Mikrotik openvpn site to site: Vpn:openvpn site-to-site (объединение офисов) — MikroTik WiKi rus

Настройка OpenVPN в связке Mikrotik/Ubuntu / Хабр

В любой компании, где существует более одного офиса, рано или поздно возникает необходимость в объединении этих самых офисов. Многие провайдеры предлагают такие услуги, но попросят за это денег, да и кто знает, что там творится на стороне провайдера? Поэтому сделаем все сами, и рассмотрим вариант объединения с помощью Mikrotik RB750, Ubuntu и OpenVPN.

Почему Mikrotik?

Дело в нативной поддержке, простоте настройки, более стабильном поведении, низких (в сравнении) пингах и множестве других приятных фич, которые предоставляет RB750. Сторонние прошивки вроде tomato или dd-wrt были исключены из рассмотрения, т.к. были (и остаются) сомнения в их стабильности. Тестировался также Asus WL-520GU, но пинги были на 20-30 мс выше.

Итак, поехали.

На сервере в центральном офисе, стоит Ubuntu. Установка openvpn на нем выглядит следующим образом.

$ sudo su
# apt-get update
# apt-get upgrade
# apt-get install openvpn
# cp -R /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn
# cd /etc/openvpn/easy-rsa/2.0
# ln -s openssl-1.0.0.cnf openssl.cnf
# source vars
# ./clean-all
Создаем пару корневой сертификат ca.crt и ключ ca.key
# ./build-ca
Создаем пару сертификат сервера server.crt и ключ server.key
# ./build-key-server server
Создаем пару сертификат клиента client1.crt и ключ client1.key
# ./build-key client1
Ключи Диффи Хелмана
# ./build-dh
# cd keys
# mkdir /etc/openvpn/.keys && /etc/openvpn/.ccd
# cp ca.crt ca.key dh2024.pem server.crt server.key /etc/openvpn/keys
# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
# cd /etc/openvpn
# gunzip -d /etc/openvpn/server.conf.gz
# nano /etc/sysctl.conf
Находим строку и снимаем с нее комментарий:
# Enable packet forwarding
net.ipv4.ip_forward=1

Все нюансы настройки заключались в файле конфигурации openvpn на сервере, по итогу он получился таким (комментировал лишь существенные моменты, описание остальных параметров конфига есть в манах, инете, example конфигах и проч.):

port 1194
# Mikrotik не умеет работать с UDP
proto tcp
dev tun
ca .keys/ca.crt
cert .keys/server.crt
key .keys/server.key  # This file should be kept secret
dh .keys/dh2024.pem
server 10.0.141.0 255.255.255.0
client-config-dir .ccd
client-to-client
keepalive 10 120
tun-mtu 1500
mssfix 1450
cipher AES-256-CBC   # AES
auth sha1
# Компрессия микротиком так же не поддерживается
;comp-lzo
user nobody
group nogroup
#Сохраняем туннель при обрыве на время keepalive
persist-key
#Не пересчитываем ключи при обрыве связи
persist-tun
status /var/log/openvpn-status.log
log  /var/log/openvpn.log
verb 3
mute 10

/etc/openvpn/.ccd/client1

# Клиентская подсеть за mikrotik (192) и адрес openvpn у роутера (10)
iroute 192.168.141.0 255.255.255.0 10.0.141.2
# Добавим шлюз по умолчанию для машин за микротиком
ifconfig-push 10.0.141.2 10.0.141.1

Теперь Mikrotik

Настройку опишу с самого начала, в том числе организацию свича, настройку адресов, маршрутов, DHCP и проч.
Заходим в веб-интерфейс роутера, качаем winbox.
Запускаем winbox(возможно подключение как по IP, так и по MAC), открываем new terminal, и пишем следующее(achtung, сброс конфигурации роутера): system reset-configuration
Подключаемся ко второму порту микротика, запускаем все тот же winbox, и на появившийся запрос клацаем remove config
Организуем свич на портах 2-5, порт 1 будет выступать в роли WAN порта.
Для этого у всех интерфейсов 3-5 указываем мастер порт ether2:

В меню IP->Adresses назначаем ip lan интерфейса

Добавим гейт для выхода в инет в меню IP->Routes (гейтом в данном конкретном случае выступает DSL модем с адресом 10.100.0.1)

Обратим внимание, что 10.100.0.0 — адресация между роутером и модемом DSL, через который он ходит в инет, а 10.0.141.0 — сеть VPN.
Настроить DNS можно тут IP->DNS, а DHCP в меню IP->DHCP Server->DHCP setup, указав параметры пула.
Всю нашу внутреннюю подсеть задвинем за NAT, для этого настроим маскарадинг.
Переходим IP->Firewall->NAT и добавляем правило по аналогии:

Счастье близко

Осталось скопировать корневой сертификат(ca.crt) и клиентские сертификат и ключ(client1.crt, client1.key), которые мы сгенерировали в процессе установки/настройки сервера. На микротике выбираем меню Files, и видим окно с файловой системой роутера. Именно сюда нужно положить наши ключи, работает drag-n-drop.
Чтобы роутер знал о наличии у него сертификатов, их нужно импортировать через System->Certifates добавляем ca.crt, client1.crt, client1.key, клиентский ключ автоматом станет «Decrypted».
Непосредственно соединение OpenVPN создается в меню Interfaces, при нажатии на красный плюс увидим OVPN Client в выпадающем списке.
На вкладке Dial Out укажем адрес нашего сервера, порт, клиентский сертификат и типы шифрования.

Итог.

В итоге имеем вполне себе безопасный VPN, с минимальными затратами на оборудование и услуги связи, организовать который можно в течение пары минут.

Настройка site-to-site pfSense и Mikrotik. Объединяем офисы или удаленные сети

OpenVPN туннель pfSense Mikrotik

Задача-пример

Удаленная сеть 192.168.150.0/24 -> (pfSense 1.1.1.1) -> Интернет <- (2.2.2.2 MikroTik) <- 192.168.20.0/24

Настройка pfSense

1. System -> Cert Manager -> CAs
Создаем новый CA (vpn-tunnel-ca). Экспортируем «CA cert» файл (my-ca.crt).

2. System -> Cert Manager -> Certificates
Создаем 2 сертификата с использованием CA, созданным ранее — один для VPN сервера (vpn-tunnel) и один для клиента MikroTik (mik-vpn). Экспортируем файлы cert и key для сертификатов клиента (mik-vpn.crt и mik-vpn.key).

3. VPN -> OpenVPN -> Server
Создаем новый сервер VPN:

Server Mode: Peer to Peer (SSL/TLS)
Protocol: TCP (Mikrotik пока не поддерживает UDP)
Device Mode: tun
Interface: WAN
TLS Authentication: снять галочку, т.к. Mikrotik не поддерживает TLS ключи
Peer Certificate Authority: vpn-tunnel-ca
Server Certificate: vpn-tunnel
Encryption algorithm: AES-256-CBC (256-bit)
Auth Digest Algorithm: SHA1 (160-bit)
IPv4 Tunnel Network: 10.30.30.0/29
IPv4 Local Network/s: 192.168.150.0/24
IPv4 Remote Network/s: 192.168.20.0/24
Compression: No Preference
Advanced: client-to-client

4. VPN -> OpenVPN -> Client Specific Overrides
Create new override:

Common name: mik-vpn
Advanced: iroute 192.168.20.0 255.255.255.0

Настройка Mikrotik

1. Копируем 2 файла сертификатов и файл ключа в Files. Далее выполним Import этих файлов в разделе System/Certificates.

2. PPP -> Interface — создадим новый OVPN Client:
Name: ovpn-office
Connect To: 1.1.1.1
Port: 1194
Mode: ip
User: any
Certificate: mik-vpn.crt_0
Auth: sha 1
Cipher: AES-256
Add Default Route: (опция должна быть не активна)

Проверяем коннект с помощью ping, трафик должен ходить в обе стороны в обе подсети.

Настройка openvpn client на mikrotik с заменой шлюза

Мне понадобилось использовать роутер mikrotik в качестве клиента openvpn с заменой шлюза по-умолчанию на сервер openvpn. Проще говоря мне нужно было скрыть весь трафик и направить его только через vpn сервер. В openvpn это реализуется очень просто, достаточно на сервере указать для конкретного пользователя параметр redirect-gateway def1. На клиенте под windows это без проблем работает. В микротике пришлось разбираться.

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Курс стоящий, все подробности читайте по ссылке.

Данная статья является частью единого цикла статьей про Mikrotik.

Введение

Расскажу для чего мне это нужно. Есть оператор Yota с безлимитным интернетом за разумные деньги. У них есть разные тарифы в зависимости от устройства, в котором используется симка. Самый дешевый тариф для смартфона. Я купил обычный USB модем, разлочил его, чтобы он работал в сети Yota. Перепрошил специальной прошивкой, чтобы он стал похож на смартфон. Пишу очень просто, потому что не хочется на этом останавливаться. Это совсем другая тема. В интернете есть много информации на тему обхода блокировок yota. Подробнее об этом я рассказал отдельно в материале Настройка интернета в загородном доме — mikrotik + usb 4g lte модем + антенна MIMO для усиления сигнала + yota.

Мне нужно было замаскировать весь трафик локальной сети, которая будет пользоваться интеренетом через usb модем. Yota различными способами пытается бороться с подобной работой. Делается это через определние TTL пакетов и анализ ресурсов, к которым обращаются пользователи. TTL легко изменяется на конечных устройствах, либо на самом роутере. С анализом ресурсов я долгое время боролся редактируя файл hosts, но после установки windows 10 это перестало помогать. Винда постоянно куда-то лезла и идентифицировала себя при этом как компьютер, а не смартфон.

Я решил кардинально решить проблему и завернуть весь локальный трафик в шифрованный vpn туннель. Для этого настроил openvpn сервер и сделал конфигурацию для учетной записи с заменой шлюза по-умолчанию на openvpn сервер. Дальше нужно было настроить на miktotik openvpn клиент таким образом, чтобы он весь трафик заворачивал в vpn. Когда используешь windows клиент, ничего настраивать не надо. Указываешь на openvpn сервере настройку у клиента:

push "redirect-gateway def1 bypass-dhcp"

И все, при подключении все маршруты прописываются как надо и твой внешний ip при серфинге становится равен ip адресу openvpn сервера. Весь трафик идет в тоннель. На микротике это не работало, маршруты надо было писать вручную. Получилось у меня не сразу, расскажу обо всем по порядку.

Настройка openvpn клиента на mikrotik

Настраиваем стандартным образом подключение openvpn клиента к серверу с авторизацией по сертификату. Для этого берем сертификат и приватный ключ для openvpn клиента и копируем на микротик через стандартное средство просмотра файлов Files:

Потом идем в System -> Сertificates и имортируем по очереди сначала сертификат, а потом приватный ключ:

Обращаю внимание на символы KT слева от названий сертификатов. Они обязательно должны быть у вас. Если сертификат и приватный ключ не соответствуют друг другу, то одного символа не будет. В моем примере уже есть 2 сертификата только потому, что я экспериментировал с двумя. Вам достаточно будет одного.

Дальше идем настраивать параметры сервера. Открываем разздел PPP, нажимаем на плюс и выбираем OVPN Client:

На вкладке General можно ничего не указывать, использовать все по-умолчанию. На следующей вкладке Dial Out указываем адрес vpn сервера, порт, на котором он принимает входящие соединения и сертификат. Все остальное можно не трогать. В поле User можно писать все, что угодно.

Сохраняете подключение. Теперь клиент на микротике должен автоматически подключиться к openvpn серверу. Если этого не происходит, смотрите в чем проблема в логах на роутере или на сервере. На данном этапе все стандартно, должно заработать без проблем. Инструкций по этому вопросу в интернете море.

Замена шлюза по-умолчанию для маскировки всего трафика

Настройка на сервере для клиента, которая указывает заменять шлюз по-умолчанию, на микротике не работает. Если указать в настройках openvpn сервера галочку на параметре Add Default Route, то тоже ничего работать не будет. Просто не будет пускать в интернет. Хотя для меня это было не понятно. По идее, это как раз то, что нужно. Не могу сейччас привести скриншот маршрутов, коотрые будут прописаны, если установить эту галку. Я пишу статью, подключившись к роутеру удаленно, скрин сделать не могу, потеряю доступ.

