320.06.70.037 [email protected]
Seleziona una pagina

Configurazione Server OpenVPN su Mikrotik per accesso a Devices nella LAN interna

da | Lug 12, 2021 | Mikrotik, OpenVPN | 2 commenti

Questo tutorial ha lo scopo di guidare passo passo nella configurazione di un server OpenVPN su un router MIkrotik,

Verrà illustrata anche la configurazione del firewall per permettere ai client connessi in VPN di raggiungere dei devices nella rete LAN interna.

E per ultimo verrà mostrato come configurare il client OpenVPN sul PC.

PRE-REQUISITI

PC con sistema operativo Windows
WinBox scaricabile dal seguente link https://mikrotik.com/download

Selezionare la versione a 32 o 64 bit in base al sistema operativo utilizzato

ACCESSO CONFIGURAZIONE MIKROTIK

Accedere tramite winbox o via web (se abilitato) alla configurazione del Mikrotik.

Aprire il Terminale della Mikrotik cliccando sul pulsante New Terminal.

Come esempio utilizzerò il dominio raffaelechiatto.com.

ATTENZIONE: La VPN è configurabile e funzionante anche se il dominio e i dns non sono raggiungibili.

ATTENZIONE: SI potrebbero riscontrare latenze e comandi che andranno in timeout nella generazione dei certificati. Non vi preoccupate… I certificati saranno validi per 10 anni (3650 giorni)

CREAZIONE DEI CERTIFICATI

Eseguire i comandi elencati di seguito uno per volta per la creazione di tutti i ceritificati necessari alla VPN:

FIRMA DEI CERTIFICATI

Procedere quindi con il Sign dei certificati eseguendo i comandi elencati di seguito:

ATTENZIONE: In questa fase qualche comando potrebbe andare in timeout. Non preoccuparsi e proseguire…

Per verificare che tutti i certificati creati siano corretti da Winbox aprire la sezione relativa ai ceritifcati

Cliccare Systems quindi Certificates

Se è tutto OK dovremmo vedere una schermata come quella sovrstante. La cosa importante è che i certificati abbiano le seguenti caratterstiche:

CA Cert: KLAT
CLIENT Cert: KIT
SERVER Cert: KI

ESPORTAZIONE DEI CERTIFICATI

A questo punto possiamo procedere con l’esportazione dei certificati con i seguenti comandi:

 

Sempre da WinBox cliccare su Files come mostrato nell’immagine sovrastante

Come si può vedere dall’immagine sottostante all’interno della cartella sono presenti 2 certificati ed una chiave

Selezionare i tre files quindi cliccare su Download

Selezionare la cartella dove salvare i tre files quindi cliccare OK. (Io per comodità ho salvato tutto sul desktop del mio PC)

CREAZIONE DEL POOL DI INDIRIZZI IP

Procedere con la creazione del pool di IP con il seguente comando:

 

Per verificare che il Pool sia stato creato dal menù di sinistra di WinBox cliccare su IP quindi selezionare Pool

Se è tutto OK dovremmo vedere il Pool con il range di IP assegnato

CONFIGURAZIONE DEL SERVER PPP OPENVPN

Procedere con la configurazione del server PPP per accettare le richieste di connessione.
Il gateway VPN che imposterò sarà 192.168.8.250

Eseguire i comandi:

Procedere con la configurazione dei parametri del profilo VPN eseguendo i comandi:

CONFIGURAZIONE FIREWALL

Per permettere ai client collagti in VPN di raggiungere la rete LAN bisogna eseguire i comandi che elenco di seguito:

Quindi impostare il NAT con il seguente comando:

CREAZIONE DEL FILE DI CONFIGURAZIONE .OVPN

Creare un file sul proprio PC chiamandolo client.ovpn quindi editarlo con il notepad e copiare all’interno del file le seguenti righe

ATTENZIONE: sostituire al posto di IP_PUBBLICO l’indirizzo IP pubblico o il nome DNS pubblico del Mikrotik

Salvare il file e chiudere l’editor di testo.

CONFIGURAZIONE CLIENT OPENVPN

A questo punto non ci resta che installare il client OpenVPN scaricabile al seguente link

Community Downloads

NOTA BENE: Scaricare sempre l’ultima versione disponibile. Al momento della stesura di questa guida l’ultima versione disponibile è la 2.5.3

Dopo aver installato il client OpenVPN copiare all’interno della cartella C:\Program Files\OpenVPN\config i seguentri files:

ca.crt
client.crt
client.key
client.ovpn

Se è tutto OK dovremmo vedere una scheramata come quella sovrastante.

A questo punto non ci resta che cliccare sull’icona di OpenVPN in basso a destra quindi Connetti

Basterà inserire user e password create in precedenza e la VPN verrà stabilità.

CONFIGURAZIONE SPLIT-TUNNEL OPENVPN

Uno Split-Tunnel consente di indirizzare parte del traffico attraverso la tua VPN, mentre consente al resto del traffico di non essere influenzato e di passare attraverso il normale percorso di rete. Questo può essere utile quando si desidera lasciare inalterato il resto della connessione Internet, in termini di velocità o larghezza di banda. Tuttavia, può anche essere utile se hai bisogno di mantenere l’accesso ad altre risorse sulla tua rete locale, mentre ti connetti a una risorsa specifica sulla VPN, offrendoti il meglio di entrambi i mondi.

Quando ti connetti a un server OpenVPN Community Edition e accedi ai file di configurazione di OpenVPN, puoi modificarli e implementare il tunnel diviso a tuo piacimento.

Per indicare a OpenVPN di utilizzare il tunnel VPN solo per siti Web specifici, ecco cosa bisogna fare:

Scoprire l’indirizzo IP per i siti Web che si desidera vengano instradati tramite la VPN. È possibile utilizzare il comando nslookup o caricare un sito Web di localizzazione IP (ad es. XMyIP.com), inserire l’URL del sito Web e ottenere l’indirizzo IP.
Aprire e modificare il file conf di OpenVPN (.ovpn). Qualsiasi editor di testo andrà bene.

Aggiungere i seguenti comandi:

Salvare le modifiche e riavviare la connessione OpenVPN.

Per rimuovere lo split-tunnel, eliminare le due righe e riavviare la connessione OpenVPN.
Il risultato è che solo il traffico verso i siti Web selezionati utilizzerà il tunnel crittografato OpenVPN e il resto del traffico rimarrà non crittografato.

Potrebbe essere necessario configurare ulteriormente i server DNS VPN per arrestare le perdite DNS.

Raffaele Chiatto

Scritto da Raffaele Chiatto

Sono Raffaele Chiatto, un appassionato di informatica a 360°…
Mi sono avvicinato al mondo dell’informatica nel lontano 1996 con Windows 95 e da allora non ho più smesso di dedicarmi allo studio ed approfondimento di questo settore.
Laureato in Ingegneria Informatica nel 2009, lavoro nel campo dell’IT dal lontano 2001.

Link – Friends

Infrastrutture IT

English School

Act for Change

Graphic and Web solution

2 Commenti

  1. WebMaster

    Grazie mille per il suggerimento…

  2. Avatar

    Grazie mille per la guida! Nell’ultima versione di RouterOS, per via di un errore ricevuto inserendo il comando, ho dovuto modificare la stringa “cipher=aes128,aes192,aes256” in “cipher=aes128-cbc,aes192-cbc,aes256-cbc” oppure “cipher=aes128-gcm,aes192-gcm,aes256-gcm” (a scelta, gcm è ritenuto più sicuro). In questo secondo caso, è necessario settare nella medesima riga anche auth=null perché gcm gestisce anche questo .Vanno poi applicate le medesime modifiche al cipher e in caso all’auth anche nel file di configurazione .ovpn .

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Translate »