VPN:OpenVPN client-to-site (удаленное подключение с мобильных устройств)
В статье разбирается настройка OpenVPN-туннеля на оборудовании MikroTik с целью подключения рабочего места сотрудника (client-to-site VPN). После создания VPN-канала между сетями будет работать маршрутизация и будет выполнена проверка работоспособности. Также будут разобраны типичные проблемы, которые могут возникнуть в процессе настройки и проверки.
Схема сети
В головном офисе установлен маршрутизатор GW1. Он же будет настроен в качестве VPN-сервера. В этом же офисе работает сервер DC1, который является контроллером домена и параллельно выполняет функции DNS и WINS-сервера. К головному офису будет подключаться компьютер, который будет настроен как VPN-клиент.
Головной офис
IP-адрес внешней сети головного офиса: 10.1.100.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24
IP-адрес внутренней сети головного офиса: 192.168.15.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.1/24
IP-адрес сервера DC1: 192.168.15.10/24
Удаленный компьютер
IP-адрес удаленного компьютера: 10.1.200.1/24
VPN-канал
IP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.101/32
Пулл адресов VPN-канала: 172.16.30.102 - 172.16.30.253
Полезные материалы по MikroTik
Углубленный курс "Администрирование сетевых устройств MikroTik" Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA.
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь
Настройка
Настройка первого маршрутизатора
Через графический интерфейс
Включить OpenVPN-сервер:
Создать пул адресов для VPN-подключений:
Создать профиль для VPN подключений. Указать адрес сервера DC1, который является DNS и WINS сервером. Без указания DNS и WINS VPN-подключение произойдет, но не будет возможности обращаться к узлам по именам.
Добавить аккаунт пользователя:
На интерфейсе маршрутизатора, который смотрит в локальную сеть включить arp-proxy. Это нужно для того, чтобы удаленный клиент мог связываться с локальными хостами:
Через консоль
/interface ovpn-server server
set enabled=yes certificate=server cipher=aes128,aes192,aes256,blowfish128 keepalive-timeout=disabled require-client-certificate=yes
/ip pool
add name=vpn-pool ranges=172.16.30.102-172.16.30.253
/ppp profile
add name="OpenVPN client-to-site" local-address=172.16.20.101 remote-address=vpn-pool dns-server=192.168.15.10 wins-server=192.168.15.10
/ppp secret
add name=user-laptop password=user-laptop-password profile= "OpenVPN client-to-site" service=ovpn
/interface ethernet
set ether1-LAN1 arp=proxy-arp
Настройка маршрутизации
Не требуется.
Следует учесть
- AES является единственным алгоритмом, который поддерживается модулем аппаратного шифрования, если такой установлен на маршрутизатор.
- Клиенты Windows не смогут подключиться, если сервер не использует сертификат.
Проверка
Для того, что бы проверить VPN-соединение достаточно запустить ping с компьютера VPN-клиента на любой компьютер в сети за маршрутизатором GW1.
Типичные проблемы
- Если VPN-соединение не устанавливается, то надо проверить:
- Не мешает ли файервол. Для уверенности лучше временно отключить все правила файервола на маршрутизаторе.
- Совпадают ли имя пользователя и пароль.
- Корректные ли сертификаты помещены на клиент.
- На VPN-клиенте указан правильный адрес VPN-сервера к которому должно происходить подключение.
Полезные материалы по MikroTik
Углубленный курс "Администрирование сетевых устройств MikroTik" Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA.
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь