В этой статье рассмотрим технологию создания OpenVPN туннеля между pfSense и Mikrotik.

Введение

Для начала пару слов о назначении каждого из них.

pfSense – это дистрибутив для создания межсетевого экрана/маршрутизатора. Основан на FreeBSD и предназначен для установки на персональный компьютер.

Mikrotik RouterBoard – достаточно популярный маршрутизатор с операционной системой RouterOS.

Создаём туннель

Рассмотрим процесс создания туннеля, где сервером OpenVPN будет выступать pfSense, а клиентом – Mikrotik.

Настройки со стороны pfSense

Перед тем, как приступим к созданию самого OpenVPN туннеля, необходимо создать сертификаты для него. Для этого заходим на web-интерфейс pfSense и переходим на вкладку System -> Cert. Manager. Сперва создаём CAs Сертификат (нажимаем на кнопку «+ Add»).

Если есть уже готовый сертификат, то импортируем его. Для этого в Method выбираем пункт: Import an existing Certificate Authority. В противном случае, в Method выбираем пункт: Create an internal Certificate Authority. Кратко по другим настройкам:

• Descriptive name – указываем имя сертификата;
• Lifetime (days) – указываем время жизни сертификата (в днях);

Также можно заполнить данные об организации (не обязательно).

На вкладке Certificates создаём серверный сертификат. При создании данного сертификата всё заполняется аналогично предыдущему, только в качестве Certificate authority указываем, созданный на предыдущем шаге, сертификат, а в качестве Certificate Type указываем Server Sertificate.

Клиентский сертификат создаём по аналогии, на этой же вкладке, только в Certificate Type выбираем User Certificate.

Экспортируем сертификат, который будем использовать на Mikrotik для подключения.

Переходим на вкладку VPN -> OpenVPN. Здесь будут отображаться созданные ранее OpenVPN подключения. Для добавления нового нажимаем на кнопку «+ Add».

Далее настраиваем наш сервер на вкладке Servers:

• Disabled – ставим галочку, если хотим выключить данный OpenVPN сервер;
• Server mode – выставляем Peer to Peer;
• Protocol – выбираем протокол передачи данных;
• Device mode – создаём туннель, соответственно выбираем tun – Layer 3 Tunnel Mode;
• Interface – выбираем интерфейс, который будет слушать наше OpenVPN подключение (в нашем примере это WAN);
• Local port – порт, который будет использоваться данным OpenVPN подключением;
• Description – описание (произвольное имя) подключения;
• TLS configuration – ставим галочку, если подключение будет защищено TLS ключом.

На этой же вкладке продолжая настройки, указываем:

• Peer Certificate Authority – выбираем сертификат CA, созданный ранее;
• Server certificate – выбираем созданный серверный сертификат;

Остальные параметры можно выставить, как на скриншоте ниже:

В качестве последних параметров указываются сетевые настройки данного туннеля. Здесь следует обратить внимание на следующие пункты:

• IPv4 Tunnel Network – прописываем туннельную сеть;
• IPv4 Local network(s) – прописываем локальные подсети, доступ до которых должны получить удалённые клиенты, используя данный туннель;
• IPv4 Remote network(s) – прописываем удалённые подсети, если нам также необходимо получать доступ к ним, используя туннель.

Все остальные настройки можно оставить без изменения.

Таким образом, в настройках туннеля прописали, что клиенты со стороны микротика будут иметь доступ к подсети 172.47.1.0/24, а мы, со стороны pfSense будем иметь доступ к подсети 10.1.10.0/24.

Нажимаем на кнопку save для сохранения данных.

Теперь необходимо прописать маршрутизацию. В этом же разделе переходим на вкладку Client Specific Overrides. В списке серверов (Server List) выбираем ранее созданный и опускаемся в самый низ вкладки, к разделу Client Settings.

В параметре Advanced прописываем:

iroute 192.168.100.0 255.255.255.0

таким образом, добавив необходимый маршрут.

На этом настройки со стороны pfSense завершены.

Теперь необходимо настроить клиент со стороны Mikrotik. Для этого подключимся к нему, используя программу WinBox. Также можно подключиться и по web, используя обычный браузер, но в этом случае вид вкладок будет несколько отличаться от представленного на скриншотах.

Для начала производим импорт ранее выгруженного сертификата. Для этого переходим на вкладку System -> Sertificates и нажимаем кнопку Import.

После успешного импорта сертификата, создаём новое OpenVPN подключение на вкладке PPP (OVPN Client).

На вкладке General нового подключения, указываем имя подключения в графе Name.

Для настройки переходим на вкладку Dial Out. Здесь заполняем следующие параметры:

• Connect To – указываем IP адрес pfSense, с которым будем устанавливать соединение;
• Port – указываем такой же порт, как и в основных настройках подключения ( Рис. 4. Основные настройки подключения );
• User – указываем пользователя для подключения;
• Password – пароль для подключения;
• Certificate – выбираем загруженный ранее сертификат.

Если всё выполнили верно, то в правом нижнем углу статуса увидим Status: connected. После чего можно проверять доступность подсетей и серверов через туннель. На этом статья по настройке OpenVPN туннеля между pfSense и Mikrotik завершена.