Я могу привести только гарантированно работающий вариант. Сейчас расскажу смысл проделанного и приведу список маршрутов, которые добавил.

1. Первым делом создаем маршрут до openvpn сервера с Distance 1.
2. Маршуруту по-умолчанию, который обеспечивает доступ в интернет через usb модем, назначаем Distance 2.
3. Создаем новый маршрут по-умолчанию с Distance 1, где в качестве шлюза указано openvpn подключение.

После этого вы будете иметь доступ в интернет через usb модем напрямую, если openvpn client будет отключен. После подключения vpn клиента к серверу, стандартный маршрут становится неактивным, а по-умолчанию становится новый маршрут со шлюзом в качестве vpn соединения. Весь ваш трафик будет замаскирован vpn соединением и пойдет через openvpn сервер.

• 192.168.8.1 — адрес usb модема, 192.168.8.100 — адрес микротика на lte интерфейсе, к которому подключен модем
• 192.168.7.1 — адрес микротика в локальной сети
• 10.8.0.21 — адрес vpn тоннеля для данного клиента, адрес самого клиента при этом 10.8.0.22
• 94.142.141.246 — openvpn server

Когда будете настраивать, не забудте включить NAT на openvpn интерфейсе, так же как у вас он настроен на основном.

Заключение

С такими настройками мне удалось обеспечить интернетом весь загородный дом с помощью симки йоты для смартфона, usb модема, внешней антенны для усиления сигнала и роутера mikrotik. Ссылку на подробный рассказ о моей конфигурации я привел в начале статьи. Без антенны вообще без вариантов было, еле-еле ловил 3g. С антенной стал ловить 4g со скоростью до 5-ти мегабит, если вышка не забита. В час пик скорость все равно не очень, но хоть что-то. Дом далеко от вышек сотовых сетей, без антенны интернет не работает ни у одного оператора.

Напоминаю, что данная статья является частью единого цикла статьей про Mikrotik.

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте .

Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:

• Знания, ориентированные на практику;
• Реальные ситуации и задачи;
• Лучшее из международных программ.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Настройка OpenVPN сервера c сертификатами openssl на Mikrotik

Настройка OpenVPN сервера на Mikrotik

Создание сертификатов и ключей подписи для сервера и клиента

1. Сертификаты будем создавать на машине c win10. Скачиваем сам  OpenVPN (в моем случае это версия 2.4.6) для генерации сертификатов.
   Важно, при установке  выбрать все галочки.
2. Открываем папку “C:\Program files\OpenVPN\easy-rsa“, запускаем init-config.bat, появится файл vars.bat.sample, открываем его  и редактируем такие  строки:

   set KEY_COUNTRY=BY
   set KEY_PROVINCE=GomelRegion
   set KEY_CITY=Gomel
   set KEY_ORG=VTelecom
   set [email protected]
   set KEY_CN=server
   set KEY_NAME=server
   set KEY_OU=disnetern

   Эти параметры оставить неизменными “Key_CN” и “Key_NAME”, остальные можно вписать произвольно. Сохраняем как vars.bat в сваю домашнюю папку (в текущую не разрешат права), а потом перемещаем этот файл в “C:\Program files\OpenVPN\easy-rsa” с подтверждением замены.

3. Теперь открываем openssl-1.0.0.cnf и выставляем параметр default_days=3650 (3650= это 10 лет, можете выставить нужное время истекания сертификата по своему усмотрению ).
4. Теперь открываем CMD от имени администратора и пишем поочередно команды:

   cd C:\Program Files\OpenVPN\easy-rsa
   vars.bat
   clean-all.bat

   «Скопировано файлов: 1». Значит, процедура успешна. Если выдало сообщение ” vars.bat не является внутренней или внешней командой, исполняемой программой или пакетным файлом.” То отредактируйте  в этом файле правильные, полные пути до команды.

