RouterOS V7 OPEN-VPN SERVER 建立證書教學

首先建立證書

總共需要產生三個憑證:CA 憑證、用戶端憑證和伺服器憑證。

1.建立CA證書
這裡使用CLI方式操作介紹
只需要把設置命令複製貼上即可

/certificate add name=ca-cert common-name=ca-cert days-valid=365 key-size=2048 key-usage=crl-sign,key-cert-sign

這個是CA 憑證, 名稱叫做”ca-cert” ,密鑰為 2048位元,證書有效天數設定為365天.
1年到期後需要再重新操作建立證書一次,如果不希望這麼頻繁操作,可以自行把365天設久一點,例如3650天,也就是10年.

2.建立伺服器憑證

一樣把設置命令複製貼上即可
/certificate add name=server-cert common-name=server-cert days-valid=365 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server

伺服器憑證名稱為”server-cert”

 

3.建立用戶端憑證

一樣把設置命令複製貼上即可

/certificate add name=client-cert common-name=client-cert days-valid=365 key-size=2048 key-usage=tls-client
用戶端憑證名稱為”client-cert”

 

接下來操作簽署證書

4.簽署CA證書
一樣把設置命令複製貼上即可,但是記得先把底下的中文註解替換成你實際的IP或域名
/certificate sign ca-cert name=ca-cert ca-crl-host=”1.2.3.4″

簽署證書會需要一些時間(大約1~10秒內),取決於路由器的CPU性能.

 

5.簽署客戶端和伺服器證書

一樣複製貼上即可
/certificate sign server-cert name=server-cert ca=ca-cert
/certificate sign client-cert name=client-cert ca=ca-cert

同樣簽署證書需要一些時間.

 

6. 信任伺服器憑證
複製貼上即可
/certificate set server-cert trusted=yes

 

設置到此即完成三個證書的建立與簽署.

 

接下來操作匯出證書

7.匯出CA證書
底下的export-passphrase 這不需要填,使用預設即可.
/certificate export-certificate ca-cert export-passphrase=””

 

8.接著匯出客戶端證書
一樣複製貼上即可,但是底下的password要替換自設一組密碼.密碼至少8個字以上
/certificate export-certificate client-cert export-passphrase=”[password]”

 

操作到這一步即完成全部的證書建立以及匯出,
檢查你的Winbox Files資料夾裡面會生成三個證書檔案.

9.接下來設定OVPN,設定方式跟基本的VPN設置一樣

10.再來點選PPP選單視窗並導覽至 Interface頁面。 按一下頂部欄位中的「OVPN Server」按鈕即可編輯設定。

11.
接下來設定OVPN預設連接埠為1194,你可以自訂換成其他連接埠。
Mode模式設定為ip(layer3 VPN)或 ethernet(layer2 VPN)。若無特殊需求,建議使用ip模式。
將協定設為 UDP 或 TCP,具體取決於您要使用哪一種。 UDP 是推薦選項。
網路遮罩使用系統預設24即可
certificate 憑證選項這邊記得變更為您的伺服器憑證(選server-cert這個), 並將“Require Client Certificate” 按鈕打勾
在「身份驗證」部分中,選取 sha1 複選框並取消選取所有其他複選框
在「密碼」部分中,選取 AES 128、192 和 256 的方塊。取消選取所有其他方塊。

底下的”Redirect Gateway”預設是 disabled打勾,如果你的OVPN使用者連上來後要透過這台OVPN Server聯網,則必須把打勾換成”defl”

最後,OVPN SERVER 設定好之後,可以將連線設定檔匯出以方便提供給使用者電腦匯入設定後連線.


點選Export.ovpn按鈕後 , 填入你這台伺服器的IP或域名,底下證書欄位也填入對應的檔案名稱後即可完成設定檔匯出.
連線設定檔匯出這個功能需要V7版本才具備,V6版本目前沒有這個功能.

檢查你的Winbox Files資料是否多了一個clientxxxxxx.ovpn的檔案,

只要把這個檔案抓下來傳給使用者讓他匯入自己的電腦後即可使用OPEN-VPN的連線軟體連上來.

以上證書設定完成.

底下提供影片教學參考

. RouterOS V7 OPEN-VPN SERVER 建立證書教學inheritclosedclosed 3757-revision-v1™±û\]™±úܝ­ https://ros.tw/wp/?p=3772revision 0 N-VPN的連線軟體連上來.

以上證書設定完成.

底下提供影片教學參考

https://youtu.be/w6nm0tTfBBc

分類: RouterOS。這篇內容的永久連結

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *