Configurare un Mikrotik come un server OpenVPN

Potrebbero interessarti anche...

17 risposte

  1. riccardo ha detto:

    Potresti specificare i modelli che hai utilizzato? I miei dubbi sono anche relativi alle 1000 e più mille vulnerabilità che sono state rilevate su questi oggettini. Tu che mi dici?

    Grazie
    Riccardo

  2. Andrea Sistarelli ha detto:

    Considerando che il RouterOS è lo stesso in tutti i modelli non cambia molto, comunque ho utilizzando la configurazione sopra su RB950, hEX lite, RBG2011iL, VM, etc., sempre senza grossi problemi.

    E’ verò che i Mikrotik sono stati oggetto di attacchi vari, l’ultimo era dell’anno scorso se non ricordo male, ma se li tieni sempre aggiornati, disabiliti tutti i servizi che non ti servono e lasci abilitato l’accesso di management da dentro la VPN o solo a specifici IP non dovresti avere grossi problemi.

    Ciao
    Andrea

  3. Fabio Betti ha detto:

    Una guida utile. Grazie. Ammetto che ho modificato alcuni passaggi, quali la definizione del POOL utilizzando quello che ho già reservando pacchetti alla rete interna e parte alla VPN.

  4. Manuele ha detto:

    Ciao Andre,
    in primis complimenti e grazie.

    Inizio ora a prendere possesso di un MikroTik HeX PoE e vorrei capire qualcosa in merito a l’argomento da te postato.
    Posso chiederti qualche delucidazione e dettaglio in merito?
    Pensi sia più opportuno ti scriva una mail con alcune informazioni e quindi lo scopo che vorrei raggiungere?

    Grazie in anticipo e ancora complimenti per questo blog.

    Saluti.
    M.

  5. Andrea Sistarelli ha detto:

    Ciao Manuele,
    prova a scrivermi, compatibilmente con il tempo proverò a risponderti.

    Ciao
    Andrea

  6. Manuele ha detto:

    Eccomi Andrea,
    sono stato fuori per lavoro e, tra una festa comandata e l’altra, eccomi qui.

    Non so come rintracciare un tuo indirizzo e-mail per scriverti.
    Fammi sapere e ancora grazie.
    M.

  7. Alfio ha detto:

    Grazie per la guida, molto utile. Segnalo solo che ho dovuto aggiungere l’opzione “client-cert-not-required” al file .ovpn (OpenVPN Connect 3.1.0 sotto Windows).

  8. pierpaolo ha detto:

    Grazie per la guida, molto utile

    da client raggiungo la rete del server etc

    ma se volessi “uscire” con l’ip pubblico del server cosa dovrei modificare nella configurazione? grazie

  9. Luca ha detto:

    Ciao e grazie del tutorial.
    Io che non ho un IP pubblico statico (anzi sono addirittura sotto doppio NAT) dovrei inserire l’indirizzo assegnatomi dal mio DDNS (NO-IP) in questa riga sotto:

    remote

    Potrei usare anche il servizio di dns dinamico offerto gratuitamente da Mikrotik, abilitando e copiando l’indirizzo sopra?
    Grazie

  10. Andrea Sistarelli ha detto:

    Ciao Pierpaolo,

    per usare la VPN come gateway predefinito devi agigungere al file di configurazione questa riga:

    redirect-gateway def1

    Ciao
    Andrea

  11. Andrea Sistarelli ha detto:

    Ciao Luca,

    il server VPN può essere indicato sia con l’IP che con un nome DNS, quindi nella direttiva remote puoi indicare anche il nome del dns dinamico del Mikrotik.

    Ciao
    Andrea

  12. Luca ha detto:

    Grazie Andrea per la risposta.
    Ancora una cosa (spero). Cosa bisogna inserire qui in route, DOMAIN e DNS?
    In DNS l’ip del mio stesso router, visto che lo uso per indirizzare tutte le richieste DNS allo stesso Mikrotik? Grazie

    auth-user-pass auth.cfg
    route 192.168.0.0 255.255.255.0
    dhcp-option DOMAIN dominio.local
    dhcp-option DNS 192.168.0.20

  13. Andrea Sistarelli ha detto:

    Ciao Luca,

    il significato delle direttive è questo:
    route indica tutte le network che possono essere raggiunte tramite la VPN
    DOMAIN indica il nome del dominio Active Directory se presente in azienda
    DNS indica l’ip del/dei server DNS se presenti in azienda
    Le ultime due direttive in realtà sono facoltative.

    Ciao
    Andrea

  14. Alex ha detto:

    Ciao grazie per la guida ma se vorrei far uscire il client su internet tramite il server openvpn mikrotik e non tramite la sua connessione come potrei fare?

  15. Andrea Sistarelli ha detto:

    Ciao Alex,
    nel file di configurazione del client aggiungi la seguente riga:
    redirect-gateway def1

  16. gennaro ha detto:

    Ciao andrea intanto grazie mille per la guida , ti volevo chiedere se voglio limitare l’accesso a un client su un singolo ip/servizio come posso fare ho provato di tutto creando regole sul firewall ma senza riuscirci faccio un esempio
    client 1 una volta collegata il server dhcp ovpn gli assegna 10.10.10.2 e si dovrebbe collegare solo su ip 192.168.10.24 con porta 24000
    grazie mille

  17. Andrea Sistarelli ha detto:

    Ciao Gennaro,
    dovrebbe bastarti una regola del genere:

    /ip firewall filter
    add action=accept chain=forward dst-address=192.168.10.24 dst-port=24000 protocol=tcp src-address=10.10.10.2
    add action=drop chain=forward src-address=10.10.10.2

    Fai qualche prova.

    Ciao
    Andrea

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.