Настройка OpenVPN MikroTik: Server и Client

Настройка OpenVPN MikroTik: Server и Client Сертификаты

89 вопросов по настройке mikrotik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik».

Mikrotik

Please sign up to get notified about new RouterOS version releases and other useful information!

Конфигурирование клиента

Подключаемся к питерскому роутеру и в PPP создаем новый интерфейс OVPN Client.
Создание OpenVPN Client интерфейсаЗадаем имя интерфейса.
Имя OpenVPN Client интерфейсаОткрываем Dial Out и заполняем обязательные параметры.
Параметры OVPN Client интерфейсаСохраняем и открываем вкладку Status.
Статус OVPN Client интерфейса по сертификатуЗдесь мы видим статус подключено, шифрование и время жизни соединения. Вы спросите, а где же IP адрес клиента? Он по каким-то причинам не отображается в окне статуса интерфейса, зато есть в IP-Address. Возможно, ошибка, в данной прошивке. Попробуем проверить доступность московского роутера через VPN.
Проверка соединения OVPN по сертификату

Ping-и идут, а значит с соединением все хорошо.

Конфигурирование сервера

Но для начала создадим профиль. PPP – Profiles – жмем .
Создание профиля OpenVPNПеред нами открывается окно нового профайла. В строке «Name» задаем понятное нам имя. В строке Local Address указываем IP адрес Mikrotik в VPN. Я указываю 172.16.25.1. Т.е. при подключении клиента автоматически присвоится именно это адрес.
Параметры профиля OpenVPN

Далее переключаем:

  • Change TCP MSS в yes.
  • Use UPnP переключаем в no.

Никогда не оставляйте default если хотите, чтобы все работало именно так, как вы планируете.

Protocols:

  • no для Use MPLS;
  • yes для Use Compression;
  • yes для Use Encryption.

Далее в Limits ставим no для Only One. Остальные настройки можно не задавать. К примеру, если бы нам нужно было ограничить скорость клиента внутри тоннеля, то нас интересовала вкладка Queue – но это совсем другая история.
Параметры профиля OpenVPN onle oneТеперь можно сохранять. Жмем Apply и OK. В списке должен появиться наш созданный профиль.
Профайл OpenVPN MikrotikНам нужно создать пользователя и пароль, который будет подключаться к нашей сети. Открываем Secrets и жмем .
Создание пользователя OVPN

Курсы по настройке оборудования микротик | центр mikrotik training spw

Мы хотим сделать вклад в корпоративную ИТ-индустрию на долгие годы, чтобы специалисты знали нас как компанию-партнёра, готовую не только поставить или настроить оборудование, но и подсказать, научить или просто помочь в сложной ситуации. В нашем штате все инженеры прошли сертификацию практически по всем направлениям MikroTik. В 2021 году мы получили статус сертифицированного тренинг-центра с возможностью преподавать официальные курсы Микротик.

Особенности обучения MikroTik в SPW:

Основная наша миссия — качественно повысить квалификацию и уровень ИТ-специалистов в России, дать структурированные знания и понимание физики процессов в ИТ-технологиях. Как и в любом деле, основа любых знаний — это теория, а возможность правильно её применить — практика и опыт.

Обучение MikroTik у нас не похоже на занятия в вузе. И хоть мы следуем по авторской программе, часто уровень подготовки каждой группы задает определённое направление в тех «кейсах», которые мы рассматриваем на лабораторных работах. Ведь значительно интереснее разобрать «живой» случай, чем из раза в раз делать одни и те же задания по учебнику. 

Наша практика — это практика из жизни, нашего опыта, опыта наших клиентов и из проектов, в которых мы участвовали. А наша цель — надежные корпоративные сети под управлением наших студентов.

Что нас по-настоящему мотивирует — это обратная связь с нашими студентами, те восторженные отзывы, которые они оставляют после каждого тренинга, и которые мы публикуем на нашем сайте, те «инсайты», которые приходят во время обучения и воплощаются потом на рабочих проектах. Мы благодарны всем нашим студентам за оказанное доверие, и всегда рады видеть их у нас на обучении по другим направлениям.

Настройка firewall

Далее нужно разрешить OpenVPN трафик на роутере.
Настройка OpenVPN MikroTik: Server и ClientДобавляем правило.
Создание правила Firewall для PPTPAction – accept.
Параметры правила фаервола OVPN - accept

Сохраняем и переходим к клиентской части.

Настройка openvpn по сертификату

Здесь мы рассмотрим как настроить подключение по сертификату, выполним экспортирование и эмпортирование ключей для клиента и сервера.

Настройка sstp vpn-сервера

Перед тем как браться за настройку сервера следует определиться со схемой доступа к сети, существуют два основных варианта: Proxy ARP, когда адреса удаленным клиентам выдаются из диапазона основной сети и они получают доступ без дополнительных настроек, и маршрутизация, когда диапазон адресов для VPN-клиентов не пересекается с основной сетью, а для доступа в нее будет необходимо указать маршруты, этот процесс можно автоматизировать с помощью PowerShell.

После этого перейдем в IP – Pool и создадим новый пул адресов для выдачи VPN-сервером, количество адресов в пуле не должно быть меньше предполагаемого количества клиентов.

mikrotik-sstp-vpn-server-006.png

/ip pool
add name=sstp_pool ranges=10.20.0.100-10.20.0.199

Затем перейдем в PPP – Profiles и создадим новый профиль, в поле Local Address введем локальный адрес VPN-сервера, он должен относиться к тому же диапазону что и выделенный выше пул адресов, который следует указать в поле Remote Address, остальные настройки оставляем по умолчанию.

Или выполним команду:

/ppp profile
add local-address=10.20.0.1 name=SSTP-profile remote-address=sstp-pool

Затем переместимся в PPP – Secrets и создадим учетные записи пользователей, указываем имя пользователя, пароль, в поле Service выбираем sstp, что ограничит действие учетной записи только SSTP-сервером, если оставить any, то учетка сможет подключаться к любому сервису. В поле Profile указываем созданный нами профиль.

Про сертификаты:  Что такое открытый и закрытый ключ сертификата SSL? | REG.RU

mikrotik-sstp-vpn-server-008.png

/ppp secret
add name=Ivanov password=Pa$$word profile=SSTP-profile service=sstp

Теперь, когда все готово, настроим сам сервер. Для этого перейдем в PPP – Interface и нажмем кнопку SSTP Server. Включим его, установив флаг Enabled, в поле Default Profile выберем созданный нами профиль, в разделе Authentication оставим только mschap2, в поле Certificate указываем сертификат сервера.

Дальнейшие настройки отвечают за повышение уровня безопасности: TLS Version – only-1.2 не разрешает использование устаревших версий TLS, Force AES – заставляет принудительно использовать алгоритм шифрования AES256, PFS включает совершенную прямую секретность (Perfect forward secrecy), которая формирует уникальный сессионный ключ для каждого подключения, что делает невозможным расшифровку сессии даже при наличии закрытого ключа.

mikrotik-sstp-vpn-server-009.pngВ терминале для включения и настройки сервера выполните:

/interface sstp-server server
set authentication=mschap2 certificate=sstp.interface31.lab default-profile=SSTP-profile enabled=yes force-aes=yes pfs=yes tls-version=only-1.2

На этом настройка закончена, сервер готов принимать подключения.

Настройка клиента

После экспорта и копирования ключей подключимся к питерскому роутеру. Открываем Files и переносим с рабочего стола 2 файла скопированных ранее.
Копирование ключей OpenVPN Mikrotik на клиентаПереходим в Certificates и импортируем открытый и закрытый ключи.
Импорт ключей OpenVPNВ выпадающем списке выбираем открытый ключ и вписываем пароль. Import.
Импорт открытого ключа OpenVPNТоже самое с закрытым ключом.
Настройка OpenVPN MikroTik: Server и ClientДалее импортируем CA.
Импорт сертификата CA OpenVPNОткрываем ранее созданный OVPN Client интерфейс, выбираем импортированный сертификат и требуем проверку серверного.
Настройка клиенского интерфейса OpenVPN по сертификатуСоединение установилось.
Статус OVPN Client интерфейса по сертификатуПроверим его.
Проверка соединения OVPN по сертификату

Настройка подключения клиента в linux

В используемых нами дистрибутивах Linux нет штатного SSTP-клиента, однако есть сторонняя разработка, которой мы и воспользуемся. Все нижесказанное будет справедливо для дистрибутивов основанных на Debian и Ubuntu, если у вас иная система обратитесь на страницу проекта.

