Mikrotik site-to-site VPN

Расскажу, как организовать связь нескольких подсетей. Например, сети основного офиса и сети филиалов компании. Будем использовать оборудование Mikrotik как в главном офисе, так и в филиалах.

Задача

Необходимо организовать маршрутизацию пакетов из сети филиалов в сеть головного офиса и обратно.

Решение

  • Main Router – центральный (или edge) маршрутизатор основного офиса.
  • Branch Router – маршрутизатор филиала.

Преимущества

  • Статический адрес необходимо иметь только роутеру головного офиса, в branch у роутеров может быть динамический IP за NAT-ами.

I. Main router

Заходим на основной роутер.

Создаем CA-сертификат

1. System -> Certificates -> Plus
Закладка “General”:

Name: ca
Common Name: ca

Закладка “Key Usage”:
Убираем все галочки кроме: “crl sign” and “key cert. sign”

2. Нажимаем на кнопку “Apply”, затем на кнопку “Sign”. Появляется окошко “Sign”. В поле “Certificate” доложно встать “ca”, в поле “CA CRL Host” прописываем внешний адрес роутера, нажимаем на кнопку “Start”. После этого должен создаться сертификат, а в поле “Progress” окошка должна появиться надпись “done”. Нажимаем на кнопку “Close”.

3. Если в списке сертификатов напротив созданного только что CA-сертификата не стоит символ “T”, то делаем двойной клик по нему и во вкладке “General” ставим галочку внизу в чекбоксе “Trusted”, и сохраняем сертификат.

Создаем серверный сертификат

1. System -> Certificates -> Plus
Закладка “General”:
Name: server
Common Name: server

Закладка “Key Usage”:
Убираем все галочки.

2. Нажимаем на кнопку “Apply”, затем на кнопку “Sign”. Появляется окошко “Sign”.
В поле “Certificate” встанет значение “server”.
В поле “CA” выбираем наш ранее созданный CA-сертификат.
Нажимаем на кнпку “Start”. Нажимаем на кнопку “Close”.

3. Если в списке сертификатов напротив созданного только что CA-сертификата не стоит символ “T”, то делаем двойной клик по нему и во вкладке “General” ставим галочку внизу в чекбоксе “Trusted”, и сохраняем сертификат.

Создаем OpenVPN-сервер

1. PPP -> закладка “Interface” -> Кнопка(!) “OVPN Server” справа.
Ставим галочку “Enabled”.
В поле “Certificate” выбираем сертификат “server”.
В группе “Auth.” убираем все галочки, кроме “sha1”.
В группе “Cipher.” убираем все галочки, кроме “aes 256”.
Нажимаем на “OK”.

Создаем пользователя для OpenVPN

1. PPP -> Закладка Secrets -> Plus icon

Username: “ovpn_user”
Password: “your_password”
Service: “ovpn”
Local Address: 172.22.22.1
Remote Address: 172.22.22.2
Routes: 192.168.13.0/24 172.22.22.2 1

Формат поля Routes: подсеть за Router2 (openvpn-клиентом в данном случае) пробел адрес шлюза (172.22.22.2 в данном случае) пробел метрика маршрута (1).
Если нужно несколько маршрутов (например за вторым роутером несколько подсетей, то указыаем их через запятую).
Нажимаем на кнопку “Apply”, потом на “OK”.
Мы создали ovpn-пользователя. Теперь каждый раз, когда созданный пользователь будет коннектиться к роутеру – Remote Address IP будет назначаться его виртуальному интерфейсу и будет создаваться роут(ы) для подсетей Router2.

(!) Если у вашего провайдера стоит дополнительный firewall, то в нем надо разрешить коннекты на порт 1194 внешнего IP Main Router.

Настройка Main Router завершена, теперь займемся настройкой роутера с другой стороны (branch).

 

II. Branch router

У branch router уже должна быть настроена внутрення сеть, маршрутизация, DNS и выход в интернет.

Настройка OpenVPN-клиента

1. Interfaces -> Plus -> OVPN Client
Закладка “General”:
Name: ovpn-out1 (имя интерфейса).

Закладка “Dial Out”:
Connect To: внешний адрес Main Router
User: имя пользователя
Password: пароль
Auth: “sha1”
Cipher: “aes 256 cbc”

 

Добавление маршурта в Branch Router для основной подсети

1. IP -> Routes -> plus
Dst.Address: 192.168.11.0/24 (сеть за Main Router)
Gateway: “ovpn-out1”
Нажимаем на кнопку “Apply”, потом “OK”.

Отлично. Теперь попробуем пропинговать какуб-нибудь машину из подсети Main router, находясь при этом в подсети Branch router.

 

Добавляем DNS-сервер

Находясь на Branch Router добавляем в него DNS-сервер из основной подсети.
1. IP -> DNS -> Servers
Добавляем 192.168.11.2 (DNS сервер) в список DNS серверов.

Ссылки

Leave a Comment