[Mikrotik] Cấu hình OpenVPN client to site trên Router Mikrotik

Trong nội dung này sẽ hướng dẫn các bạn cấu hình OpenVPN client to site trên thiết bị Router Mikrotik, cho phép thiết bị bên ngoài kết nối đến client bên trong.

​

- Mô hình ví dụ trên đã được cấu hình IP tương ứng, srcnat để các thiết bị trong local ra internet.

- Đầu tiên ta cần tạo CA, server, và client certificates. Đi đến System -> Certificates, chọn + tạo Ca certificates như phía dưới, tại tab General có thể thêm thông tin Coutry, State,… nếu bạn muốn, thay đổi Day Vaild theo bạn muốn.

​

- Tại tab Key Usage tích chọn "crl sign, key cert sign", rồi chọn Apply. Sau đó chọn Sign, tại CA CRL Host nhập IP Wan của router -> chọn Start và chờ thiết bị xử lý, khi thiết bị báo done, ta có thể tắt cửa sổ.

​

- Tiếp tục tạo Server certificates, tab Key Usage tích chọn "digital signature, key encipherment, tls server", rồi chọn Apply. Sau đó chọn Sign, tại CA chọn tên CA đã tạo ở trên, -> chọn Start và chờ thiết bị xử lý. Mở lại Server certificates vừa tạo và tích chọn Trusted.

​

- Tạo Client certificates, tab Key Usage tích chọn "tls client", rồi chọn Apply. Sau đó chọn Sign, tại CA chọn tên CA đã tạo ở trên, -> chọn Start và chờ thiết bị xử lý. Tương tự tạo certificates cho client khác nếu có.

​

- Nhấp phải hoặc mở CA và client certificates đã tạo ở trên chọn Export, đối với client certificates có thể đặt Passphrase nếu muốn.

​

- Đi đến menu Files, tại cửa sổ File list sẽ hiển thị các file đã export, chọn và download các file về máy.

​

- Bây giờ đến menu IP -> Pool, tạo pool cấp cho client vpn, khác dãy với dhcp cấp cho các thiết bị trong local.

​

- Sau đó đi đến PPP -> tạo PPP Profile như phía dưới, Local Address : địa chỉ IP của interface bridge, Remote Address : ip pool tạo phía trên và Bridge chọn tên interface bridge.

​

- Chuyển qua tab Secrets, tạo user mới cho remote client, tùy chọn mục name và password, service chọn ovpn và chọn Profile đã tạo ở trên.

​

- Qua tab Interface chọn OVPN Server, và thiết lập như phía dưới.

​

- Đi đến Interfaces -> tại tab interface chọn int bridge, mục ARP chọn proxy-arp.

​

- Tại máy cần remote, cài đặt phần mềm Openvpn, sau đó tạo folder và bỏ các file certificate đã tạo ở trên vào, tạo file config với đuôi .ovpn với nội dung như phía dưới, thay đổi nội dung tùy thuộc vào địa chỉ IP Wan bạn sẽ kết nối tên CA, cert, key phụ thuộc vào tên file của bạn.

client
dev tun
proto tcp-client
remote 10.0.0.2
port 1194
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
ca CA.crt
cert Client.crt
key Client.key
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
auth-user-pass secret
auth-nocache​

​

- Tạo một file secret có chứa user và pass bạn đã tạo cho remote user, lưu file ko cần đuôi mở rộng.

​

- Trong thư mục sẽ bao gồm các file như hình phía dưới.

​

- Mở phần mềm Openvpn connect, chọn import profile và chọn upload file config .ovpn đã tạo ở trên,sau đó chọn connect lúc này bạn sẽ được yêu cầu nhập passpharse đã tạo khi export client key nếu có.

​

- Kiểm tra đã kết nối thành công và có thể kết nối đến Host trong local.

​

!!! Cám ơn các bạn đã theo dõi bài viết !!!​