Проще всего владельцам Ubuntu, им достаточно просто подключить PPA, ниже приведен пример для Ubuntu 18.04, для других систем просто измените кодовое название дистрибутива:

Настройка подключения клиента в windows

Как мы уже говорили, для того чтобы клиент мог проверить подлинность сервера нам необходимо импортировать корневой сертификат, переместим его на клиента и установим в Расположение хранилища – Локальный компьютер:

mikrotik-sstp-vpn-server-010.pngХранилище сертификатов – Доверенные корневые центры сертификации:mikrotik-sstp-vpn-server-011.pngХранилище сертификатов – Доверенные корневые центры сертификации:Настройка OpenVPN MikroTik: Server и ClientТип VPN – Протокол SSTP и Тип данных для входа – Имя пользователя и пароль, здесь же вводим адрес сервера и учетные данные.mikrotik-sstp-vpn-server-012.pngПосле чего в свойствах подключения на закладке Безопасность убедимся, что в разделе Проверка подлинности указан только протокол MS-CHAP v2.mikrotik-sstp-vpn-server-013.png

Онлайн-курс mikrotik mtcna от официального тренера

  • Командная строка RouterOS (CLI)
    • Нуль-модемный кабель
    • SSH и Telnet
    • Терминальное подключение с помощью WinBox и WebFig
  • Основы работы с командной строкой RouterOS
    • «Tab», двойной «Tab», «?»
    • Навигация
    • История команд
    • Цветовое выделение элементов
    • Комбинации клавиш «Ctrl C», «Ctrl L», «Ctrl K», «Ctrl X», «Ctrl V» и «Ctrl D»
    • Ускорение ввода команд
    • Команды «add», «remove», «set», «unset», «edit»
    • Команды «enable», «disable», «enabled» и «disabled» (не опечатка, 4 разные команды)
    • Команды «find», «place-before» и «move»
    • Команда «print» и ее ключи «brief», «count-only», «detail», «file», «follow», «follow-only», «from», «interval», «oid», «stats», «stats-detail», «terse», «value-list», «where», «without-paging»
    • Команды: «reset-counters», «reset-counters-all», «monitor-traffic», «monitor», «clear-history»
  • Файловое хранилище
  • Выбор способа резервного копирования: export или backup
  • Резервное копирование export и восстановление import
  • Резервное копирование backup
    • Стандартный способ копирования и восстановления
    • Восстановление на другом оборудовании (неофициальный способ)
    • Облачная архивация и восстановление
  • Обновление RouterOS
    • Релизы
    • Пакеты
    • Обновление RouterOS тремя способами
  • Загрузчик RouterBOOT
    • Назначение
    • Обновление
    • Основной и резервный загрузчики
    • Переход на резервный загрузчик
  • Переустановка RouterOS с помощью утилиты Netinstall
    • Стандартный способ
    • Переустановка на устройствах, к которым затруднен физический доступ
    • Распространенные проблемы, возникающие при переустановке RouterOS
  • Простейшая настройка для доступа в Интернет
    • IP-адресация с помощью DHCP-клиента
    • Статическая IP-адресация
    • Шлюз по умолчанию
    • Правило NAT masquerade
  • Идентификатор устройства
  • Системные учетные записи RouterOS
  • Службы RouterOS
  • Списки интерфейсов
  • MikroTik Neighbor Discovery Protocol
  • MAC Server
    • MAC Telnet
    • MAC WinBox
    • MAC ping
  • Настройка времени

Особенности эксплуатации ca на роутерах mikrotik: резервное копирование, экспорт и импорт сертификатов

mikrotik-certificates-export-import-000.pngMikrotik предоставляет пользователям достаточно широкие возможности, одна из них – создание на роутере собственного центра сертификации (CA), который позволяет управлять собственной инфраструктурой открытых ключей (PKI). Благодаря этому вы можете выпускать, подписывать и отзывать сертификаты, а также поддерживать доверительные отношения без использования дополнительных технических и программных средств. Это удобно, но эксплуатация CA на базе Mikrotik имеет свои особенности и подводные камни, которые нужно четко представлять и учитывать при выборе такого решения.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Коротко напомним, что такое инфраструктура открытых ключей (PKI), это область доверия, где каждый участник может доверять другому участнику, не имея никаких предварительных данных о нем. В основе PKI лежит центр сертификации (CA), авторитет CA неоспорим, а доверие к нему не подвергается сомнению.

