Site icon Techsolution.vn

Cấu hình MikroTik OpenVPN trên Cổng TCP 443 với HĐH Windows

Thiết Bị Cân Bằng Tải Cloud Router Switch Mikrotik Crs106 1c 5s Hàng Chính Hãng

MikroTik OpenVPN là một giải pháp VPN tuyệt vời. CNTT cung cấp một đường hầm VPN an toàn và được mã hóa trên mạng công cộng. Không giống như Dịch vụ VPN PPTP và L2TP được thiết kế kém và có thể dễ dàng bị chặn, OpenVPN có thể được tùy chỉnh cao và thậm chí có thể chạy trên Cổng TCP 443 rất phổ biến. Vì vậy, OpenVPN không thể dễ dàng bị chặn. OpenVPN sử dụng Chứng chỉ SSL/TLS. Vì vậy, Đường hầm OpenVPN là một đường hầm đáng tin cậy để gửi và nhận dữ liệu qua mạng công cộng. OpenVPN về bản chất là công nghệ VPN site to site ngay cả trong mạng NAT. Nhưng MikroTik OpenVPN có giới hạn sử dụng tên người dùng và mật khẩu PPP mặc dù VPN từ trang này sang trang khác không yêu cầu tên người dùng và mật khẩu.

Mục tiêu của bài viết này là định cấu hình Máy chủ OpenVPN trên Cổng TCP 443 rất phổ biến trong Bộ định tuyến MikroTik và định cấu hình Máy khách OpenVPN trong Hệ điều hành Windows để người dùng Windows có thể kết nối với mạng văn phòng từ xa và có thể truy cập tài nguyên mạng từ xa ( Máy chủ, Máy in, v.v.) qua mạng công cộng một cách an toàn.

Giản đồ hệ thống

Để định cấu hình Máy chủ OpenVPN trong Bộ định tuyến MikroTik trên Cổng TCP 443, chúng tôi thực hiện theo sơ đồ mạng bên dưới.

Trong mạng này, Bộ định tuyến MikroTik ( RouterOS v6.46 ) được kết nối với internet thông qua giao diện ether1 có địa chỉ IP 117.58.247.198/30. Trong mạng của bạn, địa chỉ IP này phải được thay thế bằng địa chỉ IP công cộng. Giao diện ether2 của Bộ định tuyến MikroTik được kết nối với mạng cục bộ có mạng IP 10.10.11.0/24. Chúng tôi sẽ định cấu hình máy chủ OpenVPN trong bộ định tuyến này và máy khách OpenVPN trong Hệ điều hành Windows. Sau khi cấu hình Máy chủ và Máy khách OpenVPN, bộ định tuyến sẽ tạo một giao diện ảo (Đường hầm OpenVPN) trên mạng công cộng nơi địa chỉ IP của Cổng VPN sẽ là 192.168.2.1 và Máy khách sẽ nhận được Địa chỉ IP trong Khối IP 192.168.2.0/24. Chúng tôi cũng sẽ khai báo tuyến đường trong OpenVPN Client để người dùng VPN được kết nối có thể truy cập tài nguyên mạng của máy chủ OpenVPN. 

Cấu hình máy chủ và máy khách OpenVPN

Bây giờ chúng ta sẽ bắt đầu cấu hình Máy chủ và Máy khách OpenVPN. Toàn bộ cấu hình OpenVPN có thể được chia thành hai phần.

Phần 1: Cấu hình OpenVPN Server trong MikroTik Router

Theo sơ đồ mạng, Bộ định tuyến MikroTik là Máy chủ OpenVPN của chúng tôi. Vì vậy, chúng tôi sẽ kích hoạt và định cấu hình Máy chủ OpenVPN trong Bộ định tuyến MikroTik. Giả định rằng mạng WAN và LAN của bạn đang hoạt động bình thường.

Toàn bộ cấu hình Máy chủ MikroTik OpenVPN có thể được chia thành ba bước sau.

Bước 1: Tạo Chứng chỉ TLS cho Máy chủ và Máy khách OpenVPN

Cấu hình máy chủ và máy khách OpenVPN yêu cầu chứng chỉ TLS vì OpenVPN sử dụng chứng chỉ TLS để liên lạc an toàn. MikroTik RouterOS v6 cung cấp khả năng tạo, lưu trữ và quản lý chứng chỉ trong kho chứng chỉ. Vì vậy, chúng tôi sẽ tạo chứng chỉ OpenVPN bắt buộc từ RouterOS của chúng tôi. Máy chủ và Máy khách OpenVPN yêu cầu ba loại chứng chỉ:

Tạo chứng chỉ CA

Các bước sau đây sẽ hướng dẫn cách tạo chứng chỉ CA trong MikroTik RouterOS.

Chứng chỉ CA đã được tạo thành công. Bây giờ chúng ta sẽ tạo chứng chỉ máy chủ.

Tạo chứng chỉ máy chủ

Các bước sau đây sẽ hướng dẫn cách tạo chứng chỉ máy chủ trong MikroTik RouterOS.

Chứng chỉ máy chủ đã được tạo thành công. Bây giờ chúng tôi sẽ tạo chứng chỉ ứng dụng khách.

Tạo chứng chỉ ứng dụng khách

Các bước sau đây sẽ chỉ ra cách tạo chứng chỉ ứng dụng khách trong MikroTik RouterOS.

  • Click on PLUS SIGN (+) again. New Certificate window will appear.
  • Put your client certificate name (for example: Client) in Name input field. Also put a certificate common name (for example: Client) in Common Name input field.
  • If you put any optional field in CA certificate, put them here also.
  • Click on Key Usage tab and uncheck all checkboxes except tls client checkbox.
  • Click on Apply button and then click on Sign button. Sign window will appear now.
  • Your newly created Client certificate template will appear in certificate dropdown menu. Select your newly created certificate template if it is not selected.
  • Also select CA certificate from CA dropdown menu.
  • Click on Sign button. Your Signed certificate will be created within few seconds.
  • Click on OK button to close New Certificate window.
  • Client certificate does not require T flag.

Chứng chỉ ứng dụng khách đã được tạo thành công. Chứng chỉ CA, Máy chủ và Máy khách được tạo và ký sẽ trông giống như hình ảnh sau trong cửa sổ Chứng chỉ.

Sau khi tạo và ký các chứng chỉ CA, Máy chủ và Máy khách, bây giờ chúng tôi sẽ xuất các chứng chỉ CA và Máy khách vì ứng dụng khách OpenVPN sẽ sử dụng các chứng chỉ này.

Xuất chứng chỉ CA và ứng dụng khách

Máy chủ OpenVPN sẽ sử dụng chứng chỉ Máy chủ từ kho lưu trữ Chứng chỉ MikroTik RouterOS. Nhưng chứng chỉ ứng dụng khách phải cung cấp cho ứng dụng khách OpenVPN. Vì vậy, chúng ta cần xuất chứng chỉ ứng dụng khách cũng như chứng chỉ CA từ kho lưu trữ chứng chỉ RouterOS. Các bước sau đây sẽ chỉ ra cách xuất chứng chỉ CA và chứng chỉ Ứng dụng khách từ kho lưu trữ chứng chỉ MikroTik.

  • Select and make Right Click on your CA certificate and then click on Export option. Export window will appear.
  • Choose CA certificate from Certificate dropdown menu.
  • Click on Export button now. Your CA certificate will be exported and Export window will be closed.
  • Similarly, select and make right click on Client certificate and then click on Export option. Choose client certificate from Certificate dropdown menu. Put a password in Export Passphrase input field. The password should be strong enough and must remember because the password has to provide when OpenVPN client will be connected. Click on Export button now.

Chứng chỉ ứng dụng khách và CA đã xuất cùng với khóa sẽ được tìm thấy trong cửa sổ Danh sách tệp Winbox. Các bước sau đây sẽ hướng dẫn cách tải xuống tệp chứng chỉ đã xuất từ ​​thư mục Tệp.

  • Click on Files menu from Winbox menu panel. You will find two certificate files (.crt) and one key file (.key) is exported here.
  • Drag and Drop these three files in a folder on your Desktop. We will use these files when OpenVPN Client will be configured.

Chứng chỉ TLS cho Máy chủ và Máy khách OpenVPN đã sẵn sàng. Bây giờ chúng tôi sẽ định cấu hình Máy chủ OpenVPN của chúng tôi trong Bộ định tuyến MikroTik.

Bước 2: Cấu hình OpenVPN Server trong MikroTik Router

Sau khi tạo chứng chỉ TLS, chúng tôi hiện đủ điều kiện để bật và định cấu hình Máy chủ OpenVPN trong Bộ định tuyến MikroTik. Các bước sau đây sẽ chỉ ra cách bật và định cấu hình Máy chủ OpenVPN trong Bộ định tuyến MikroTik.

  • Click on PPP menu item from Winbox and then click on Interface tab.
  • Click on OVPN Server button. OVPN Server window will appear.
  • Click on Enabled checkbox to enable OpenVPN Server.
  • Put your desired TCP Port (example: 443) on which you want to run OpenVPN Server in Port input field.
  • Make sure ip option is selected in Mode dropdown menu.
  • From Certificate dropdown menu, choose server certificate that we created before. Also click on Require Client Certificate checkbox.
  • From Auth. Panel, uncheck all checkboxes except sha1.
  • From Cipher panel, uncheck all checkboxes except aes 256.
  • Now click on Apply and OK button.

Máy chủ OpenVPN hiện đang chạy trong Bộ định tuyến MikroTik. Vì MikroTik OpenVPN bị giới hạn sử dụng tên người dùng và mật khẩu để kết nối VPN thành công, bây giờ chúng tôi sẽ tạo người dùng PPP có thể kết nối Máy chủ MikroTik OpenVPN và nhận thông tin IP.

Bước 3: Tạo người dùng OpenVPN

MikroTik OpenVPN sử dụng tên người dùng và mật khẩu để xác thực kết nối hợp pháp. Vì vậy, chúng tôi phải tạo tên người dùng và mật khẩu để cho phép bất kỳ người dùng nào. Cấu hình người dùng hoàn chỉnh cho OpenVPN Server có thể được chia thành ba phần.

  • Cấu hình nhóm IP
  • Cấu hình hồ sơ người dùng và
  • Cấu hình người dùng

Cấu hình nhóm IP

Thông thường, nhiều người dùng có thể kết nối với OpenVPN Server. Vì vậy, tốt hơn hết là tạo Nhóm IP từ nơi người dùng được kết nối sẽ nhận địa chỉ IP. Các bước sau đây sẽ hướng dẫn cách tạo IP Pool trong MikroTik Router.

  • From Winbox, go to IP > Pool menu item. IP Pool Window will appear.
  • Click on PLUS SIGN (+). New IP Pool window will appear.
  • Put a meaningful name (vpn_pool) in Name input field.
  • Put desired IP Ranges (192.168.2.2-192.168.2.250) in Addresses input filed. Make sure not to use VPN Gateway IP (192.168.2.1) and the last IP (192.168.2.154) because last IP will be used as DHCP Server IP.
  • Click Apply and OK button.

Cấu hình hồ sơ người dùng

Sau khi tạo IP Pool, bây giờ chúng ta sẽ cấu hình profile để tất cả người dùng có đặc điểm giống nhau. Các bước sau đây sẽ chỉ ra cách định cấu hình hồ sơ người dùng cho Người dùng OpenVPN.

  • From Winbox, go to PPP menu item and click on Profile tab and then click on PLUS SIGN (+). New PPP Profile window will appear.
  • Put a meaningful name (vpn_profile) in Name input field.
  • Put VPN Gateway address (192.168.2.1) in Local Address input field.
  • Choose the created IP Pool (vpn_pool) from Remote Address dropdown menu.
  • Click Apply and OK button.

Cấu hình người dùng OpenVPN

Sau khi tạo hồ sơ người dùng, bây giờ chúng tôi sẽ tạo người dùng sẽ được kết nối với Máy chủ OpenVPN. Các bước sau đây sẽ chỉ ra cách tạo người dùng OpenVPN trong MikroTik RouterOS.

  • From PPP window, click on Secrets tab and then click on PLUS SIGN (+). New PPP Secret window will appear.
  • Put username (For example: sayeed) in Name input field and put password in Password input field.
  • Choose ovpn from Service dropdown menu.
  • Choose the created profile from Profile dropdown menu.
  • Click on Apply and OK button.

Chúng tôi đã tạo một người dùng cho OpenVPN Server. Tương tự, bạn có thể tạo thêm người dùng mà bạn yêu cầu.

Cấu hình OpenVPN Server trong MikroTik Router đã hoàn tất. Trong phần tiếp theo, chúng tôi sẽ định cấu hình ứng dụng khách OpenVPN trong Hệ điều hành Windows.

Phần 2: Cấu hình OpenVPN Client trong Hệ điều hành Windows

Sau khi cấu hình OpenVPN Server trong MikroTik Router, bây giờ chúng ta sẽ cấu hình OpenVPN Client. Cấu hình OpenVPN Client có thể được chia thành hai bước.

  • Tải xuống và cài đặt ứng dụng khách OpenVPN
  • Cấu hình máy khách OpenVPN

Các bước 1: Tải xuống và cài đặt ứng dụng khách OpenVPN

OpenVPN.net cung cấp phần mềm Máy khách OpenVPN cho tất cả các Hệ điều hành. Phần mềm Máy khách OpenVPN được tìm thấy trong trang Tải xuống Cộng đồng OpenVPN . Vì vậy, hãy truy cập trang tải xuống của cộng đồng và tải xuống OpenVPN Client phù hợp với Hệ điều hành của bạn. Tôi đang sử dụng Windows 10. Vì vậy, tôi đã tải xuống gói WINDOWS 10/SERVER 2016/SERVER 2019 INSTALLER (NSI) . Tại thời điểm viết bài này, phiên bản trình cài đặt máy khách OpenVPN là 2.4.8.

Nếu bạn gặp bất kỳ sự nhầm lẫn nào khi tải xuống ứng dụng khách OpenVPN từ Tải xuống cộng đồng OpenVPN, bạn có thể Tải xuống Gói phần mềm ứng dụng khách OpenVPN từ liên kết này nơi tôi đã đính kèm tệp Cấu hình ứng dụng khách và Phần mềm ứng dụng khách OpenVPN đã thử nghiệm của mình.

Sau khi nhận được trình cài đặt OpenVPN Client, hãy cài đặt ứng dụng khách OpenVPN trong hệ điều hành của bạn theo hướng dẫn. Quá trình cài đặt đơn giản như cài đặt các phần mềm khác trong hệ điều hành Windows.

Sau khi cài đặt OpenVPN Client, đảm bảo rằng TAP Virtual Ethernet Adapter đã được cài đặt. Nếu nó được cài đặt thành công, bạn sẽ tìm thấy một Bộ điều hợp mạng mới có tên là Bộ điều hợp TAP-Windows trong cửa sổ Kết nối mạng.

Nếu không tìm thấy Bộ điều hợp TAP-Windows này trong bảng Kết nối mạng, hãy gỡ cài đặt sai khỏi bảng Tính năng và Chương trình Windows, sau đó tải xuống Gói ứng dụng khách OpenVPN của tôi nơi tôi đã đính kèm một trình cài đặt TAP-Windows khác và cài đặt trình cài đặt đó. Tôi hy vọng bây giờ bạn sẽ tìm thấy Bộ điều hợp TAP-Windows. Nếu không có TAP-Windows Adapter OpenVPN Client không thể kết nối với OpenVPN Server.

Bước 2: Cấu hình máy khách OpenVPN

Sau khi cài đặt phần mềm máy khách OpenVPN, chúng tôi cần định cấu hình Máy khách OpenVPN theo yêu cầu Máy chủ OpenVPN của chúng tôi. Tệp cấu hình OpenVPN Client là một tệp cấu hình giống như UNIX. Thư mục cấu hình OpenVPN mặc định là C:\Program Files\OpenVPN. Thư mục này trông giống như hình dưới đây.

Trong thư mục này, một thư mục có tên sample-config sẽ được tìm thấy nơi cung cấp tệp cấu hình Máy khách OpenVPN mẫu có tên client.ovpn. Sao chép tệp cấu hình mẫu này vào thư mục config rồi mở tệp cấu hình máy khách bằng trình soạn thảo văn bản như WordPad, NotePad ++ hoặc bất kỳ trình soạn thảo nào bạn thích. Đảm bảo trình chỉnh sửa được mở bằng đặc quyền quản trị viên, nếu không bạn không thể lưu tệp khi thực hiện thay đổi.

Các thông số cấu hình mà chúng ta cần thay đổi

Trong tệp client.ovpn, một số tham số được yêu cầu thay đổi theo cấu hình Máy chủ OpenVPN của chúng tôi. Các tham số sau đây được yêu cầu thay đổi trong tệp cấu hình máy khách.

giao thức

Theo mặc định, ứng dụng khách OpenVPN sử dụng giao thức UDP nhưng MikroTik OpenVPN Server chỉ hỗ trợ giao thức TCP. Vì vậy, hãy bật proto tcp và tắt proto udp có thể tìm thấy ở dòng 36 và 37.

Lưu ý: Để tắt bất kỳ tùy chọn nào, chỉ cần đặt dấu chấm phẩy (;) trước tùy chọn đó và để bật bất kỳ tùy chọn nào, hãy xóa dấu chấm phẩy (;) khỏi tùy chọn đó.

IP và cổng

Chúng ta phải chỉ định IP và Cổng của Máy chủ OpenVPN trong tệp cấu hình Máy khách. IP và Cổng được khai báo với tùy chọn từ xa có thể tìm thấy ở dòng 42 và IP và Cổng phải được khai báo trong một dòng như bên dưới. Đảm bảo thay đổi IP WAN của bạn bằng IP ví dụ (117.58.247.198) và cổng (443) bằng cổng xác định của bạn.

điều khiển từ xa 117.58.247.198:443

Thông số SSL/TLS

Trong tệp cấu hình máy khách, chúng ta cần khai báo CA và Chứng chỉ máy khách và tệp Khóa máy khách. Bạn có thể tìm thấy các tùy chọn này ở dòng 88, 89 và 90. Vì vậy, hãy chỉ định tệp ca, chứng chỉ và khóa như bên dưới.

ca CA.crt

chứng chỉ Client.crt

khóa Client.key 

Đảm bảo đổi tên tệp ca, ứng dụng khách và khóa đã xuất và tải xuống theo các tùy chọn ở trên, sau đó sao chép các tệp CA.crt, Client.crt và Client.key đã đổi tên của bạn vào thư mục cấu hình.

Chúng tôi không sử dụng bất kỳ tệp khóa máy chủ nào. Vì vậy, chúng tôi phải tắt tùy chọn tls-auth được bật theo mặc định. Bạn có thể tìm thấy tùy chọn tls-auth ở dòng 108. Vì vậy, hãy tắt tùy chọn này bằng cách đặt dấu chấm phẩy (;) trước nó.

Tùy chọn cấu hình Những tùy chọn chúng tôi cần thêm

Có một số tùy chọn chúng ta cần khai báo trong file cấu hình client vì mặc định các tùy chọn này không có trong file cấu hình mẫu nhưng MikroTik Router lại yêu cầu các tùy chọn đó. Các tùy chọn sau được yêu cầu đưa vào cấu hình máy khách để hoạt động bình thường với Máy chủ MikroTik OpenVPN. 

