Hệ thống thiết kế theo mô hình VPN Remote Access. Trong đó có các thiết bị trong mạng LAN tại văn phòng công ty được nối với một Mikrotik Router. Trên Mikrotik router này được cấu hình OpenVPN server từ đó các máy tính "Remote client" có thể kết nối với server qua mạng internet, nhờ vậy các máy tính cá nhân có thể truy cập được vào mạng LAN của văn phòng từ bất cứ đâu chỉ cần có kết nối internet.
Router có ip: 192.168.3.1
Interface ether1 của Mikrotik RB750 có ip: 192.168.3.254
Mạng VLAN kết nối với RB750 có ip: 192.168.2.0/24 default-gateway: 192.168.2.1
Mạng VLAN của OpenVPN remote client có ip: 10.100.10.0/30 default-gateway: 10.100.10.1
Tạo Certificate sử dụng Easy-RSA trên hệ điều hành Ubuntu
Download Easy-RSA tại đây: https://github.com/OpenVPN/easy-rsa/releases/download/2.2.2/EasyRSA-2.2.2.tgz
Trên cửa sổ Terminal thứ tự chạy các lệnh:
cd Dowloads
tar zvxf EasyRSA-2.2.2.tgz
cd Easy-RSA-2.2.2
cp openssl-0.9.8.cnf openssl.cnf
gedit vars
Trong cửa sổ gedit hiện lên chỉnh sửa các thống số cá nhân của mình và lưu lại.
export KEY_COUNTRY="VN"
export KEY_PROVINCE="HN"
export KEY_CITY="Ha-Noi"
export KEY_ORG="NetNam"
export KEY_EMAIL="nguyenvandau.hut@gmai.com"
Sau đó tiếp tục trên cửa sổ terminal
source vars
./clean-all
./pkitool --initca
./pkitool --server RB750
openssl rsa -in keys/RB450.key -out keys/RB750.pem
./pkitool client1
openssl rsa -in keys/client1.key -out keys/client1.pem
Key vừa tạo ra được chứa trong thư mục
Downloads/Easy-RSA-2.2.2/keys/
Hoặc các bạn cũng có thể download certificate mình đã tạo ở Đây và giải nén
- Import certificate to Router RB750
Kết nối với router qua Winbox
Copy certificate vào cửa sổ File trên Winbox
Trên cửa sổ terminal gõ thứ tự các lệnh sau:
certificate import file-name=ca.crt
certificate import file-name=RB750.crt
certificate import file-name=RB750.key
- Create an IP pool for OpenVPN client
Create each pool of /30 subnet
Copy lệnh tại đây và paste vào cửa sổ terminal để tạo IP pool table
- Cấu hình OpenVPN server
Trên Winbox chọn PPP, tạo mới một PPP Profiles
Chuyển qua tab Secret tạo mới một PPP Secret
Chuyển qua tab Interface nhấn buton OVPN Server
- Download và cài đặt OpenVPN trên máy tính windows
Truy cập đường link sau: https://openvpn.net/index.php/open-source/downloads.html
CHọn downloads phiên bản OpenVPN 32bit hay 64bit theo phiên bản windows của bạn
-
Cài đặt certificate Copy certificates đã tạo hoặc download ở trên vào thư mục C:\Program Files\OpenVPN\config
-
Cấu hình OpenVPN client
Tạo một file txt với nội dung:
client
dev tun
proto tcp-client
remote 101.96.104.59
port 1194
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
ca ca.crt
cert client1.crt
key client1.key
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
auth-user-pass secret
auth-nocache
;redirect-gateway def1
route 192.168.2.0 255.255.255.0
Lưu lại file và đổi tên thành MTVPN.ovpn
Tạo tiếp một file txt với nội dung:
netnam
netnam
Lưu lại file và đổi tên thành secret (CHú ý là không có đuôi)
Copy 2 file vừa tạo vào thư mục: C:\Program Files\OpenVPN\config
Hoặc các bạn cũng có thể download các file đó tại Đây
- Chạy phần mềm OpenVPN lên và kết nối.
Kết quả:
- Cài đặt OpenVPN
- Với máy CentOS 6 chạy lần lượt các lệnh:
wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
rpm -Uvh epel-release-6-8.noarch.rpm
yum install openvpn -y
- Với máy CentOS 7 Server ta chạy các lệnh:
wget http://dl.fedoraproject.org/pub/epel/7Server/x86_64/e/epel-release-7-6.noarch.rpm
rpm -Uvh epel-release-7-6.noarch.rpm
yum install openvpn -y
- Cài đặt certificate
Copy Sertificates và hai file MTVPN.ovpn và secret như ở trên phần cài đặt cho windows client vào thư mục /etc/openvpn/
Hoặc cũng có thể download tại đây giải nén rồi copy vào thư mục /etc/openvpn/
cp ca.crt client1.crt client1.key MTVPN.ovpn secret /etc/openvpn/
- Kết nối OpenVPN
Trên cửa sổ terminal chạy lệnh:
cd /etc/openvpn
openvpn --config /etc/openvpn/MTVPN.ovpn
Sau khi chạy lệnh trên, máy tính sẽ kết nối tới OpenVPN server.
Sau khi kết nối thành công, ta có thể kiểm tra:
http://wiki.mikrotik.com/wiki/OpenVPN
https://rbgeek.wordpress.com/2014/09/10/openvpn-server-setup-on-mikrotik-routeros/
https://www.youtube.com/watch?v=9pOTiEsGBYo
Cấu hình Mikrotik Router cơ bản
Cấu hình Mikrotik Router RB951UI 2HnD
Địa chỉ thêm cho bridge chính là địa chỉ của default gateway
ip firewall nat add chain=dstnat dst-address=101.96.104.59 protocol=tcp dst-port=1194 action=dst-nat to-address=192.168.3.254 to-port=1194
Cấu hình Mikrotik Router RB750
ip -> DHCP server -> DHCP Setup và chọn DHCP Server Interface là interface master vừa thêm ip ở trên rồi Next
Vào ip -> Firewall -> NAT
NAT tất cả địa chỉ mạng LAN ra địa chỉ của cổng wan