   Далее поочередно вбиваем команды для создания ключей:

   build-dh 
   build-ca

   Если опять выдало сообщение об ошибке – редактируем полный путь до команды openssl. (В моем случает нужно было указать полный адрес с пробелом, указав его в двойных кавычках). Все вопросы подтверждаем Enter. Дальше набираем:

   build-key-server server

   Все вопросы подтверждаем Enter, а на последние два соглашаемся “Y”

   Далее создаем сертификат клиента:

   build-key client

   При ошибке, редактируем путь. На вопрос Common Name – ввести client. В конце два раза подтвердить “Y”.

   С сертификатами готово. Забираем их из папки C:\Program Files\OpenVPN\easy-rsa\keys : ca.crt,  server.crt, server.key

    

    Настройка сервера OpenVPN на mikrotik

5. Заливаем файлы сертификатов и ключа на роутер Mikrotik, где будем настраивать сервер.
6. Далее произведём импорт сертификатов, System – Certificates, выбираем поочередно сертификаты из списка ca.crt, server.crt, server.key и жмём кнопку Import:
7. Создаём новый пул IP адресов для наших клиентов OpenVPN. IP -> Pool, добавили диапазон, например, 172.16.244.10-172.16.244.50, и назвал пул OVPN-pool
8. Далее создаём PPP профиль. PPP -> Profiles-> вводим имя профиля, локальный адрес роутера, в моем случае 172.16.244.1, с созданным пулом адресов OVPN-pool, остальные настройки выставляем по желанию.
9. Далее настраиваем сам OpenVPN сервер, PPP->Interface->OVPN Server, ставим Enabled, выбираем нужный порт, mode выставляем ip, выбираем созданный ранее профиль, ставим Require Client Certificate и выбираем сертификат server, остальные параметры по желанию.
10. Создадим пользователя, переходим в раздел PPP -> Secrets, вводим имя пользователя, пароль, указываем сервис и профиль.
11. Так как используются сертификаты, необходимо что бы время на сервере и на клиенте совпадало, для этого настраиваем ntp клиент и временную зону на роутере в разделе- System ->Clock/NTP Client. Адреса для NTP клиента можно взять, например, здесь.
12. Еще не забудьте настроить Ваш фаерфол для разрешения порта для OVPN, IP -> Firewall->Filter Rules

Теперь можно подключаться к нашему OVPN серверу.

Настройка Mikrotik в качестве клиента OpenVPN сервера

1. Сначала необходимо добавить сертификаты клиента на роутер (client.crt и  client.key).  Не передавайте никому закрытый ключ сертификата – “ca.key”, имея его можно создавать сертификаты подписанные данным ключом.
2. Делаем импорт сертификатов, идём в раздел System – Certificates, выбираем поочередно сертификаты  client.crt->client.key.
3. Само соединение OpenVPN настраивается в меню PPP-> добавить  OVPN Client 
4. Указываем адрес сервера, логин/пароль, порт, клиентский сертификат и тип шифрования:

Готово! Можем пользоваться.

Вконтакте

Facebook

Twitter

Google+

LiveJournal

LinkedIn

Одноклассники

E-mail

Pinterest

Мой мир

Mikrotik, Site to Site VPN — База знаний

 
С подробным описанием параметров туннеля можно ознакомиться в отдельной статье.

Краткая информация:
176.53.182.35 – внешний IP адрес вашего Edge Gateway
10.10.10.0/24 – локальная сеть, подключенная к вашему Edge Gateway
176.53.182.58 – внешний IP-адрес вашего роутера Mikrotik
10.0.0.0/24 – локальная сеть подключенная к вашему Mikrotik

Настройка подключения осуществляется в 2 этапа.

Этап №1: Настройка оборудования Mikrotik.
Этап №2: Настройка Edge Gateway на удаленном сервере.

Этап №1

Зайдите во вкладку «IP» и выберете меню «IPsec».
Выберете вкладку «Peers» и нажмите «Add new», чтобы добавить новое соединение.
 

В открывшемся окне введите следующие значения:
Name — Наименование соединения
Address – внешний IP-адрес вашего Edge Gateway
Local Address – внешний IP-адрес вашего роутера Mikrotik
Exchange Mode – IKE2
 

Перейдите во вкладку «Proposals» и нажмите «Add new»
 

В поле «Name» пропишите название
Auth. Algorithms – выберете sha256
Encr. Algorithms – поставьте галочку aes-256 cbc
PFS Group – необходимо выбрать modp2048
 

Перейдите во вкладку «Identities» и нажмите «Add new»
 

В поле «Peer» выберете ранее созданное подключение.
В поле «Auth. Method» выберете значение pre shared key
В поле «Secret» вводим придуманный нами пароль для подключения. Запомните или запишите его. Он еще раз понадобиться во втором этапе настройки.
В поле «Notrack Chain» выбираем значение prerouting
 

Перейдите во вкладку «Policies» и нажмите «Add new»
 

В поле «Peer» выберете ранее созданное подключение.
Поставьте «галочку» у параметра «Tunnel»
«Src. Address» — адрес локальной сети подключенной к вашему Mikrotik
«Dst. Address» — адрес локальной сети подключенной к вашему Edge Gateway
В поле «Action» выберете encrypt
В поле «Level» выберете require
В поле «IPsec Protocols» выберете esp
В поле «Proposal» выберете ранее созданный профиль
 

Перейдите во вкладку «Profiles» и кликните по стандартному правилу «default»
 

Измените настройки на следующие значения
Hash Algorithms – sha256
Encryption Algorithm – aes-256
DH Group — modp2048
 

Перейдите в подменю «Firewall». На вкладку «Filter Rules» нажмите кнопку «Add New»
 

В поле «Chain» выберете значение forward
В поле «Src. Address» введите адрес локальной сети подключенной к вашему Edge Gateway
В поле «Dst. Address» введите адрес локальной сети подключенной к вашему Mikrotik
Во вкладке «Action» выберете значение accept

Повторите действия по добавлению правила на Firewall, только в «Src. Address» введите адрес локальной сети подключенной к вашему Mikrotik, а в «Dst. Address» введите адрес локальной сети подключенной к вашему Edge Gateway.
 

Перейдите во вкладку «NAT» и нажмите «Add New» для добавления нового правила.
 

В поле «Chain» выберете значение forward
В поле «Src. Address» введите адрес локальной сети подключенной к вашему Mikrotik
В поле «Dst. Address» введите адрес локальной сети подключенной к вашему Edge Gateway

Создайте еще одно правило. Поменяйте значения «Src. Address» «Dst. Address».
В итоге должны получиться два «зеркальных» правила
 

Перейдите во вкладку «RAW» и нажмите «Add New» 

В поле «Chain» выберете значение prerouting
В поле «Src. Address» введите адрес локальной сети подключенной к вашему Mikrotik
В поле «Dst. Address» введите адрес локальной сети подключенной к вашему Edge Gateway

Создайте еще одно правило, где в поле «Src. Address» введите адрес локальной сети подключенной к вашему Edge Gateway, а в поле «Dst. Address» — адрес локальной сети подключенной к вашему Mikrotik.
В итоге должны получиться два «зеркальных» правила.
 

Этап №2

Зайдите в свой личный кабинет и выберете нужный Datacenter
 

В меню «Networking» выберете подменю «Edges»
 

Выберете ваше подключение и нажмите CONFIGURE SERVICES
 

В открывшемся окне перейдите во вкладку «VPN».
Выберете подвкладку «IPsec VPN» и перейдите в подменю «IPsec VPN Sites»
Нажмите на кнопку «+», чтобы настроить подключение.
 

В появившемся окне переведите ползунки «Enabled» и «Enable perfect forward secrecy» в активное состояние.
В поле «Name» введите название для вашего подключения.
В поля «Local Id» и «Local Endpoint» впишите внешний IP-адрес вашего Edge Gateway
В поле «Local Subnets» впишите адрес локальной сети, подключенной к вашему Edge Gateway
 

В полях «Peer Id» и «Peer Endpoint» впишите внешний IP-адресс вашего роутера Mikrotik
В поле «Peer Subnets» впишите адрес локальной сети, подключенной к вашему Mikrotik.
 

 
Выберете следующие настройки:
Encryption Algorithm – AES256
Authentication – PSK
В поле «Pre-Shared Key» вводим придуманный нами пароль для подключения. Мы уже вводили его в настройках роутера Mikrotik в поле «Secret».