При создании CA генерируется ключевая пара из закрытого ключа и корневого сертификата, который содержит открытый ключ. Закрытый ключ является секретным и должен храниться как зеница ока, потому как его компрометация дает возможность злоумышленнику выпускать сертификаты от имени вашего CA, а следовательно, получить доступ к вашей области доверия. Корневой сертификат, наоборот, должен быть широко распространен на узлах вашей области доверия, так как именно он позволяет убедиться в подлинности выпущенных сертификатов.

Про сертификаты:  Wi-Fi и много других аббревиатур. Как в Android приложении получить данные об узлах Wi-Fi и не опухнуть / Хабр

При этом любой пользователь или узел, располагающий корневым сертификатом, может в любой момент времени убедиться в подлинности предъявленного ему сертификата другого пользователя или узла, а так как доверие к CA не подвергается сомнению, то автоматически возникают доверительные отношения с предъявителем действующего сертификата. Также корневой сертификат содержит адрес CRL – списка отозванных сертификатов, что позволяет дополнительно убедиться, что предъявленный сертификат не был отозван.

Следует понимать, что после того, как CA выпустил сертификат и передал его клиенту, он больше не может его контролировать и в случае компрометации его можно только отозвать. Между тем отозванный сертификат будет успешно проходить проверку подлинности при помощи корневого сертификата и проверить его на отзыв можно только при помощи списка CRL, который должен быть опубликован для общего доступа. Если CRL отсутствует или недоступен, то проверить сертификат на отзыв будет невозможно, а следовательно, такой сертификат будет принят как действительный.

В Mikrotik для работы с сертификатами следует перейти в отдельный раздел – System –Certificates. Прежде всего научимся правильно читать информацию о сертификатах, которая сосредоточена в первой колонке и представлена в виде буквенных флагов:

  • А – authority – корневой сертификат при помощи которого мы можем подписывать другие сертификаты
  • T – trusted – сертификат с которым установлены доверительные отношения
  • L – crl – корневой сертификат содержит адрес списка отозванных сертификатов (CRL)
  • I – issued – сертификат, выпущенный центром сертификации расположенном на данном устройстве
  • K – private-key – сертификат имеет связанный с ним закрытый ключ
  • E – expired – сертификат с истекшим сроком действия
  • R – revoked – отозванный сертификат

Таким образом корневой сертификат CA должен иметь флаги KAT или KLAT в зависимости от того, использует ли центр сертификации списки отзыва CRL. Выпущенный данным CA сертификат будет иметь флаг KI, а будучи импортированным на другом узле в присутствии сертификата CA будет иметь флаги KT, а сам корневой сертификат чужого CA – просто T или LT.

mikrotik-certificates-export-import-001.pngЗакладка System – Certificates – CRL содержит загруженные списки отзыва для всех сертификатов, имеющих флаг L, кроме корневого сертификата собственного CA. Для работы со списками отзыва следует выполнить некоторые настройки, они расположены в System – Certificates – Settings. Флаг Use CRL включает использование списков отзыва, флаг CRL Download разрешает загрузку списков для сертификатов, содержащих адрес CRL. Если установить первый, но не устанавливать второй, то списки CRL будут работать только для собственного CA.

mikrotik-certificates-export-import-002.pngЕще одна важная опция – место хранения CRL – CRL Store, по умолчанию там стоит вариант хранения в оперативной памяти – ram. Но здесь есть первые подводные камни, объем RAM занимаемый списком рассчитывается по формуле:

4MB   10 * <CRL_size>

Таким образом даже самый небольшой список будет занимать от 4 МБ оперативной памяти, что может быть критично для младших моделей с небольшим объемом оперативной памяти, в этом случае значение CRL Store следует изменить на system.

