Configurazione di un server VPN roadwarriors con router Mikrotik

From RVM Wiki
Revision as of 17:37, 1 April 2020 by Gabriele.vivinetto (talk | contribs) (Created page with "* Queste operazioni vanno eseguite via ssh sul router. * RouterOS supporta solo l'autenticazione username e passwrdo, al massimo con in aggiunta i certificati. * Non support...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search
  • Queste operazioni vanno eseguite via ssh sul router.
  • RouterOS supporta solo l'autenticazione username e passwrdo, al massimo con in aggiunta i certificati.
  • Non supporta la sola autenticazione a certificati.
  • Non supporta UDP,
  • Non supporta la compressione.
  • Questo esempio usa solo l'autenticazione username apssword, infatti i certificati client non sono usati, si usa solo il CA.
  • La rete remota è 192.168.50.0/24 il DNS .201
  • Il certificato e la chiave server sono stati generati esternamente, caricati via webgui, ed importati, e sono chiamati vpn.ronchetti.it.crt_0


  • Creazione dei pool di indirizzi PER OGNI CONNESSIONE (Verificare se serve davvero o ne basta uno)
/ip
pool add name="vpn-pool-1" ranges=10.0.50.1-10.0.50.2 next-pool="vpn-pool-2"
/ip
pool add name="vpn-pool-2" ranges=10.0.50.5-10.0.50.6 next-pool="vpn-pool-3"
/ip
pool add name="vpn-pool-3" ranges=10.0.50.9-10.0.50.10 next-pool="vpn-pool-4"
/ip
pool add name="vpn-pool-4" ranges=10.0.50.13-10.0.50.4


  • Aggiungere il profilo VPN
/ppp
profile add name="vpn-profile" use-encryption=yes local-address="vpn-pool-1"  dns-server=192.168.50.201 remote-address="vpn-pool-1"
  • Creare gli utenti:
/ppp
secret add name=openvpn profile=vpn-profile password=passwordsegreta
/ppp
secret add name=gabriele.vivinetto profile=vpn-profile  password=passwordspisegreta
  • Creare la configurazione del server openvpn che usa la porta 50000 tcp e non richiede certificati lato client:
/interface ovpn-server server
set default-profile=vpn-profile certificate=vpn.ronchetti.it.crt_0 require-client-certificate=no cipher=aes128,aes192,aes256 enabled=yes port=50000 auth=sha1
  • Aggiungere la regola di firewall per consentire la connessione VPN:
/ip firewall filter
add chain=input protocol=tcp dst-port=50000 action=accept place-before=0 comment="Allow OpenVPN"
  • Aggiungere la regola di firewall per consentire il traffico via VPN:
/ip firewall filter
add action=accept chain=forward in-interface="ovpn-openvpn" place-before=0 comment="Allow OpenVPN forward traffic"

Pulizia

  • Se si sbaglia, questi sono i comandi per cancellare le configurazioni:
/interface ovpn-server server
set enabled=no

/ppp
secret remove openvpn

/ppp
profile remove vpn-profile

/ip
pool remove vpn-pool

Client

  • Lato client, questo è il file di configurazione:
dev tun
proto tcp-client
remote fire.ronchetti.it 50000
ca   ca.ronchetti.it.crt
cipher AES-128-CBC
auth SHA1

auth-nocache
tls-client

persist-tun
persist-key
mute-replay-warnings
verb 1
cipher AES-256-CBC
auth SHA1
pull
route 192.168.50.0 255.255.255.0
auth-user-pass

Riferimenti

Retrieved from "https://kb.rvmgroup.it/index.php?title=Configurazione_di_un_server_VPN_roadwarriors_con_router_Mikrotik&oldid=10388"