Xác thực người dùng

Máy chủ MikroTik OpenVPN bị giới hạn hoạt động với xác minh người dùng. Vì vậy, chúng tôi phải cung cấp tên người dùng và mật khẩu với tùy chọn auth-user-pass . Thêm tùy chọn này ở cuối tệp cấu hình máy khách và khai báo tên tệp nơi lưu trữ tên người dùng và mật khẩu như bên dưới.

auth-user-pass secret.cfg   

Bây giờ hãy tạo một tệp có tên secret.cfg trong thư mục cấu hình và chỉ định tên người dùng và mật khẩu trong tệp này. Tên người dùng phải được khai báo ở dòng đầu tiên và mật khẩu phải được khai báo ở dòng thứ hai như bên dưới.

sayeed

mật khẩu

Thông tin định tuyến

Theo mặc định, OpenVPN Client sẽ chỉ có thể giao tiếp với cùng một Địa chỉ IP mạng. Nhưng tài nguyên mạng từ xa (Máy chủ, Máy in, v.v.) có thể có mạng khác. Trong trường hợp này, chúng tôi phải khai báo định tuyến với tùy chọn tuyến đường nếu không OpenVPN Client không thể kết nối với mạng khác.

Ví dụ: Địa chỉ cổng VPN của chúng tôi là 192.168.2.1 và Mạng máy chủ là 10.10.11.0/24. Vì vậy, để tiếp cận mạng này, chúng tôi phải thêm tùy chọn tuyến đường như bên dưới.

tuyến đường 10.10.11.0 255.255.255.0 192.168.2.1

Nếu bạn có nhiều mạng, bạn phải thêm nhiều tùy chọn tuyến nhưng mỗi tùy chọn tuyến trên một dòng.

Tải xuống tệp cấu hình ứng dụng khách OpenVPN demo

Nếu bạn gặp bất kỳ sự nhầm lẫn nào khi chỉnh sửa tùy chọn cấu hình ở trên, hãy Tải xuống Tệp cấu hình Máy khách OpenVPN đã được chuẩn bị cho cấu hình bài viết này và kiểm tra chéo với tệp cấu hình của bạn. Hy vọng sự nhầm lẫn của bạn sẽ được giảm bớt.

Sau khi xử lý các tệp CA.crt, Cleint.crt, Client.key và client.ovpn, thư mục cấu hình của bạn sẽ giống như hình bên dưới.

Kết nối máy khách OpenVPN

Sau khi hoàn thành cấu hình máy khách, hãy chạy Máy khách OpenVPN bằng cách nhấp vào biểu tượng lối tắt trên màn hình OpenVPN GUI. Bây giờ bạn sẽ tìm thấy một biểu tượng OpenVPN mới trong Thanh tác vụ hoặc Khay hệ thống như hình ảnh bên dưới.

Nhấp vào nút chuột phải trên biểu tượng này và sau đó nhấp vào tùy chọn Kết nối. Cửa sổ Kết nối OpenVPN sẽ xuất hiện và nó sẽ yêu cầu đặt mật khẩu chứng chỉ ứng dụng khách mà bạn đã nhập vào thời điểm xuất chứng chỉ ứng dụng khách.

Sau khi xác minh Mật khẩu chứng chỉ ứng dụng khách cũng như tên người dùng và mật khẩu, Ứng dụng khách OpenVPN sẽ được kết nối và một địa chỉ IP sẽ được gán cho Bộ điều hợp TAP-Windows. Khi kết nối OpenVPN thành công, biểu tượng Máy khách OpenVPN sẽ chuyển sang màu xanh lục.

Giờ đây, bạn sẽ có thể truy cập các tài nguyên văn phòng từ xa của mình như Máy chủ tệp, Máy in, v.v. mà không gặp bất kỳ sự cố nào.

Cách Định cấu hình Máy chủ OpenVPN trên Cổng TCP 443 trong MikroTik với Hệ điều hành Windows 10 đã được thảo luận trong bài viết này. Tôi hy vọng bây giờ bạn có thể định cấu hình Máy chủ MikroTik OpenVPN và có thể được kết nối qua mạng công cộng từ vị trí từ xa một cách an toàn. Tuy nhiên, nếu bạn gặp phải bất kỳ sự nhầm lẫn nào khi định cấu hình Máy chủ MikroTik OpenVPN và Máy khách OpenVPN, vui lòng thảo luận trong nhận xét hoặc liên hệ với tôi từ Trang liên hệ .

Exit mobile version