Следующий важный вопрос: а что будет, если роутер с ролью CA выйдет из строя? В таком случае вы полностью потеряете контроль над своей PKI и вам потребуется создать новый CA и перевыпустить все сертификаты. Избежать этого можно только одним образом – созданием резервной копии устройства в бинарном формате. Для этого перейдите в Files и нажмите кнопку Backup, укажите имя файла и обязательно задайте пароль (в противном случае закрытые ключи выгружены в резервную копию не будут).

mikrotik-certificates-export-import-003.png

Либо выполните в терминале:

/system backup save name=backup password=<MY_PASSWORD>

Но бинарная копия имеет ряд существенных ограничений, она предназначена для восстановления только на том устройстве, на котором была создана, либо на другом той же модели при окончательном выходе устройства из строя. Это связано с тем, что при восстановлении такой копии будут восстановлены и MAC-адреса, а появление в одной сети двух устройств с одинаковыми MAC-адресами способно привести к серьезным сбоям в ее функционировании. Ну и наконец, вы не сможете восстановить бинарную резервную копию на другой модели роутера.

Этих недостатков лишена копия настроек в текстовом формате, которую можно полностью или частично восстановить на любом устройстве с RouterOS. Для ее создания выполните команду:

/export file=export_cfg

После чего в разделе Files у вас появится файл с указанным именем и расширением .rsc. Но данный файл не содержит ключей и сертификатов и не годится для восстановления CA. Скажем сразу – никаким иным способом, кроме как бинарным бекапом, перенести CA на другой роутер нельзя. Фактически центр сертификации получается в своем роде “одноразовым”, его можно перенести только на точно такое же устройство, в случае апгрейда вам придется создать инфраструктуру PKI заново.

Но значит ли это, что вам не нужно делать резервную копию ключей и сертификатов? Нет. Никогда нельзя исключать внезапный выход роутера из строя, как и невозможность приобрести ему на замену точно такую же модель. А ситуация, когда все работает, хоть и с ограничениями, всегда лучше ситуации, когда не работает ничего.

Несмотря на то, что полноценно восстановить CA на другом узле мы не сможем, но работу служб, использующих сертификаты восстановить можно, хотя и с некоторыми оговорками. В некоторых случаях они могут оказаться существенными, почему так мы покажем ниже.

А пока экспортируем нужные нам ключи и сертификаты. Перейдем в System – Certificates, найдем там корневой сертификат CA и щелкнув на него правой кнопкой мыши выберем Export. Формат не имеет принципиального значения, при выборе PEM вы получите два файла – сертификат и закрытый ключ, при выборе PKCS12 – единственный файл .p12.

Про сертификаты:  Rainbow Technologies получила сертификат ФСТЭК России на UTM-устройства WatchGuard Firebox X e-Series

Обязательно укажите пароль в поле Export Passphrase, в противном случае закрытые ключи выгружены не будут.

mikrotik-certificates-export-import-004.png

Затем, аналогичным образом, выгружаем сертификаты и ключи для служб, работающих на данном роутере, клиентские и серверные сертификаты, используемые на других узлах, выгружать не имеет смысла. Обратите внимание, так как выгружаемые ключевые пары содержат закрытые ключи, то следует обеспечить их безопасное хранение, особенно закрытого ключа центра сертификации CA.

При переходе на другое устройство вам потребуется загрузить сертификаты и ключевые пары, либо файлы p12 в Files. После чего импортировать их в System – Certificates. Последовательность импорта такова: сначала сертификат, потом закрытый ключ, в случае файла p12 все импортируется за одно действие.

mikrotik-certificates-export-import-005.pngГлядя на статус импортированного корневого сертификата – KLAT – можно подумать, что все хорошо, но увы. Выпущенный этим же CA серверный сертификат импортируется не как KI, а как KT, это означает, что он будет работать, но отозвать мы его никогда не сможем, это же относится и к клиентским сертификатам, почему мы выше и сказали, что экспортировать их бессмысленно.

mikrotik-certificates-export-import-006.pngПри этом вы можете продолжать выпускать сертификаты от имени CA и подписывать их корневым сертификатом. Если вы не используете в своей инфраструктуре PKI отзыв сертификатов, то можете продолжать работать. Никаких проблем при этом не возникнет.

А мы тем временем перейдем к спискам отзыва, так как это самое больное место в этой схеме. При создании корневой ключевой пары CA, в момент подписи запрашивается адрес опубликования CRL – СА CRL Host, именно по этому адресу Mikrotik поднимет веб-сервер и опубликует список отозванных сертификатов.

mikrotik-certificates-export-import-007.png

Здесь снова есть подводные камни. Файл списка CRL при каждом изменении меняет свое название на номер итерации, так при первом создании он будет http://192.168.111.1/crl/1.crl, а после следующего отзыва превратиться в http://192.168.111.1/crl/2.crl. Адрес списка CRL содержится в корневом сертификате CA, поэтому, если вы используете несколько узлов, разрешающих доступ по сертификатам выпущенным Mikrotik, то после каждого отзыва вы должны заново экспортировать корневой сертификат СА и распространить его на все узлы вашей области доверия PKI, как минимум на те, которые принимают сертификаты для аутентификации или авторизации.

При переносе ключевой пары CA на другой хост RouterOS прочитает из корневого сертификата адрес CRL и попытается его скачать. Но так как старый роутер заменен новым, с тем же адресом, скачивать ему будет нечего. К сожалению, Mikrotik не позволяет импортировать файл списка CRL, поэтому даже имея его на руках вы не сможете загрузить его в устройство.

mikrotik-certificates-export-import-008.pngНо ведь мы можем выдавать новые сертификаты и можем их отозвать? Можем. Но новый список CRL при этом не формируется, центр сертификации будет продолжать пытаться загрузить список CRL указанный в корневом сертификате, которого в новом роутере не существует.

Таким образом, при переносе ключевой пары CA на новый роутер мы имеем возможность выдавать новые сертификаты, но сразу перестают действовать списки отзыва, т.е. клиенты с отозванными сертификатами снова могут подключиться к серверу, а также теряется возможность отзыва вновь выпущенных сертификатов.

Фактически старый CA перестал существовать, но мы можем продолжать поддерживать работоспособность текущей инфраструктуры PKI, хотя и с ограничениями, и планомерно планировать переход на сертификаты нового CA. Такой сценарий гораздо предпочтительнее, чем полный отказ инфраструктуры.

Как видим, в RouterOS нет возможности полноценно перенести CA на другое устройство, это серьезное ограничение и его следует обязательно учитывать при планировании инфраструктуры, в тоже время, располагая экспортированной ключевой парой CA и собственных сертификатов роутера вы всегда сможете восстановить работоспособность инфраструктуры, хотя и существенными ограничениями.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Создание сертификата сервера openvpn

Открываем Certificates и нажимаем на плюс.

  • Указываем уникальные имя и Common Name.

Открываем Key Usage, снимаем галочки с:

  • crl sign;
  • data encipherment;
  • key sert sign;
  • ставим галочку на tls server.

Сохраняем. Переходим к подписанию.

Выбираем сертификат в списке. В контекстном меню нам нужен Sign. В Certificate выбираем шаблон ServerOVPN, в CA самоподписанный корневой сертификат. Start.
Настройка OpenVPN MikroTik: Server и ClientВ списке видим, что наш шаблон превратился в полноценный сертификат. Можем открыть его свойства.
Свойства сертификата сервера OVPN 4

Создание сертификата центра сертификации

На московском роутере открываем System — Certificates.
Импорт ключей OpenVPN

В данном разделе находятся все сертификаты на Mikrotik. Для настройки сервера нам необходимо сделать следующее:

  • Создать сертификат центра сертификации;
  • Создать сертификат сервера.

Нажимаем плюс и задаем параметры согласно скриншоту:

  • Name – имя в списке Mikrotik;
  • Country, Sate, Locality, Organization, Unit – произвольные поля для заполнения;
  • Common Name – самое важное. Указываем уникальное имя;
  • Key Size – длина ключа. Выбирается в выпадающем списке;
  • Days Valid – срок годности.

На данный момент мы создали шаблон.

Подписание! Обращаю внимание, что мы будем создавать самоподписанный корневой сертификат центра сертификации.


Ничего страшного в этом нет, т.к. мы не собираемся его использовать для других сервисов. Выбираем наш шаблон, и в контекстном меню выбираем Sign.

В открывшемся окне выбираем CA. Обязательно указываем CA CRL Host – список отзыва, можно указать доменное имя.
Настройка OpenVPN MikroTik: Server и ClientНажимаем Start и ждем окончания процесса.
Сертификат центра сертификации OVPN микротике

Оцените статью
Мой сертификат
Добавить комментарий