OpenVPN na routerech MikroTik

OpenVPN na routerech MikroTik

Připojte se k MikroTiku přes webové rozhraní. Můžete použít webové rozhraní Router OS, ze kterého jsou i následující screeny, nebo aplikaci Winbox. Výchozí port pro OpenVPN je 1194. Můžete jej jakkoliv změnit, ale nezapomeňte jej povolit na firewallu. V sekci IP-> Firewall přidejte následující řadek:

Firewall

MIkroTik - firewall VPN

Chain: input

Protocol: (6) tcp

Dst.Port: 1194

Action: accept

1) Certifikáty

Nejdříve si vytvoříme certifikáty  ca, server a client (můžete použit libovolné názvy). V System -> Certificates, klikněte na Add new a po vyplnění polí jej hned podepište pomocí volby Sign.

CA

Mikrotik - add CA certificate Mikrotik - add CA certificate

Server

Mikrotik - add server certificate Mikrotik - add server certificate

Client

Mikrotik - add client certificate Mikrotik - add client certificate

Celé by to mělo vypadat nějak takhle:

OpenVPN Mikrotik - Certifikáty

Po rozkliknutí jednotlivých certifikátu máte možnost provést Export. Tím se certifikáty uloží do souboru a naleznete je pod záložkou Files.

Tip: Pro vygenerování client.key souboru (pokud chcete chránít client.key + heslo uživatele, je nutné u exportu zadat heslo dlouhé minimálně 8 znaků. Tím se spolu s *.crt vygeneruje i *.key soubor. 

Certifikáty si stáhněte do počítače v sekci Files.

MikroTik - stažení certifikátu

2) Rozsah adres

Pro VPN si vytvoříme vlastní rozsah adres. Pokud máte primární rozsah "Pool", například 192.168.1.1-100, můžete si vytvořit jiný nebo použít nějakou část stávajícího rozsahu, např. 192.168.1.200-230 atp. Nastavení se provádí v IP -> Pool

MikroTik - rozsah pro VPN

3) Vytvoření profilu a spuštění VPN služby

V PPP -> Profiles  vytvořte nový profil pomocí "Add new". Vyplňte libovolný název a nastavte Local Address na adresu, která není obsazena a není ani v žádném rozsahu. V tomto příkladu 192.168.1.200. V Remote address vyberte rozsah z předešlého bodu.

MikroTik - VPN Profile

Pak v záložce PPP -> Interface -> OVPN server zaklikněte "Enabled", zvolte si port (na obrázku default) a

vyberte VPN profil a server certifikát.  Auth a Ciper zvolte dle obrázku.

MikroTik - Enable OpenVPN

4) Účty pro VPN

V záložce PPP -> Secrets přidejte pomocí "Add new" nového uživatele. V tomto příkladu vidíme, jak by mohl vypadat účet pro Pavla. Nezapomeňte zvolit heslo, vybrat službu a profil.

MikroTik - uživatelský účet pro VPN přístup

To je vše!!!

Tip:  Aby mohli uživatelé připojení přes VPN přistupovat do vašeho primárního rozsahu, kde máte například smart home, NAS atp., musíte ještě udělat jedno nastavení, a to v Interfaces na "bridge" nastavit v sekci ARP - proxy-ARP

MikroTik - Proxy ARP

5) Konfigurační soubor

Aby uživatelé, kterým dáte přístup, to měli co nejsnazší, vytvořte konfigurační soubor, např. VPN.ovpn, kde budou následující údaje. Oranžové údaje nahraďte svoji vnější adresou a svými obsahy certifikátů vygenerovanými na MikroTiku.

client
remote VerejnaAdresaVpnServeru 1194
auth-user-pass
cipher AES-256-CBC
dev tun
proto tcp
nobind
auth-nocache
script-security 2
persist-key
persist-tun

redirect-gateway autolocal def1
redirect-gateway def1

<ca>
-----BEGIN CERTIFICATE-----
//zde vlozte certifikat
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
//zde vlozte certifikat
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----
//zde vlozte certifikat
-----END ENCRYPTED PRIVATE KEY-----
</key>


Soubor pošlete emailem uživateli. Postup pro nastavení na Androidu i iOS najdete na tomto blogu také.

Hodnotit článek:

5
Average: 4.5 (2 votes)

Přidat komentář:

Komentáře

Your profile picture

diky. jen jsem mel trochu potiz s exportem client.key, ale podarilo se a uz to fici.

Your profile picture

Ahoj. Mužeš mi prosímtě vysvětlit, jak jsi vyexportoval (vytvořil) client.key?S nastavením VPN na Mikrotiku se setkávám porvé a vůbec mi to není jasné. Vygenerované certifikáty CA, client a server, jsem si vyexportoval do "files" a tam je mám všechny se stejnými názvy, s příponou .crt. Absolutně nemám ponětí, jak vygenerovat (vyexportovat) client.key.Díky za radu.

Your profile picture

Ahoj. Mužeš mi prosímtě vysvětlit, jak jsi vyexportoval (vytvořil) client.key?S nastavením VPN na Mikrotiku se setkávám porvé a vůbec mi to není jasné. Vygenerované certifikáty CA, client a server, jsem si vyexportoval do "files" a tam je mám všecny se stejnými názvy, s příponou .crt.Absoilutně nemám ponětí, jak vygenerovat (vyexportovat) client.key.Díky za radu.

Your profile picture

Zdravím,
při tom kliknutí na Export u client certifikátu je pro vygenerování client key nutné zadat heslo s minimalne 8 znaky. Pak se vygeneruje i *.key soubor.

Your profile picture

Ahoj, jen dávám tip, že musí být ještě povolený port 1194 na firewallu. Jinak se na Mikrotik zvenku nejde dostat ve výchozím nastavení

Your profile picture

Ahoj, super navod funguje i pro me ktery se do konfigurace podiva jednou za rok a staci to vsechno opet zapomennout. Dekuji.
Jen poznamka ke konfiguraci v souboru *.ovpn, odmazat radky "user nobody" a "group nobody". Je to pry pro pripojeni VPNky k linuxu. Pri pripojovani to do logu psalo cervene chybu.
Jeste jednou Diky Jirka

Your profile picture

Díky za poznámku. Upraveno.

Your profile picture

Kde prosím vezmu certifikát <cert> a <key> do konfiguračního souboru? Mám CA, Client a Server.

Your profile picture

Zdravím, viz poslední obrázek v sekci 1) Certifikáty. Pokud se postupuje podle navodu měli by byt ke stažení všechny tři jako na obrázku.

CA je jasný, cert je certifikat clienta  a key je key clienta.

Your profile picture

Děkuji, vše mi už funguje. Pro nezkušené uživatele je dobré to popsat lépe, kde mají co vzít :-)

Your profile picture

Nastavil jsem vše dle návodu, vše snad 10x zkontrolováno a když se chci připojit k VPN, tak se to stále točí v connecting -> resumming -> retry (server poll timeout). Nevíte. kde by mohl být problém? 
Jednou jsem v logu viděl chybu "cant assign requested address". 

Your profile picture

Mám "podobný" problém. Nastavil jsem to doma přes noťas, kde VPN funguje když jsem připojený do LAN i když se připojím na mobil přes hotspot "zvenku".
Přijdu do práce, kde mám stolní počítač a noťas a už se na VPN domů nepřipojím ani z jednoho s chybou "Server poll timeout, trying next remote entry...". Někde jsem četl, že je potřeba OpenVPN spustit jako admin, ale to mi nepomohlo...

Your profile picture

Zdravím,
"Server poll timeout" značí, že pravděpodobně nedostávate odpověď od serveru. Problému může být více. Ověřte danou IP adresu a hlavně port. Můžete mít například v práci blokován port 1194 což je výchozí OpenVPN port. Velmi často se nejde takto připojovat s veřejných hotspotů nebo korporátu kde je dost porů zablokovaných. Zkoušel bych to metodou pokus omyl. Pokud vám funguje připojení z mobilního internetu, zkuste si nasdílet WiFi mobilu do ntb a připojit se. Pokud to projde, je problém v blokovaných portech v práci. Pokud ne tak je problém v klientovi na ntb.

Your profile picture

Dobrý den,
Jak poznám ca,cert a key když mám vygenerované ca.crt, client.crt,server.crt

<ca>-----BEGIN CERTIFICATE-----//zde vlozte certifikat-----END CERTIFICATE-----</ca>
<cert>-----BEGIN CERTIFICATE-----//zde vlozte certifikat-----END CERTIFICATE-----</cert>
<key>-----BEGIN ENCRYPTED PRIVATE KEY-----//zde vlozte certifikat-----END ENCRYPTED PRIVATE KEY-----</key>

 

Your profile picture

Zdravím,
CA je jasné, cert je client.crt a key je client.key.  Pokud jste nezadali heslo při exportu client.crt tak key nemate a nepotřebujete.

Your profile picture

zdravím,super návod. chci se do toho pustit v MikroTik RouterOS 6.49.2. rád bych se zeptal, zda je toto funkční, ikdyž nemám od internetového providera přidělenou veřejnou IP adresu? pokud ne, jak v totmo případě postupovat bez veřejné IPny?s pozdravem. Brouk

Your profile picture

Bez veřejné IP vám tento návod stačit nebude. Postup je identický ale za
remote VerejnaAdresaVpnServeru 1194
musíte dosadit veřejnou adresu. Já to řeším vytunelováním pomocí autossh na veřejnou VPS. Pokud nemáte server s veřejnou adresou, dá se použít nějaké raspberry uvnitř domu a na něm rozchodit přesměrování přes ngrok.
Nějaký návod je zde s tím, že tady je OpenVPN přímo na tom raspberry https://bit.ly/3spZu1l OpenVPN server lze nechat na mikrotiku a z raspberry jenom udělat přesměrování na ten mikrotik. Bohužel druhou variantu jsem nedělal takže více poradit neumím.

Your profile picture

Dobrý den, děkuji za návod. Chtěl bych se zeptat, jak mohu posílat skrze tento VPN tunnel veškerý provoz? 

Your profile picture

Jenom pro doplnění, když se připojím k VPN z jiné sítě, jako je moje školní síť, veškerý provoz nejde do VPN. V důsledku toho nemohu používat některé zakázané služby jako ftp, ssh, protože provoz je blokován školním firewallem. PS: push "redirect-gateway autolocal def1" pusH "redirect-gateway def1" Mi v configu clienta nefungují

Your profile picture

Zdravím, bohužel tady neumím poradit. Nic jiného než "redirect-gateway def1" mě nenapadá. Ještě můžete zkusit alternativu k OpenVPN, pro MikroTik od RouterOS 7 je zabudována podpora pro WireGuard.

Your profile picture

Dobrý den, v obsahu souboru .ovpn je chyba, která způsobuje nefunkčnost routování. Jedná se o tyto řádky:
push "redirect-gateway autolocal def1"push "redirect-gateway def1"
Direktivy "push" jsou určené pro serverovou stranu, kde server "tlačí" konfiguraci ke klientovi.
Pro nastavení na straně klientského .ovpn souboru to správně má být bez push, viz:
redirect-gateway autolocal def1redirect-gateway def1
S touto konfigurací již routování do lokální sítě funguje. 

Your profile picture

Vidím, že mi editor zmrvil komentář, tak znovu:

Dobrý den, v obsahu souboru .ovpn je chyba, která způsobuje nefunkčnost routování. Jedná se o tyto řádky:

push "redirect-gateway autolocal def1"
push "redirect-gateway def1"
Direktivy "push" jsou určené pro serverovou stranu, kde server "tlačí" konfiguraci ke klientovi.
Pro nastavení na straně klientského .ovpn souboru to správně má být bez push, viz:

redirect-gateway autolocal def1
redirect-gateway def1

S touto konfigurací již routování do lokální sítě funguje. 

Your profile picture

Lokální sítí myslím LAN do které se přes VPN připojujeme.

Your profile picture

Moc díky za zpětnou vazbu! Konfigurační soubor je opraven. 

Your profile picture

Děkuji, nemohl jsem najít, kde je chyba. Tohle pomohlo. Mám docela štěstí, řeším to od včerejška :)

Your profile picture

Dobrý den, nemohl jsem přijít proč mi to stále nefunguje a pak jsem posunul pravidlo na port 1194 ve Firewallu, nad "drop all not coming from LAN" a připojení začalo fungovat.
U mě spíše nahoda pokus omyl, povolanější asi ví.

