Для корректной работы OpenVPN на роутере, который будет выступать в роли Сервера должен быть внешний/внутренний статический IP-адрес. Его необходимо будет указывать на роутерах и других устройствах OpenVPN, которые будут работать в режиме Клиент.


Также, потребуется создать сертификаты CA, сервера и клиентов. Ознакомиться с примером создания сертификатов можно в статье - Создание сертификатов OpenVPN с помощью xca.


    Настройка OpenVPN сервера через Web-интерфейс


Переходим в меню "VPN - OpenVPN" и редактируем шаблон sample_server


  • Параметр verb можно указать от 7 до 9 на время отладки туннеля, тогда журналирование будет расширенным и можно будет углубиться в журнал, если возникнет проблема при создании туннеля;

  • Поле ifconfig очищаем полностью, после сохранения этот параметр пропадет;

  • Параметр comp_lzo можно убрать, не все устройства его поддерживают;

  • Параметр server - подсеть туннеля. Для примера возьмем сеть 10.0.0.0 255.255.255.0. Тогда сервер должен получить первый адрес (10.0.0.1) из этой сети, а клиенты - остальные свободные адреса из этой сети;

Далее добавляем другие параметры:

  •   port - 1194
  •   dev_type - tun
  •   ca - импортируем созданный сертификат ЦС
  •   dh - импортируем параметры Диффи - Хелмана
  •   cert - импортируем сертификат сервера
  •   key - импортируем ключ сервера
  •   proto - UDP (для клиента Mikrotik необходим протокол TCP)


Перейдем к расширенным настройкам и добавим еще несколько параметров:


На вкладке "Служба" можем добавить параметр log и указать путь, куда будет сохраняться журнал работы OpenVPN. Если параметр не добавлять, то журнал будет отображаться в logread.


На вкладке "Сеть" можем добавить параметр route и ввести локальную подсеть клиента (если подключение точка-точка)


На вкладке "VPN" добавим параметр push и введем пользовательское правило route 192.168.88.0 255.255.255.0 - маршрут до локальной сети OpenVPN-сервера.


Далее сохраняем настройки и запускаем экземпляр ovpn


Для входящих соединений нам потребуется создать правило в Firewall и разрешить входящие подключения на порт 1194/UDP

Переходим в меню "Сеть - Межсетевой экран - Правила для трафика" и добавляем новое правило: