Для корректной работы OpenVPN на роутере, который будет выступать в роли Сервера должен быть внешний/внутренний статический IP-адрес. Его необходимо будет указывать на роутерах и других устройствах OpenVPN, которые будут работать в режиме Клиент.
Также, потребуется создать сертификаты CA, сервера и клиентов. Ознакомиться с примером создания сертификатов можно в статье - Создание сертификатов OpenVPN с помощью xca.
Настройка OpenVPN сервера через Web-интерфейс
Переходим в меню "VPN - OpenVPN" и редактируем шаблон sample_server
- Параметр verb можно указать от 7 до 9 на время отладки туннеля, тогда журналирование будет расширенным и можно будет углубиться в журнал, если возникнет проблема при создании туннеля;
- Поле ifconfig очищаем полностью, после сохранения этот параметр пропадет;
- Параметр comp_lzo можно убрать, не все устройства его поддерживают;
- Параметр server - подсеть туннеля. Для примера возьмем сеть 10.0.0.0 255.255.255.0. Тогда сервер должен получить первый адрес (10.0.0.1) из этой сети, а клиенты - остальные свободные адреса из этой сети;
Далее добавляем другие параметры:
- port - 1194
- dev_type - tun
- ca - импортируем созданный сертификат ЦС
- dh - импортируем параметры Диффи - Хелмана
- cert - импортируем сертификат сервера
- key - импортируем ключ сервера
- proto - UDP (для клиента Mikrotik необходим протокол TCP)
Перейдем к расширенным настройкам и добавим еще несколько параметров:
На вкладке "Служба" можем добавить параметр log и указать путь, куда будет сохраняться журнал работы OpenVPN. Если параметр не добавлять, то журнал будет отображаться в logread.
На вкладке "Сеть" можем добавить параметр route и ввести локальную подсеть клиента (если подключение точка-точка)
На вкладке "VPN" добавим параметр push и введем пользовательское правило route 192.168.88.0 255.255.255.0 - маршрут до локальной сети OpenVPN-сервера.
Далее сохраняем настройки и запускаем экземпляр ovpn
Для входящих соединений нам потребуется создать правило в Firewall и разрешить входящие подключения на порт 1194/UDP
Переходим в меню "Сеть - Межсетевой экран - Правила для трафика" и добавляем новое правило: