首先建立證書
總共需要產生三個憑證:CA 憑證、用戶端憑證和伺服器憑證。
1.建立CA證書
這裡使用CLI方式操作介紹
只需要把設置命令複製貼上即可
/certificate add name=ca-cert common-name=ca-cert days-valid=365 key-size=2048 key-usage=crl-sign,key-cert-sign
這個是CA 憑證, 名稱叫做”ca-cert” ,密鑰為 2048位元,證書有效天數設定為365天.
1年到期後需要再重新操作建立證書一次,如果不希望這麼頻繁操作,可以自行把365天設久一點,例如3650天,也就是10年.
2.建立伺服器憑證
一樣把設置命令複製貼上即可
/certificate add name=server-cert common-name=server-cert days-valid=365 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
伺服器憑證名稱為”server-cert”
3.建立用戶端憑證
一樣把設置命令複製貼上即可
/certificate add name=client-cert common-name=client-cert days-valid=365 key-size=2048 key-usage=tls-client
用戶端憑證名稱為”client-cert”
接下來操作簽署證書
4.簽署CA證書
一樣把設置命令複製貼上即可,但是記得先把底下的中文註解替換成你實際的IP或域名
/certificate sign ca-cert name=ca-cert ca-crl-host=”1.2.3.4″
簽署證書會需要一些時間(大約1~10秒內),取決於路由器的CPU性能.
5.簽署客戶端和伺服器證書
一樣複製貼上即可
/certificate sign server-cert name=server-cert ca=ca-cert
/certificate sign client-cert name=client-cert ca=ca-cert
同樣簽署證書需要一些時間.
6. 信任伺服器憑證
複製貼上即可
/certificate set server-cert trusted=yes
設置到此即完成三個證書的建立與簽署.
接下來操作匯出證書
7.匯出CA證書
底下的export-passphrase 這不需要填,使用預設即可.
/certificate export-certificate ca-cert export-passphrase=””
8.接著匯出客戶端證書
一樣複製貼上即可,但是底下的password要替換自設一組密碼.密碼至少8個字以上
/certificate export-certificate client-cert export-passphrase=”[password]”
操作到這一步即完成全部的證書建立以及匯出,
檢查你的Winbox Files資料夾裡面會生成三個證書檔案.
9.接下來設定OVPN,設定方式跟基本的VPN設置一樣
10.再來點選PPP選單視窗並導覽至 Interface頁面。 按一下頂部欄位中的「OVPN Server」按鈕即可編輯設定。
11.
接下來設定OVPN預設連接埠為1194,你可以自訂換成其他連接埠。
Mode模式設定為ip(layer3 VPN)或 ethernet(layer2 VPN)。若無特殊需求,建議使用ip模式。
將協定設為 UDP 或 TCP,具體取決於您要使用哪一種。 UDP 是推薦選項。
網路遮罩使用系統預設24即可
certificate 憑證選項這邊記得變更為您的伺服器憑證(選server-cert這個), 並將“Require Client Certificate” 按鈕打勾
在「身份驗證」部分中,選取 sha1 複選框並取消選取所有其他複選框
在「密碼」部分中,選取 AES 128、192 和 256 的方塊。取消選取所有其他方塊。
底下的”Redirect Gateway”預設是 disabled打勾,如果你的OVPN使用者連上來後要透過這台OVPN Server聯網,則必須把打勾換成”defl”
最後,OVPN SERVER 設定好之後,可以將連線設定檔匯出以方便提供給使用者電腦匯入設定後連線.

點選Export.ovpn按鈕後 , 填入你這台伺服器的IP或域名,底下證書欄位也填入對應的檔案名稱後即可完成設定檔匯出.
連線設定檔匯出這個功能需要V7版本才具備,V6版本目前沒有這個功能.
檢查你的Winbox Files資料是否多了一個clientxxxxxx.ovpn的檔案,

只要把這個檔案抓下來傳給使用者讓他匯入自己的電腦後即可使用OPEN-VPN的連線軟體連上來.
以上證書設定完成.
底下提供影片教學參考
. RouterOS V7 OPEN-VPN SERVER 建立證書教學inheritclosedclosed 3757-revision-v1±û\]±úܝ https://ros.tw/wp/?p=3772revision 0 N-VPN的連線軟體連上來.
以上證書設定完成.
底下提供影片教學參考



