برای راه اندازی سرور OpenVPN در روترهای میکروتیک میتوانید این ویدئو را مشاهده کنید، دستورات استفاده شده در این ویدئو را میتوانید اینجا مشاهده کنید.
اول از همه به گواهی SSL نیاز داریم که باید بسازیمش، ترجیحا با تاریخ انقضای طولانی، مثلا 10 سال
/certificate
add name=ca-template common-name=example.com days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign
add name=server-template common-name=*.example.com days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=client-template common-name=client.example.com days-valid=3650 key-size=2048 key-usage=tls-client
برای استفاده از OPENVPN نیازی نیست که common name خاصی بذارید، درواقع هرچی بذارید کار میکنه، اما اگر میخوایید از SSTP هم استفاده کنید حتما مقادیر معتبری بذارید، یا آدرس IP یا اینکه دامنه یا زیردامنه معتبر که به سرور میکروتیک شما اشاره میکنه.
حالا نوبت sign کردن گواهی هایی هست که ساختیم
/certificate
sign ca-template name=ca-certificate
sign server-template name=server-certificate ca=ca-certificate
sign client-template name=client-certificate ca=ca-certificate
بسته به سرعت روتر شما ممکنه کمی زمان بر باشه، صبور باشید.
حالا نوبت export کردن فایلهاست تا بتونیم ازشون استفاده کنیم.
/certificate
export-certificate ca-certificate export-passphrase=””
export-certificate client-certificate export-passphrase=12345678
باید این سه تا فایل رو در اختیارتون قرار بده:
cert_export_ca-certificate.crt
cert_export_client-certificate.crt
cert_export_client-certificate.key
این فایل ها رو کپی کنید روی کامپیوتر و تغییر نام بدید که کار باهاشون کمی راحت تر بشه.
ca.crt
client.ert
client.key
حالا نوبت به ساخت یه POOL برای IP کلاینت ها میرسه.
فرض میکنیم که رنج IP مورد نظر ما برای کلاینت ها 10.0.0.0/24. خواهد بود
/ip
pool add name=”vpn-pool” ranges=10.0.0.1-10.0.0.253
به جای اینکه پروفایل پیش فرض رو تغییر بدیم، یه پروفایل جدید برای کانکشن های VPN میسازیم
/ppp
profile add name=”vpn-profile” use-encryption=yes local-address=10.0.0.254 dns-server=8.8.8.8 remote-address=vpn-pool
یه کاربر هم برای تست اضافه میکنیم
secret add name=user profile=vpn-profile password=password
در نهایت هم سرور OPENVPN رو فعال میکنیم.
/interface ovpn-server server
set default-profile=vpn-profile certificate=server-certificate require-client-certificate=yes auth=sha1 cipher=aes128,aes192,aes256 enabled=yes
در این مرحه نیزا هست که client.key که با استفاده از OpenSSL خروجی بگیریم چون با وجود private passphrase که همون 123456 هست که تو مرحله اول قرار دادیم OpenVPN نمیتونه تصدیق گواهی رو انجام بده. شاید خیلی از شما تو این مرحله به مشکل میخورید. OpenSSL هم میتونید به راحتی دانلود کنید. دستورات زیر برای لینوکس طراحی شده،
> openssl rsa -in client.key -out client.key
Enter pass phrase for client.key: 12345678
writing RSA key
حالا نوبت به ساخت پروفایل OpenVPN میرسه
باید یه فایل profile پیدا کنید و با اطلاعات export شده از گواهی های میکروتیک اون رو ویرایش کنید. فایل های export شده گواهی ها رو با نوت پد باز کنید و اطلاعاتش رو کپی کنید داخل پروفایل تو قسمت های مربوطه
و در نهایت اگر رول فایروالی دارید که اجازه درخواست input رو بسته باید یه رول ایجاد کنید که به پورت OpenVPN اجازه دسترسی بده و اون رو بالاتر از رول قبلی قرار بدید.
/ip firewall filter
add chain=input protocol=tcp dst-port=1194 action=accept place-before=0 comment=”Allow OpenVPN”
ضمن تشکر فراوان از آموزش عالی تون، لطفا نحوه ایجاد پروفایل و همچنین نحوه نوشتن NAT برای استفاده از اینترنت پروفایلی که باید ایجاد کنیم رو هم توضیح بدید چون خیلی گذرا به این دو مورد اشاره فرمودید و موضوع در این ارتباط کمی نا مفهوم بود و من متوجه نشدم.
با تشکر دوباره از شما
با سلام و تشکر بخاطر لطف جنابعالی، حتما آموزشی در این مورد هم آماده میشه و از همین طریق به اطلاعتون میرسه.
با سلام مجدد
آموزش ساخت پروفایل openvpn هم ایجاد شد و میتونید در سایت مشاهده کنید.
