RouterOS(以下简称ROS)使用自签名证书搭建OPENVPN服务器。

一、环境介绍

1、RouterOS 6.48.6 (long-term)

2、openvpn-2.4.8

二、创建自签名证书

1、生成根证书。

System –> Certificates –> +,General选项卡,Name输入名称,如ca-77bx;Common Name输入RouterOS的公网IP或者域名,如ca.77bx.com; Days Valid输入有效期,建议输入3650。Key Usage选项卡,勾选crl sign和key cert. sign,点击ok完成根证书创建。

172-1.png

172-2.png

2、生成中间证书

System –> Certificates –> + ,General选项卡,Name输入名称,如server-77bx;Common Name输入*.77bx.com; Days Valid输入有效期,建议输入3650。Key Usage选项卡,勾选digital signature、key encipherment和tls server,点击ok完成中间证书创建。

172-3.png

172-4.png

3、生成客户端证书(私钥)

System –> Certificates –> + ,General选项卡,Name输入名称,如client-77bx;Common Name输入wj.77bx.com; Days Valid输入有效期,建议输入3650。Key Usage选项卡,勾选tls client,点击ok完成客户端证书创建。

172-5.png

172-6.png

4、证书签名

根证书签名,ca-77bx右键 –> Sign,Certificate选择ca-77bx, CA CRL. HOST填入RouterOS的公网IP或者域名(我这里wj.77bx.com已经解析到RouterOS),点击Start。

172-7.png

客户端证书签名,client-77bx右键 –> Sign,Certificate选择client-77bx, CA选择ca-77bx,点击Start。

172-8.png

中间证书签名,server-77bx右键 –> Sign,Certificate选择server-77bx, CA选择ca-77bx,点击Start。

172-9.png

5、导出证书

根证书签名,ca-77bx右键 –> Export,Certificate选择ca-77bx,Type选择PEM,File Name填入ca-77bx,点击Export

172-10.png

客户端证书签名,client-77bx右键 –> Export,Certificate选择client-77bx,Type选择PEM,Export Passphrase填入证书密码,File Name填入client-77bx,点击Export

172-13.png

Files找到3个证书并下载到本地。

172-14.png

三、ROS OVPN配置

1、IP -> Pool,创建一个OpenVPN地址池。

172-11.png

2、PPP -> Profiles,创建一个OpenVPN Profiles来指定刚刚创建的地址池,其中Remote Address选择刚刚创建的地址池

172-17.png

3、PPP > Secrets,创建账户

172-18.png

4、PPP -> Interface,点击OVPN Server,勾选Enabled开启服务,Default Profile选择刚刚创建的Profiles文件,Certificate选择刚才创建的服务端证书,并选择对应的认证和加密方式。

172-12.png

四、客户端配置

1、电脑安装 OpenVPN 客户端,并准备一个ovpn配置文件

2、新建txt文档,并把扩展名改为ovpn,并输入以下内容

client
dev tun
proto tcp
remote wj.77bx.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
tls-client
remote-cert-tls server
cipher AES-256-CBC
auth SHA1
auth-user-pass
auth-nocache

<cert>
客户端证书

</cert>
<key>
客户端密钥

</key>

<ca>
根证书

</ca>

3、把配置文件放入到openvpn\config文件夹下,测试连接,显示需要输入账号密码和证书密码,输入完可以正常连接上服务器。

172-15.png

172-19.png

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。