Para essa criação estaremos utilizando a versão 7.11 do Router OS.
Nosso objetivo é criar uma VPN em nossa RB da Mikrotik para que os clientes possam acessar a rede interna fora da Empresa e sem utilizar os recursos de Internet da Empresa. Ou seja a VPN vai fechar mais não estarei utilizando o link da Empresa. Com isso consigo obter mais velocidade no acesso a rede utilizando a internet do local remoto.
Para que a VPN funcione a Internet da Empresa precisa de um IP público liberado. E se não tivermos um IP público? Nesse caso pode acessar o Modem da Operadora e configurar o IP de seu Mikrotik na DMZ. Assim a Internet vai passar diretamente para seu MK como uma ponte e o mesmo passa a ser o roteador principal cuidando da sua rede.
Como estou em um cenário de laboratório não irei conseguir ativar o CLOUD. Mais em cenário que tenha feito a DMZ, ativar o CLOUD é de suma importância.
Passos:
01 – Configure no Modem da Operadora o IP de seu MK na DMZ.
02 – Acesse seu MK vá em IP => CLOUD
03 – Ele irá gerar um link parecido com o abaixo:
465a03a1e452.sn.mynetname.net
Em nosso laboratório eu vou utilizar o IP – 192.168.193.139. Mais na criação de vocês alterem o IP pelo endereço 465a03a1e452.sn.mynetname.net. (seu endereço será diferente desse).
Agora iremos criar nosso servidor OVPN em alguns passos:
04 – Criando o Certificado (CA) e o Server no MK.
Vá em system => certificates
Preencha os campos conforme a seguir.
NAME: TIRADUVIDAS-CA
COMMON NAME: TIRADUVIDAS-CA
Key Size: 4096
Days Valid: 3650
Em key usage marque as seguintes opções:
* Key cert Sign
* crl sign
Clique agora em Apply
Clique agora em SIGN
Em CA CRL Host: Adicione seu endereço Cloud. Aqui iremos colocar o IP como exemplo.
Obs: No momento da criação sua CPU pode ficar em 100% até finalizar a criação do Certificado.
Após o progresso ser concluído irá aparecer a o nome DONE em progress. Clique em Close e depois no X pra fechar a Tela.
Agora vamos criar o SERVER.
NAME: SERVER-TIRADUVIDAS
COMMON NAME: Adicione seu endereço Cloud. Aqui iremos colocar o IP como exemplo.
Key type: 4096
Key Size: 3650
Em key usage marque as seguintes opções:
* digital signature
* key enciphement
* tls server
Clique agora em SIGN
Clique em Close e depois no X.
Observe que em Trusted nosso server ficou como no. Ele precisa também ficar como YES.
Para isso dê dois cliques em cima do server, clique em General, habilite a opção Trusted e dê OK.
Pronto Server e certificado criados. Agora iremos exportar esses dados, acrescentando a senha para o Certificado.
Obs: Anote essa senha, pois se perder ou se esquecer terá de deletar e criar novamente.
Primeiro vamos exportar o Certificado.
Dê dois cliques em TIRADUVIDAS-CA, clique em EXPORT, em FILE NAME coloque o mesmo nome que deu no seu certificado para ficar fácil a identificação e na senha Tir@Duvid@$. Clique em Exportar, dê ok.
Senha gerada: Tir@Duvid@$
Obs: Escolha a senha que quiser.
Agora iremos exportar o Server. Vamos seguir o mesmo padrão apenas não iremos colocar senha.
Exportando o CA
Pronto, agora iremos Criar o Pool de IPs da VPN.
Vai em IP=> Pool
Ips – 172.29.80.2-172.29.80.20
Vamos criar uma faixa de Ips para uma quantidade pequena já que não teremos tantas pessoas acessando a VPN. Cria sua faixa de acordo com sua necessidade.
Agora iremos criar o Profile e os usuários (Secrets).
Clique em PPP e clique na Tela Profile:
Dê duplo clique em default-encryption
Agora iremos criar o Profile e os usuários (Secrets).
Clique em PPP e clique na Tela Profile:
Dê duplo clique em default-encryption
Clique em COPY. Nessa nova Tela iremos dar um nome para nosso novo perfil e fazer algumas configurações:
Name: OVPN
Local Address: 172.29.80.1 (Será nosso Gatway da VPN)
Remote Address: POOL_OVPN (IP que nossos usuários irão pegar da nossa lista)
APPLY mais OK
Clique em Secrets e vamos criar um usuário e senha. Nessa área será criado todos os usuários que vão acessar sua VPN.
name: luiz.junior (login do usuário)
Password: Senha do mesmo
Servce: OVPN Serviço da VPN que iremos utililizar.
Profile: OVPN – Profile que criamos.
Agora iremos ATIVAR o Servidor OVPN
Clique em Interface ainda em PPP e clique na Opção OVPN Server
Detalhe: Essa versão nova do OVPN nos dá a opção de já gerarmos o Arquivo .ovpn. Vamos aprender no processo.
Ative a Opção Enable
Port: 1194
Default Profile: OVPN
Certificate: SERVER-TIRADUVIDAS
Marque a opção Require Client Certificate
Auth: Marque tudo menos Null
Cipher: Marque tudo menos Null
Redirect Gatway: Marque disabled
Clique em Apply
Agora iremos exportar o arquivo .ovpn
Clique em Export .ovpn abaixo do Apply
Server Public Address (IP or DNS): Coloque seu endereço DDNS CLOUD, em nosso caso iremos colocar o IP.
CA Certificate: TIRADUVDAS-CA.crt
Ciente Certificate: TIRADUVDAS-CA.crt
Ciente Certificate Key: TIRADUVDAS-CA.key
Clique em START, depois em Close e OK
Iremos agora criar uma REGRA em nosso Firewall para a porta TCP 1194
Clique em IP => Firewall . Em Filter Rules clique no + ,
chain: Input
Protocol: TCP
Dst port: 1194
Int Intreface: Ether 1
Aba Action: Accept
Pronto. Agora iremos salvar os arquivos que geramos.
Clique em Files = Selecione os arquivos da VPN e salve em seu Computador.
Agora vou dar a cereja do bolo para vocês. Se eu mandar conectar agora provavelmente iria conseguir conectar mais não iria pingar ou acessar meus arquivos da rede.
Para resolver isso iremos adicionar uma linha de comando no arquivo client1692544505.ovpn.
Abra ele com um bloco de notas ou qualquer editor de texto que possua:
No final do arquivo vou adicionar um comando para que possa haver a Rota estática da VPN para a Rede local:
route 172.16.20.0 255.255.255.0 172.29.80.1
Essa é a linha que irei adicionar no final do arquivo:
O IP 172.16.20.0 é o IP da rede aonde quero alcançar. Como sei ou saberia o endereço da minha rede local? Vá em IP =: Address. route (IP da Rede + Mascara + Gatway da Sua VPN).
Lá você irá ver o IP de sua Rede local ou da sua Bridge criada.
Próximo Passos:
Baixe e instale o VPN GUI.
https://openvpn.net/community-downloads/
Após instalar:
Copie seus arquivos que foram baixados para dentro da pasta C:\Program Files\OpenVPN\config
Caso tenha vários clientes diferentes para acesso cria uma pasta dentro do config com o nome do cliente, assim as configurações ficam separadas.
Clicando nele irá se abrir um ícone parecido com o de rede na parte do relógio do Windows.
No primeiro acesso ele vai pedir as credenciais:
No primeiro acesso ele vai pedir as credenciais (Secrets, usuário e senha):
Próxima tela ele pede a senha do certificado
Pronto ele esta conectado.
Eu tenho um servidor na Rede com o IP – 172.16.20.254
Vamos fazer um teste de Ping para ver se esta havendo a comunicação.
A todos que ficaram até o final agradeço e qualquer dúvida que possam ter , joga ai nos comentários que estarei respondendo a todos com prazer.
Fonte: Tiradúvidas-online