سلام.جسارتا من روی ویندوزم نمیتونم از client.key با openssl خروجی بگیرم.یه آموزش میذارید بابت این یا یه چیزی که بتونه خودش فایل اوپن وی پی ان بسازه
با سلام خدمت شما
دقیقا چه بخشی رو مشکل دارید؟
البته آموزشی رو برای کار با openssl تهیه خواهیم کرد ولی تا اون موقع مشکلتون رو بفرمایید اینجا حل کنیم.
سلام وقتتون بخیر فایل اکانت اپن وی پی ان رو خریده بودم و الان تاریخش تموم شده چطور میتونم همون فایل رو دوباره استفاده کنم؟ کجای کد هارو باید تغییر بدم؟
در مورد خرید اکانت متاسفانه نمیتونیم راهکاری به شما ارئه بدیم، مطلبی که مطالعه کردید در مورد ایجاد زیرساخت ارتباطی برای ارتباط بین شعب و دفاتر شرکت ها کاربرد داره.
سلام. میشه راهنمایی بفرمایید برای انجام این کارها باید چه دوره هایی از کامپیوتر رو بلد باشیم؟؟ مثلا به برنامه نویسی یا همچین چیزی ربط داره؟ یا دوره ی شبکه مثلا؟؟ چون من هیچکدوم از صحبتاتون رو فکر نکنم بتونم انجام بدم!
و به اکانت این وی پی ان هم احتیاح دارم!! ممنون میشم راهنمایی بفرمایید.
با سلام
دوست گرامی مطلبی که مطالعه کردید در مورد راه اندازی سرور اوپن وی پی ان بر روی روترهای میکروتیک هست. کاربرد این موضوع برای ارتباط شعب و دفاتر شرکت ها میتونه باشه و چیزی که شما مد نظرتون هست در این مقاله عنوان نشده.
ایجاد بستر امن ارتباطی (VPN) روی اینترنت یکی از نیازهای ارتباطی بین شعب شرکت ها هست که در این مطلب به ایجاد زیرساخت اون پرداختیم.
برای اینکه مباحث این چنینی رو بتونید انجام بدید باید در حوزه شبکه های کامپیوتری مطالعه داشته باشید.
سلام وقت بخیر
تمام تنظیمات اوکی هست فقط وقتی در کلاینت یوزر نیم و رمز عبور رو میزنم خطای TLS hanshake error میدهد ؟ کجای کار مشکل هست ؟
این خطا وقتی ظاهر میشه که یا ارتباط بین کلاینت و سرور برقرار نمیشه یا اینکه اطلاعات گواهی به درستی در کلاینت وارد نشده.
به احتمال بسیار زیاد مشکل از اینترنت هست.
اوکی نشد . خروجی با openssl رو آموزش بدین تو همین موضوع لطفا . چون موقعی که خطا میده مینویسه openssl error هرچی هست مربوط به سرتفیکیت هست که نمیتونه بخونش مهندس
شما اصلا نیازی به انجام مرحله مربوط به openssl هم ندارید، اگر محتوای private.key رو داخل فایل کانفیگ کپی کنید هربار که بخوایید کانکتش کنید ازتون passphrase رو میپرسه.
مشکل شما به احتمال زیاد مربوط به ارتباط اینترنتی میشه.
رو یه شبکه لوکال تست کنید، اگر بدون مشکل کانکت میشه پس موضوع رو تو اینترنت خودتون جستجو کنید.
سلام وقت بخیر
توی اپدیت جدید اوپن وی پی ان در ios های جدید مشکل TLS وجود داره و متصل نمیشه به سرور (توی میکروتیک ارور TLS میاد موقع اتصالشون)
راهکاری برای این مورد هست؟
این مشکل با آپدیت کردن نرم افزار کلاینت در گوشی قابل حل هست.
سلام بزرگوار
ممنون از آموزش عالیتون
ی سوال واجب دارم
ترمینال ک باز کردید ب شدددت شبیه ترمینال لینوکس بود
خواستم بدونم میشه بجای داشتن اون روتر توی لینوکس انجامش داد؟؟؟؟؟؟؟؟
لطفا جواب رو برام میل کنید
سپاس سپاس
سلام
سیستم عامل میکروتیک یا RouterOS یه نسخه کاستوم شده از کرنل لینوکس هست. دستوراتی هم که در ترمینال دیدید دستورات مخصوص همین سیستم عامل هست.
اما در مورد اینکه آیا میشه اوپن وی پی ان رو روی لینوکس داشت باید بگم بله، اسکریپت های زیادی وجود داره که اوپن وی پی ان رو روی سرور لینوکسی شما نصب میکنه و حتی بعضی از اونها رابط کاربری گرافیکی هم در اختیارتون میذارن.
متاسفانه امکان ارسال پاسخ خصوصی در ایمیل وجود نداشت برای همین زیر کامنت شما پاسخ ارسال شد.