lunedì , dicembre 11 2017
Ultime Notizie
Home / Wireless & Networking / Mikrotik / Mikrotik Openvpn Server Howto

Mikrotik Openvpn Server Howto

Ciao Ragazzi sono tornato e oggi vi parlo di come creare un server Openvpn su Mikrotik.

Un po’ di nozioni teoriche che non guastano mai, per prima cosa OpenVPN come IPSEC o PPTP o L2TP è uno standard per la creazioni di connessioni VPN (Virtual Private Network) per fare in modo che due reti LAN geograficamente distanti tra loro possano essere viste come una unica rete instaurando un tunnell cifrato.

Ad oggi gli standard PPTP e L2TP per quanto ancora utilizzati sono in dismissione perchè considerati (ed è vero!) poco sicuri. Tutti questi standard possono essere implementati su device Mikrotik

Per prima cosa è necessario munirsi di certificati digitali, che potete o acquistare se vi interessano servizi Trusted di terze parti (es. Geotrust, Symantec etc.) oppure generare da soli (self-signed) nel caso la vostra OpenVPN serva per uso “casalingo”!

Bene, siamo pronti per iniziare.

Creazione Certificati Self-Signed

Per prima cosa creiamo i certificati che ci servono, installando la suite OpenSSL (disponibile per tutti i sistemi operativi) creiamo per prima cosa la certification authority (CA) keyfile:

openssl genrsa -des3 -out ca.key 4096

 

Creiamo il file .crt:

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

In questa parte vi chiederà di inserire diverse informazioni quali Country, State, Province e così via. Queste non sono informazioni importanti per il nostro certificato, quello che è davvero importante è il Common Name (CN) dove dovete inserire o il dominio al quale punta la vostra Mikrotik (es. miamikrotik.miosito.it) oppure l’indirizzo IP pubblico della vostra Mikrotik. Queste informazioni sono fondamentali per il funzionamento del sistema di certificazione.

Una volta che abbiamo il file ca.crt e il file ca.key possiamo procedere con la copia dei files tramite Winbox, FTP etc. sulla Mikrotik.

IMMAGINE

Procediamo con l’import del certificato e della chiave sulla Routerboard:

[mikrotik@testssl] /certificate> import file-name=ca.crt 
passphrase: 
     certificates-imported: 1
     private-keys-imported: 0
            files-imported: 1
       decryption-failures: 0
  keys-with-no-certificate: 0
 
[mikrotik@testssl] /certificate> import file-name=ca.key        
passphrase: 
     certificates-imported: 0
     private-keys-imported: 1
            files-imported: 1
       decryption-failures: 0
  keys-with-no-certificate: 0

Adesso andando da Winbox su System -> Certificates se accanto il nostro ca.crt ci sono le lettere KT oppure KR l’importazione è avvenuta con successo e quindi possiamo proseguire, altrimenti controllate i certificati che siano corretti come in figura:

mikrotik-certificates

Verificato questo possiamo procedere con la configurazione vera e propria.

 

Creazione Pool Indirizzi

Per prima cosa creiamo un nuovo pool di indirizzi IP, andando su IP -> Pool clicchiamo su + e impostiamo come in figura:

mikrotik-ip-pool

Applicate le modifiche andiamo a definire il profilo openvpn su PPP->Profiles come segue:

mikrotik-ppp-profile

Ovviamentese utiizzate ip diversi ricordatevi di cambiare tutto altrimenti non funziona nulla!

Fatto questo possiamo abilitare il server OVPN, sempre da PPP-> OVPN Server e configuriamo come in figura:

mikrotik-openvpn-server

Attenzione, se spuntate Require Client Certificate dovrete generare un certificato anche per ogni client vpn che create, è una procedura più lunga, ma garantisce maggiore sicurezza di una semplice autenticazione basata su username e password.

Ci siamo quasi, manca solo aggiungere gli utenti che volete ed abbiamo finito!

Andiamo su PPP->Secrets e aggiungiamo il nuovo utente:

mikrotik-secret

Abbiamo finito!

Il server Openvpn è pronto, possiamo provarlo con un client!

Di seguito vi allego per completezza un esempio di file di configurazione del client OpenVPN, nel mio caso è per linux ma si trovano tantissimi esempi in giro per la rete anche di file per sistemi operativi diversi.

remote firewall.example.com 1194 tcp-client
persist-key
auth-user-pass 
tls-client
pull
ca /home/testvpn/.cert/ca.crt
redirect-gateway def1
dev tun
persist-tun
nobind

Enjoy!

 

Info Paolo Daniele

Ingegnere delle Telecomunicazioni, appassionato di informatica fin da piccolo ho trasformato la passione in lavoro. Con il PHP faccio tutto (o quasi…) ma non disprezzo altri linguaggi all’occorrenza. Se vi piace il mio sito, o vi è utile, o vi sto simpatico, offritemi una birra!

Ti potrebbe interessare

Mikrotik – Visualizzare password Winbox

Ciao Ragazzi, quante volte è capitato di dimenticare una password? Winbox (il tool sviluppato da …

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *