RouterOS 7.8(以下简称ROS)使用自签名证书搭建OVPN服务器。

一、环境介绍

1、RouterOS 7.8

2、openvpn-2.4.8

二、创建自签名证书

1、生成根证书。

System –> Certificates –> +,General选项卡,Name输入 ca-77bx;Common Name输入 77bx-ca ; Days Valid输入有效期,建议输入 3650。Key Usage选项卡,勾选 crl signkey cert. sign,点击 ok 完成根证书创建。

301-1.png

2、生成服务器证书

System –> Certificates –> + ,General选项卡,Name输入 77bx-server;Common Name输入 77bx-server ; Days Valid输入有效期,建议输入 3650。Key Usage选项卡,勾选 digital signaturekey encipherment tls server,点击 ok 完成服务器证书创建。

301-2.png

3、生成客户端证书(私钥)

System –> Certificates –> + ,General选项卡,Name输入 77bx-client;Common Name输入 77bx-client ; Days Valid输入有效期,建议输入3650。Key Usage选项卡,勾选 tls client,点击 ok 完成客户端证书创建。

301-3.png

4、证书签名

根证书签名,77bx-ca -> 右键 -> Sign,Certificate选择 77bx-ca, 点击 Start

服务器证书签名,77bx-server -> 右键 -> Sign,Certificate选择 77bx-server , CA选择 77bx-ca , 点击 Start

客户端证书签名,77bx-client -> 右键 -> Sign,Certificate选择 77bx-client , CA选择 77bx-ca , 点击 Start

301-4.png

301-7.png

5、导出证书

根证书导出,77bx-ca -> 右键 -> Export , Certificate选择 77bx-server , Type选择 PEM ,点击 Export

客户端证书导出,77bx-client -> 右键 -> Export , Certificate选择 77bx-client, Type选择 PEM ,Export Passphrase输入密码(8位),点击 Export

301-5.png

301-6.png

6、下载证书

点开 File ,找到 cert_export_77bx-ca.crtcert_export_77bx-client.crt 和 cert_export_77bx-client.key 下载到本地。

301-8.png

以下是配置命令:

certificate add name=77bx-ca common-name=77bx-ca days-valid=3650 key-usage=crl-sign,key-cert-sign
certificate add name=77bx-server common-name=77bx-server days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
certificate add name=77bx-client common-name=77bx-client days-valid=3650 key-usage=tls-client
certificate sign name=77bx-ca number="77bx-ca"
certificate sign name=77bx-server ca=77bx-ca number="77bx-server"
certificate sign name=77bx-client ca=77bx-ca number="77bx-client"
certificate export-certificate numbers="77bx-ca"
certificate export-certificate numbers="77bx-client" export-passphrase=12345678

三、ROS OVPN配置

1、IP -> Pool -> +,Name输入 ovpn-pool , Addresses输入 192.168.100.1-192.168.1.200 , Next Pool选择 None ,点击 OK 创建ovpn的IP地址池

301-11.png

2、PPP -> Profiles -> + ,Name输入 ovpn-profile , Local Address输入路由器地址10.10.1.1,Remote Address选择 ovpn-pool,DNS Server输入路由器地址10.10.1.1,其他的默认,点击 OK 创建一个OVPN Profiles

301-12.png

3、PPP -> Secrets -> + , Name输入账号77bx,Password输入密码123456,Service选择 any或者ovpn,Peofile选择 ovpn-profile ,点击 OK 完成账号创建

301-13.png

4、PPP -> Interface -> OVPN Server,勾选 Enabled 开启服务,Default Profile选择 ovpn-profile,Certificate选择 77bx-server,勾选 Require Client Certificate,Auth勾选 SHA512 ,Cipher勾选 aes 256 cbc ,其他的默认,点击 OK 完成OVPN服务器的配置。

301-14.png

以下是配置命令:

ip pool add name=ovpn-pool ranges=192.168.100.1-192.168.100.200
ppp profile add dns-server=10.10.1.1 local-address=10.10.1.1 name=ovpn-profile remote-address=ovpn-pool
ppp secret add name=77bx password=123456 profile=ovpn-profile
interface ovpn-server server set certificate=77bx-server cipher=blowfish128,aes128-cbc,aes256-cbc default-profile=ovpn-profile enabled=yes require-client-certificate=yes

四、客户端配置

1、电脑安装 OpenVPN 客户端,并准备一个ovpn配置文件

2、新建txt文档,并把扩展名改为ovpn,并输入以下内容

client
dev tun
proto tcp
remote x.x.x.x 1194
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
tls-client
remote-cert-tls server
cipher AES-256-CBC
auth SHA512
auth-user-pass
auth-nocache
ca cert_export_77bx-ca.crt
cert cert_export_77bx-client.crt
key cert_export_77bx-client.key

3、把配置文件放入到openvpn\config文件夹下,以及把证书文件也放在这个文件夹下,测试连接,显示需要输入账号密码和证书密码,输入完可以正常连接上服务器。

301-10.png

301-9.png

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。