当前位置:首页 > 原创教程 > RouterOS 7.8配置OVPN

RouterOS 7.8配置OVPN

原创教程 / 星之宇 / 2023-4-30 8:35 / 浏览:14012 / 评论:0

RouterOS 7.8(以下简称ROS)使用自签名证书搭建OVPN服务器。


一、环境介绍

1、RouterOS 7.8

2、openvpn-2.4.8


二、创建自签名证书

1、生成根证书。

System --> Certificates --> +,General选项卡,Name输入 ca-77bx;Common Name输入 77bx-ca ; Days Valid输入有效期,建议输入 3650。Key Usage选项卡,勾选 crl signkey cert. sign,点击 ok 完成根证书创建。

301-1.png


2、生成服务器证书

System --> Certificates --> + ,General选项卡,Name输入 77bx-server;Common Name输入 77bx-server ; Days Valid输入有效期,建议输入 3650。Key Usage选项卡,勾选 digital signaturekey encipherment tls server,点击 ok 完成服务器证书创建。

301-2.png


3、生成客户端证书(私钥)

System --> Certificates --> + ,General选项卡,Name输入 77bx-client;Common Name输入 77bx-client ; Days Valid输入有效期,建议输入3650。Key Usage选项卡,勾选 tls client,点击 ok 完成客户端证书创建。

301-3.png


4、证书签名

根证书签名,77bx-ca -> 右键 -> Sign,Certificate选择 77bx-ca, 点击 Start

服务器证书签名,77bx-server -> 右键 -> Sign,Certificate选择 77bx-server , CA选择 77bx-ca , 点击 Start

客户端证书签名,77bx-client -> 右键 -> Sign,Certificate选择 77bx-client , CA选择 77bx-ca , 点击 Start

301-4.png

301-7.png


5、导出证书

根证书导出,77bx-ca -> 右键 -> Export , Certificate选择 77bx-server , Type选择 PEM ,点击 Export

客户端证书导出,77bx-client -> 右键 -> Export , Certificate选择 77bx-client, Type选择 PEM ,Export Passphrase输入密码(8位),点击 Export

301-5.png

301-6.png


6、下载证书

点开 File ,找到 cert_export_77bx-ca.crtcert_export_77bx-client.crt 和 cert_export_77bx-client.key 下载到本地。

301-8.png


以下是配置命令:

certificate add name=77bx-ca common-name=77bx-ca days-valid=3650 key-usage=crl-sign,key-cert-sign
certificate add name=77bx-server common-name=77bx-server days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
certificate add name=77bx-client common-name=77bx-client days-valid=3650 key-usage=tls-client
certificate sign name=77bx-ca number="77bx-ca"
certificate sign name=77bx-server ca=77bx-ca number="77bx-server"
certificate sign name=77bx-client ca=77bx-ca number="77bx-client"
certificate export-certificate numbers="77bx-ca"
certificate export-certificate numbers="77bx-client" export-passphrase=12345678


三、ROS OVPN配置

1、IP -> Pool -> +,Name输入 ovpn-pool , Addresses输入 192.168.100.1-192.168.1.200 , Next Pool选择 None ,点击 OK 创建ovpn的IP地址池

301-11.png


2、PPP -> Profiles -> + ,Name输入 ovpn-profile , Local Address输入路由器地址10.10.1.1,Remote Address选择 ovpn-pool,DNS Server输入路由器地址10.10.1.1,其他的默认,点击 OK 创建一个OVPN Profiles

301-12.png


3、PPP -> Secrets -> + , Name输入账号77bx,Password输入密码123456,Service选择 any或者ovpn,Peofile选择 ovpn-profile ,点击 OK 完成账号创建

301-13.png


4、PPP -> Interface -> OVPN Server,勾选 Enabled 开启服务,Default Profile选择 ovpn-profile,Certificate选择 77bx-server,勾选 Require Client Certificate,Auth勾选 SHA512 ,Cipher勾选 aes 256 cbc ,其他的默认,点击 OK 完成OVPN服务器的配置。

301-14.png


以下是配置命令:

ip pool add name=ovpn-pool ranges=192.168.100.1-192.168.100.200
ppp profile add dns-server=10.10.1.1 local-address=10.10.1.1 name=ovpn-profile remote-address=ovpn-pool
ppp secret add name=77bx password=123456 profile=ovpn-profile
interface ovpn-server server set certificate=77bx-server cipher=blowfish128,aes128-cbc,aes256-cbc default-profile=ovpn-profile enabled=yes require-client-certificate=yes


四、客户端配置

1、电脑安装 OpenVPN 客户端,并准备一个ovpn配置文件


2、新建txt文档,并把扩展名改为ovpn,并输入以下内容

client
dev tun
proto tcp
remote x.x.x.x 1194
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
tls-client
remote-cert-tls server
cipher AES-256-CBC
auth SHA512
auth-user-pass
auth-nocache
ca cert_export_77bx-ca.crt
cert cert_export_77bx-client.crt
key cert_export_77bx-client.key


3、把配置文件放入到openvpn\config文件夹下,以及把证书文件也放在这个文件夹下,测试连接,显示需要输入账号密码和证书密码,输入完可以正常连接上服务器。

301-10.png

301-9.png

目前有 0 条评论

    • 昵称
    • 邮箱
    • 网址