OpenVPN已經(jīng)被轉(zhuǎn)移到各種平臺,包括 Linux和 Windows,RouterOS在 v3.x支持 OpenVPN ,你需要通過安裝和啟用 ppp功能包。在 RouterOS平對 OpenVPN僅支持tcp方式,udp方式不支持。 在 Windows你需要另外的 GUI,系統(tǒng)中允許你在 windows系統(tǒng)中安裝客戶端,你可以到OpenVPN GUI下載http://www.openvpn.se/download.html . OpenVPN要求與 SSL證書一起工作,你需要生成一個證書,一般可以通過 linux安裝 OpenVPN功能包后生成,或者通過http://cacert.org 網(wǎng)站申請
25.1 OVPN配置
OVPN 服務(wù)器配置,首先要導入證書,否則 OVPN 與客戶端是無法連接的,我們可以從網(wǎng)上下載已有的證書或者自己通過已經(jīng)安裝 OVPN的 linux系統(tǒng)生成新的證書,這里我們根據(jù)已有的證書進行操作,如下圖:
導入完成后,在 file list可以看到證書
選擇 system certificates證書,并導入 crt和 key文件
點擊 import導入ca.crt文件
用同樣的方式,導入 ca.key文件,在當前目錄下的項目出現(xiàn)了 KR的前綴,表示已經(jīng)導入 key并運行
剩下的步驟就是啟用 OVPN服務(wù),選擇 enable啟用 OVPN服務(wù),并選擇 certificate為 cer1,其他參數(shù)默認配置,當然端口你可以自己選擇,這里默認是 1194
配置完成如下:
注:require-client-certificate這里如果選擇上了,客戶端同樣也要導入相同的證書OVPN服務(wù)器配置完成后,配置相應(yīng)的規(guī)則,需要配置地址池192.168.10.2-192.168.10.254,用于分配給用戶的 IP地址
進入 ppp profile設(shè)置規(guī)則 local-address=192.168.10.1和 remote-address=OVPN
進入 ppp secret添加用戶賬號
到此 OVPN服務(wù)器配置完成
接下來我們需要在另外一臺路由器配置 OVPN客戶端,如下面的拓撲圖,將 2臺路由建立 OVPN連接:
根據(jù)以上拓撲圖我們假設(shè)以下網(wǎng)絡(luò)環(huán)境:
通過這兩個 WAN地址建立 OVPN的互聯(lián),我們在 OVPN Client建立 ovpn-client撥號,打開 PPP, 在 interface里點加號,選擇 ovpn-client
打開后,選擇 Dial-out,設(shè)置 Connect-to=10.200.15.228,user=123,password=123,其他參數(shù)默認
確定后,連接 OVPN服務(wù)器,服務(wù)器連接狀態(tài)如下,顯示 DR前綴
OVPN Client顯示前綴 R,表示連接成功
25.2 OVPN bridge模式
通過RouterOS提供的隧道bridge功能和OVPN的ethernet模式實現(xiàn)將兩個遠程網(wǎng)絡(luò)建立二層的隧道透傳連接,我們依然用之前的網(wǎng)絡(luò)結(jié)構(gòu),如下圖:
這里我們需要將 OVPN Server和OVPN Client的模式修改為ethernet
在 bridge中添加一個橋配置
進入 ports選擇,將 ether2-lan口添加入橋里
回到 ppp profile里設(shè)置 default-encryption的 bridge選項設(shè)置為剛才我們添加的 bridge1
設(shè)置完成后,我們建立 OVPN Client與 OVPN Server的連接,在 bridge的 port里,我們可以看到123賬號的連接在 port被自動添加
這樣 OVPN Server的 ether2-lan內(nèi)網(wǎng)口和 ovpn-123隧道在同一個橋里
OVPN Client設(shè)置
修改 ovpn-out1的 mode為 ethernet模式
在 OVPN Client端同樣配置橋接,進入 bridge后添加一個橋取名為bridge1,并在 port里將內(nèi)網(wǎng)網(wǎng)卡ether2-lan和,ovpn-out1接口手動添加到 bridge1里,如下圖
這樣的配置,將兩個遠程的網(wǎng)絡(luò)橋接在一個廣播域內(nèi),即大家都在一個局域網(wǎng)內(nèi),這樣的方式相對于 EoIP隧道更安全,但需要考慮到數(shù)據(jù)加密會產(chǎn)生一定的開銷
注:在做 nat偽裝規(guī)則時,需要避免橋接隧道被轉(zhuǎn)換,需要設(shè)置 nat規(guī)則(包括 Server和 Client路由器的nat規(guī)則)