấn buton OVPN Server

Cài đặt và cấu hình OpenVPN client server trên Windows

1. Download và cài đặt OpenVPN trên máy tính windows

Truy cập đường link sau: https://openvpn.net/index.php/open-source/downloads.html

CHọn downloads phiên bản OpenVPN 32bit hay 64bit theo phiên bản windows của bạn

2. Cài đặt certificate Copy certificates đã tạo hoặc download ở trên vào thư mục C:\Program Files\OpenVPN\config

3. Cấu hình OpenVPN client

Tạo một file txt với nội dung:

client
dev tun
proto tcp-client
remote 101.96.104.59
port 1194
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
ca ca.crt
cert client1.crt
key  client1.key
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
auth-user-pass secret
auth-nocache
;redirect-gateway def1
route 192.168.2.0 255.255.255.0

Lưu lại file và đổi tên thành MTVPN.ovpn

Tạo tiếp một file txt với nội dung:

netnam
netnam

Lưu lại file và đổi tên thành secret (CHú ý là không có đuôi)

Copy 2 file vừa tạo vào thư mục: C:\Program Files\OpenVPN\config

Hoặc các bạn cũng có thể download các file đó tại Đây

4. Chạy phần mềm OpenVPN lên và kết nối.

Kết quả:

Cài đặt và cấu hình OpenVPN remote client trên CentOS

1. Cài đặt OpenVPN

• Với máy CentOS 6 chạy lần lượt các lệnh:

wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
rpm -Uvh epel-release-6-8.noarch.rpm
yum install openvpn -y

• Với máy CentOS 7 Server ta chạy các lệnh:

wget http://dl.fedoraproject.org/pub/epel/7Server/x86_64/e/epel-release-7-6.noarch.rpm
rpm -Uvh epel-release-7-6.noarch.rpm
yum install openvpn -y

2. Cài đặt certificate

Copy Sertificates và hai file MTVPN.ovpn và secret như ở trên phần cài đặt cho windows client vào thư mục /etc/openvpn/

Hoặc cũng có thể download tại đây giải nén rồi copy vào thư mục /etc/openvpn/

cp ca.crt client1.crt client1.key MTVPN.ovpn secret /etc/openvpn/

3. Kết nối OpenVPN

Trên cửa sổ terminal chạy lệnh:

cd /etc/openvpn
openvpn --config /etc/openvpn/MTVPN.ovpn

Sau khi chạy lệnh trên, máy tính sẽ kết nối tới OpenVPN server.

Sau khi kết nối thành công, ta có thể kiểm tra:

Link tài liệu tham khảo:

http://wiki.mikrotik.com/wiki/OpenVPN

https://rbgeek.wordpress.com/2014/09/10/openvpn-server-setup-on-mikrotik-routeros/

https://www.youtube.com/watch?v=9pOTiEsGBYo

https://www.youtube.com/watch?v=ucifDsLHj6c

https://www.youtube.com/watch?v=pxOqnkGwhCI

Cấu hình Mikrotik Router cơ bản

Cấu hình Mikrotik Router RB951UI 2HnD

1. Cài đặt để kết nối Internet
2. Thêm địa chỉ ip cho interface bridge
   
   Địa chỉ thêm cho bridge chính là địa chỉ của default gateway
3. Thêm địa chỉ ip cho interface ether1, là địa chỉ ip public được cấp.
4. Cài đặt interface ether2 làm Master-port. Master-port có địa chỉ mac giống với bridge
5. Thêm master-port cho các interface ether 3,4,5

• Cài đặt Ip routes cho router

• Cài đặt DHCP server

• Cài đặt NAT

1. NAT port
   
   ip firewall nat add chain=dstnat dst-address=101.96.104.59 protocol=tcp dst-port=1194 action=dst-nat to-address=192.168.3.254 to-port=1194

Cấu hình Mikrotik Router RB750

1. Cài đặt để có kết nối Internet
   • interface wan: 192.168.4.254/24 (Hoặc cũng có thể cấu hình ip -> DHCP client để router trước đó cấp xuống)
   • interface master: 192.168.2.1/24
   • Cài đặt Master port cho các interface mạng LAN
   • Cấu hình DHCP cho mạng cục bộ
     
     ip -> DHCP server -> DHCP Setup và chọn DHCP Server Interface là interface master vừa thêm ip ở trên rồi Next
   • Cấu hình default routes (Nếu đã thêm DHCP client thì đã có rồi không cần thêm lại)
   • Cấu hình NAT
     Vào ip -> Firewall -> NAT
     NAT tất cả địa chỉ mạng LAN ra địa chỉ của cổng wan

Chào anh, anh có thể up lại các hình ảnh cấu hình trên mikrotik ko ah ? Các hình ảnh hiện tại không thể hiển thị.