RouterOS 7.8(以下简称ROS)使用自签名证书搭建OVPN服务器。
一、环境介绍
1、RouterOS 7.8
2、openvpn-2.4.8
二、创建自签名证书
1、生成根证书。
System –> Certificates –> +,General选项卡,Name输入 ca-77bx;Common Name输入 77bx-ca ; Days Valid输入有效期,建议输入 3650。Key Usage选项卡,勾选 crl sign 和 key cert. sign,点击 ok 完成根证书创建。
2、生成服务器证书
System –> Certificates –> + ,General选项卡,Name输入 77bx-server;Common Name输入 77bx-server ; Days Valid输入有效期,建议输入 3650。Key Usage选项卡,勾选 digital signature、key encipherment 和 tls server,点击 ok 完成服务器证书创建。
3、生成客户端证书(私钥)
System –> Certificates –> + ,General选项卡,Name输入 77bx-client;Common Name输入 77bx-client ; Days Valid输入有效期,建议输入3650。Key Usage选项卡,勾选 tls client,点击 ok 完成客户端证书创建。
4、证书签名
根证书签名,77bx-ca -> 右键 -> Sign,Certificate选择 77bx-ca, 点击 Start
服务器证书签名,77bx-server -> 右键 -> Sign,Certificate选择 77bx-server , CA选择 77bx-ca , 点击 Start
客户端证书签名,77bx-client -> 右键 -> Sign,Certificate选择 77bx-client , CA选择 77bx-ca , 点击 Start
5、导出证书
根证书导出,77bx-ca -> 右键 -> Export , Certificate选择 77bx-server , Type选择 PEM ,点击 Export
客户端证书导出,77bx-client -> 右键 -> Export , Certificate选择 77bx-client, Type选择 PEM ,Export Passphrase输入密码(8位),点击 Export
6、下载证书
点开 File ,找到 cert_export_77bx-ca.crt 、cert_export_77bx-client.crt 和 cert_export_77bx-client.key 下载到本地。
以下是配置命令:
certificate add name=77bx-ca common-name=77bx-ca days-valid=3650 key-usage=crl-sign,key-cert-sign certificate add name=77bx-server common-name=77bx-server days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server certificate add name=77bx-client common-name=77bx-client days-valid=3650 key-usage=tls-client certificate sign name=77bx-ca number="77bx-ca" certificate sign name=77bx-server ca=77bx-ca number="77bx-server" certificate sign name=77bx-client ca=77bx-ca number="77bx-client" certificate export-certificate numbers="77bx-ca" certificate export-certificate numbers="77bx-client" export-passphrase=12345678
三、ROS OVPN配置
1、IP -> Pool -> +,Name输入 ovpn-pool , Addresses输入 192.168.100.1-192.168.1.200 , Next Pool选择 None ,点击 OK 创建ovpn的IP地址池
2、PPP -> Profiles -> + ,Name输入 ovpn-profile , Local Address输入路由器地址10.10.1.1,Remote Address选择 ovpn-pool,DNS Server输入路由器地址10.10.1.1,其他的默认,点击 OK 创建一个OVPN Profiles
3、PPP -> Secrets -> + , Name输入账号77bx,Password输入密码123456,Service选择 any或者ovpn,Peofile选择 ovpn-profile ,点击 OK 完成账号创建
4、PPP -> Interface -> OVPN Server,勾选 Enabled 开启服务,Default Profile选择 ovpn-profile,Certificate选择 77bx-server,勾选 Require Client Certificate,Auth勾选 SHA512 ,Cipher勾选 aes 256 cbc ,其他的默认,点击 OK 完成OVPN服务器的配置。
以下是配置命令:
ip pool add name=ovpn-pool ranges=192.168.100.1-192.168.100.200 ppp profile add dns-server=10.10.1.1 local-address=10.10.1.1 name=ovpn-profile remote-address=ovpn-pool ppp secret add name=77bx password=123456 profile=ovpn-profile interface ovpn-server server set certificate=77bx-server cipher=blowfish128,aes128-cbc,aes256-cbc default-profile=ovpn-profile enabled=yes require-client-certificate=yes
四、客户端配置
1、电脑安装 OpenVPN 客户端,并准备一个ovpn配置文件
2、新建txt文档,并把扩展名改为ovpn,并输入以下内容
client dev tun proto tcp remote x.x.x.x 1194 resolv-retry infinite nobind persist-key persist-tun verb 3 tls-client remote-cert-tls server cipher AES-256-CBC auth SHA512 auth-user-pass auth-nocache ca cert_export_77bx-ca.crt cert cert_export_77bx-client.crt key cert_export_77bx-client.key
3、把配置文件放入到openvpn\config文件夹下,以及把证书文件也放在这个文件夹下,测试连接,显示需要输入账号密码和证书密码,输入完可以正常连接上服务器。
评论(0)