کانفیگ تنظیمات OpenVPN در میکروتیک ساده است، در این مقاله نحوه راه اندازی سرور اوپن وی پی ان (OpenVPN) در روتر های میکروتیک را به شما عزیزان آموزش خواهیم داد، همراه داتیس نتورک باشید.
OpenVPN در میکروتیک
اوپن وی پی ان یا OpenVPN یک نرم افزار اوپن سورس تجاری است که امکان پیاده سازی VPN به صورت نقطه به نقطه (point-to-point) و یا سایت به سایت (site-to-site) را فراهم می کند.
امکان انتقال دیتا در دو بستر UDP و TCP در این نرمافزار امکانپذیر است در نسخه جدیدتر ویژگی IPv6 بهطور کامل و همچنین پشتیبانی از رمزنگاری mbed TLS به آن افزوده شدهاست.
در این مقاله نحوه پیاده سازی و کانفیگ سرویس OpenVPN در میکروتیک را با یک سناریو به صورت عملی به شما عزیزان آموزش خواهیم داد، در ادامه همراه داتیس نتورک باشید.
مراحل کانفیگ اوپن وی پی ان در میکروتیک
سناریو : در این سناریو قصد داریم تا یک تانل از نوع OpenVpn با روتری که در کشور آلمان قرار دارد برقرار کنیم.
هدف از انجام این کار : تغییر آدرس IP خود به آدرس IP کشور آلمان و استفاده از سرویس هایی که IP ایران را تحریم کرده اند.
سرویس هایی مثل Google Analytics یا وب سایت هایی مانند شرکت Ubiquiti و … اجازه دسترسی به کاربران ایرانی را نمیدهند.
مرحله اول : تنظیمات اولیه روتر میکروتیک :
قبل از شروع آموزش ، نیاز است تا تنظیمات اولیه روتر میکروتیک را انجام دهید.
منظور از تنظیمات اولیه ، تنظیم آدرس IP روی روتر ، نوشتن Src NAT و Default Route و … میباشد.
اگر با این مفاهیم آشنایی ندارید سری به لینک زیر بزنید و سپس به ادامه آموزش بپردازید:
مرحله دوم : ساخت Certificate های مورد نیاز جهت راه اندازی OVPN در میکروتیک
پس از انجام پیکربندی های اولیه روتر نوبت به ایجاد Certificate های مورد نیاز جهت راه اندازی OpenVPN است.
- برای انجام این کار ابتدا از طریق نرم افزار Winbox وارد روتر خود شوید.
- پس از آن از منوی System گزینه Certificates را انتخاب کنید.
- پنجره Certificates برای شما همانند شکل زیر نمایان خواهد شد.
- کافیست روی دکمه + کلیک کنید.
- پنجره جدیدی به نام New Certificate برای شما نمایان میگردد.
در این قسمت در تب General همانند تصویر زیر مقادیر را انتخاب کنید :
در ادامه مراحل کانفیگ OpenVPN در میکروتیک :
پس از پر کردن مقادیر مشخص شده در تصویر بالا باید به قسمت Key Usage رفته و تیک گزینه های مربوطه را بزنید.
برای این Certificate گزینه های crl-sign و cert-sign باید تیک خورده باشد و مابقی گزینه ها نباید تیک بخورند.
سپس روی گزینه Apply کلیک کنید تا تنظیمات انجام شده اعمال شود.
پس از ساخت Certificate مادر که نام آن را CA در نظر گرفتیم نوبت به ساخت Certificate های Client و Server میرسد.
در ادامه مراحل کانفیگ OpenVPN در میکروتیک :
همین مراحل را برای هر دو آنها انجام دهید با این تفاوت که نام آنها دیگر CA نباشد.
بجای CA کلمات مربوطه یعنی Client یا Server باید قرار گیرد.
در قسمت Key Usage نیز باید گزینه های مربوط به هرکدام انتخاب شود.
اگر می خواهید به صورت دستور آماده اینکار را انجام دهید، دستور زیر را برای ساخت Certificate ده ساله برای دامین example.com وارد کنید:
/certificate add name=ca-template common-name=example.com days-valid=3650 key-size=4096 key-usage=crl-sign,key-cert-sign add name=server-template common-name=*.example.com days-valid=3650 key-size=4096 key-usage=digital-signature,key-encipherment,tls-server add name=client-template common-name=client.example.com days-valid=3650 key-size=4096 key-usage=tls-client
برای OpenVPN نیازی نیست که از Common-Name خاصی استفاده شود و میتوان هرچیزی از جمله آیپی سرور استفاده کرد.
سپس باید Certificate های ساخته شده را Sign کرد.
بسته به قدرت CPU روترتان اینکار ممکن است زمان بر باشد ویا حتی درهنگام کار Timeout شود.
در صورتی که با ارور Operation Timeout مواجه شدید جای نگرانی نیست فقط صبر کنید تا مصرف CPU کم شود.
/certificate sign ca-template name=ca-certificate sign server-template name=server-certificate ca=ca-certificate sign client-template name=client-certificate ca=ca-certificate
سپس باید از CA و Client خروجی بگیریم تا با آن فایل ovpn بسازیم.
در میکروتیک حتما باید passphrase برای خروجی گرفتن استفاده شود تا Key در اختیار ما بگذارد.
/certificate export-certificate ca-certificate export-passphrase="" export-certificate client-certificate export-passphrase=12345678
سپس ۳ فایل ساخته شده با نام های :
- cert_export_ca-certificate.crt
- cert_export_client-certificate.crt
- cert_export_client-certificate.key
را دانلود کرده و به کامپیوتر خود انتقال دهید.
آنهارا به ca.crt و client.crt و client.key تغییر نام دهید.
مرحله سوم کانفیگ OpenVPN در میکروتیک :
در این مرحله باید OpenVPN Server را در میکروتیک کانفیگ کنیم.
ابتدا باید یک IP Pool بسازم.
توجه کنید درصورتی که از سابنت 24 استفاده میکنید از آیپی 254 در انتهای Pool استفاده نکنید.
/ip pool add name="vpn-pool" ranges=192.168.8.2-192.168.8.253
سپس باید یک Profile بسازیم.
/ppp profile add name="vpn-profile" use-encryption=yes local-address=192.168.8.1 dns-server=8.8.8.8 remote-address=vpn-pool
برای ساخت اکانت به قسمت Secrets میرویم.
برای اتصال به اکانتینگ کافیست قسمت Radius را فعال کنیم.
و در آخر OpenVPN Server
/interface ovpn-server server set default-profile=vpn-profile certificate=server-certificate require-client-certificate=yes auth=sha1 cipher=aes128,aes192,aes256 enabled=yes
مرحله چهارم
ساخت فایل Ovpn . ابتدا باید passphrase را از روی فایل client.key حذف کنیم که اینکار با استفاده از OpenSSL انجام میشود در صورتی که در ویندوز هستید باید OpenSSL را نصب کنید .
ویندوز:
> openssl.exe rsa -in client.key -out client.key
لینوکس:
# openssl rsa -in client.key -out client.key
سپس یک فایل با نام client.ovpn ساخت و کد های زیر را درون آن کپی کنید.
مقادیر 3 فایل خروجی گرفته شده باید جایگزین شود.
client dev tun proto tcp remote client.example.com 1194 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server cipher AES-128-CBC auth SHA1 auth-user-pass redirect-gateway def1 verb 3 ca ca.cert /ca cert client.cert /cert key client.key /key
امیدواریم مقاله آموزش پیاده سازی اوپن وی پی ان در میکروتیک مفید بوده باشد.
داتیس نتورک را در شبکه های اجتماعی دنبال کنید.
محصولات مرتبط »
پکیج ویدیویی آموزش دوره MTCNA میکروتیک
کتاب آموزش دوره MTCNA میکروتیک