RouterOS(以下简称ROS)使用自签名证书搭建OPENVPN服务器。
一、环境介绍
1、RouterOS 6.48.6 (long-term)
2、openvpn-2.4.8
二、创建自签名证书
1、生成根证书。
System –> Certificates –> +,General选项卡,Name输入名称,如ca-77bx;Common Name输入RouterOS的公网IP或者域名,如ca.77bx.com; Days Valid输入有效期,建议输入3650。Key Usage选项卡,勾选crl sign和key cert. sign,点击ok完成根证书创建。
2、生成中间证书
System –> Certificates –> + ,General选项卡,Name输入名称,如server-77bx;Common Name输入*.77bx.com; Days Valid输入有效期,建议输入3650。Key Usage选项卡,勾选digital signature、key encipherment和tls server,点击ok完成中间证书创建。
3、生成客户端证书(私钥)
System –> Certificates –> + ,General选项卡,Name输入名称,如client-77bx;Common Name输入wj.77bx.com; Days Valid输入有效期,建议输入3650。Key Usage选项卡,勾选tls client,点击ok完成客户端证书创建。
4、证书签名
根证书签名,ca-77bx右键 –> Sign,Certificate选择ca-77bx, CA CRL. HOST填入RouterOS的公网IP或者域名(我这里wj.77bx.com已经解析到RouterOS),点击Start。
客户端证书签名,client-77bx右键 –> Sign,Certificate选择client-77bx, CA选择ca-77bx,点击Start。
中间证书签名,server-77bx右键 –> Sign,Certificate选择server-77bx, CA选择ca-77bx,点击Start。
5、导出证书
根证书签名,ca-77bx右键 –> Export,Certificate选择ca-77bx,Type选择PEM,File Name填入ca-77bx,点击Export
客户端证书签名,client-77bx右键 –> Export,Certificate选择client-77bx,Type选择PEM,Export Passphrase填入证书密码,File Name填入client-77bx,点击Export
Files找到3个证书并下载到本地。
三、ROS OVPN配置
1、IP -> Pool,创建一个OpenVPN地址池。
2、PPP -> Profiles,创建一个OpenVPN Profiles来指定刚刚创建的地址池,其中Remote Address选择刚刚创建的地址池
3、PPP > Secrets,创建账户
4、PPP -> Interface,点击OVPN Server,勾选Enabled开启服务,Default Profile选择刚刚创建的Profiles文件,Certificate选择刚才创建的服务端证书,并选择对应的认证和加密方式。
四、客户端配置
1、电脑安装 OpenVPN 客户端,并准备一个ovpn配置文件
2、新建txt文档,并把扩展名改为ovpn,并输入以下内容
client dev tun proto tcp remote wj.77bx.com 1194 resolv-retry infinite nobind persist-key persist-tun verb 3 tls-client remote-cert-tls server cipher AES-256-CBC auth SHA1 auth-user-pass auth-nocache <cert> 客户端证书 </cert> <key> 客户端密钥 </key> <ca> 根证书 </ca>
3、把配置文件放入到openvpn\config文件夹下,测试连接,显示需要输入账号密码和证书密码,输入完可以正常连接上服务器。
评论(0)