Přidat komentář

Nejlépe hodnocené příspěvky

PiHome - Chytry dum mereni spotreby elektriny
Měření spotřeby domu po fázíchHodnocení: 
0%

V tomto příspěvku ukážeme jak lze řešit měření aktuální spotřeby po fázích v rodinném domě. Lze použít různé komerční zařízení, bohužel nativní MQTT zařízení jsme nenašli. V našem případě jsme tedy zvolili kvůli existující síti Z-Wave produkt Aeotec Home Energy Meter Gen5.

DIY Alarm
Alarm z existujících PIR senzorů v chytrém doměHodnocení: 
0%

V chytrém domě, kde PIR čidla neslouží jenom ke spínání světel při pohybu, je možné tyto čidla vyžít k zjištění přítomnosti osob v dané místnosti. Na těchto informacích se dá postavit poměrně spolehlivý domácí necertifikovaný zabezpečovací systém. V tomto postupu naleznete logiku jakým způsobem to může fungovat v softwaru OpenHAB 3 na našem demo příkladě chytrého domu.

Arduino PIR - možnost deaktivace, časovač a denní doba
Pokročilé nastavení PIR čidel pro řízení světel v OpenHABHodnocení: 
100%

PIR čidlo HC-SR501 obsahuje mechanické nastavení dosahu záběru a délky sepnutí. V inteligentním domě ale chceme mít možnost variabilně parametry PIR měnit. Ukážeme jak PIR čidlo nastavit tak, aby šlo v aplikaci nebo vypínačem deaktivovat a volitelně nastavovat délku svícení.

Centrální tablet pro chytrý dům
Centrální tablet pro ovládání chytrého domuHodnocení: 
80%

Centrální tablet nebo starší smartphone se perfektně hodí jako centrální ukazatel informací o stavu v domě a také k jeho ovládání. Zpravidla nahrazuje videovrátného a můžete si na něm pustit například oblíbenou hudbu při vaření nebo číst recepty. V článku popíšeme funkční příklad takového "wall" tabletu a jeho nastavení v tzv. kiosk módu, aby nesvítíl po nocích a reagoval jenom když je někdo poblíž.

Persistent linux live USB
Vytvoření persistent live USB LinuxuHodnocení: 
0%

Většina distribucí linuxu existuje v "live" provedení, tz. že po rozbalení jej můžete používat přímo z flash disku nebe externiho SSD. Po uložení práce se vám ale klasická live distribuce znovu uvede to výchozího nastavení. Toto řeší tzv. persistent live instalace. Ukážeme si jak jej vytvořit na Linuxu nebo Windows.

Jabltron propojení s chytrou domácností
Propojení Jablotronu s OpenHABHodnocení: 
0%

V tomto článku si představíme užitečný "binding" pro OpenHAB hlavně v tuzemských instalacích kde je hodně zastoupen alarm od firmy Jablotron. Propojení alarmu s chytrou domácností nám umožní reagovat na stav zakódování/odkodování domu. Typicky při zákodování domu zhasnout všechna světla, zavřít přívod vody, vypnout cirkulaci TUV, vypnout spínáne zásuvky a cokoliv dalšího co nepotřebujete v provozu nejste-li doma.

Thunderbird vs Exchange email and calendar
Thunderbird vs MS ExchangeHodnocení: 
0%

V tomto článku si ukážeme jak provozovat firemní poštu a kalendář postavenou na MS Exchange 20xx s Thunderbirdem na jakḱoliv distribuci Linuxu. Používám toto řešení k spokojenosti přes 8 let od verze Exchange 2013 - 2016 - 2019.

Konfigurace OpenVPN na MikroTiku
OpenVPN na routerech MikroTikHodnocení: 
90%

Máte-li doma smart-home, NAS atp., je dobré myslet na bezpečný přístup do vaší sítě zvenku. Zde bych aktuálně volil komerční router jako Turris, nebo levnější variantu routerů MikroTik. V tomto článku ukážeme postup, jak si zřídit zabezpečený přístup do domácí sítě z venku jak z počítače tak z mobilu pomocí OpenVPN na routerech MikroTik.

Nastavení OpenVPN v iOS
Nastavení OpenVPN připojení v iOSHodnocení: 
100%

V tomto článku najdete podrobný návod, jak se připojit k OpenVPN v iOS.

Nastavení OpenVPN na Androidu
Nastavení OpenVPN připojení v AndroiduHodnocení: 
100%

V tomto článku najdete podrobný návod, jak se připojit k OpenVPN na Androidu.