 
Выберете следующие настройки:
Diffie-Hellman Group – Dh24
Digest Algorithm – SHA-256
IKE Option – IKEv2
Session Type – Policy Based Session

Нажмите кнопку «Keep», что бы сохранить изменения
 
 

Перейдите во вкладку «Activation Status» и включите настройку «IPsec VPN Service Status»

Ещё не пробовали услугу «Облачный хостинг» от Cloud4Y?

Отправьте заявку сейчас и получите 10-ти дневный бесплатный доступ.

Настройка OpenVPN клиента на роутере Mikrotik

10 доводов в пользу Asterisk

Распространяется бесплатно.

Asterisk – программное обеспечение с открытым исходным кодом, распространяется по лицензии GPL. Следовательно, установив один раз Asterisk вам не придется дополнительно платить за новых абонентов, подключение новых транков, расширение функционала и прочие лицензии. Это приближает стоимость владения станцией к нулю.

Безопасен в использовании.

Любое программное обеспечение может стать объектом интереса злоумышленников, в том числе телефонная станция. Однако, сам Asterisk, а также операционная система, на которой он работает, дают множество инструментов защиты от любых атак. При грамотной настройке безопасности у злоумышленников нет никаких шансов попасть на станцию.

Надежен в эксплуатации.

Время работы серверов некоторых наших клиентов исчисляется годами. Это значит, что Asterisk работает несколько лет, ему не требуются никакие перезагрузки или принудительные отключения. А еще это говорит о том, что в районе отличная ситуация с электроэнергией, но это уже не заслуга Asterisk.

Гибкий в настройке.

Зачастую возможности Asterisk ограничивает только фантазия пользователя. Ни один конструктор шаблонов не сравнится с Asterisk по гибкости настройки. Это позволяет решать с помощью Asterisk любые бизнес задачи, даже те, в которых выбор в его пользу не кажется изначально очевидным.

Имеет огромный функционал.

Во многом именно Asterisk показал какой должна быть современная телефонная станция. За многие годы развития функциональность Asterisk расширилась, а все основные возможности по-прежнему доступны бесплатно сразу после установки.

Интегрируется с любыми системами.

То, что Asterisk не умеет сам, он позволяет реализовать за счет интеграции. Это могут быть интеграции с коммерческими телефонными станциями, CRM, ERP системами, биллингом, сервисами колл-трекинга, колл-бэка и модулями статистики и аналитики.

Позволяет телефонизировать офис за считанные часы.

В нашей практике были проекты, реализованные за один рабочий день. Это значит, что утром к нам обращался клиент, а уже через несколько часов он пользовался новой IP-АТС. Безусловно, такая скорость редкость, ведь АТС – инструмент зарабатывания денег для многих компаний и спешка во внедрении не уместна. Но в случае острой необходимости Asterisk готов к быстрому старту.

Отличная масштабируемость.

Очень утомительно постоянно возвращаться к одному и тому же вопросу. Такое часто бывает в случае некачественного исполнения работ или выбора заведомо неподходящего бизнес-решения. С Asterisk точно не будет такой проблемы! Телефонная станция, построенная на Asterisk может быть масштабируема до немыслимых размеров. Главное – правильно подобрать оборудование.

Повышает управляемость бизнеса.

Asterisk дает не просто набор полезных функций, он повышает управляемость организации, качества и комфортности управления, а также увеличивает прозрачность бизнеса для руководства. Достичь этого можно, например, за счет автоматизации отчетов, подключения бота в Telegram, санкционированного доступа к станции из любой точки мира.

Снижает расходы на связь.

Связь между внутренними абонентами IP-АТС бесплатна всегда, независимо от их географического расположения. Также к Asterisk можно подключить любых операторов телефонии, в том числе GSM сим-карты и настроить маршрутизацию вызовов по наиболее выгодному тарифу. Всё это позволяет экономить с первых минут пользования станцией.

подробный туториал / Блог компании RUVDS.com / Хабр

В этом пошаговом руководстве я расскажу, как настроить Mikrotik, чтобы запрещённые сайты автоматом открывались через этот VPN и вы могли избежать танцев с бубнами: один раз настроил и все работает.

В качестве VPN я выбрал SoftEther: он настолько же прост в настройке как и RRAS и такой же быстрый. На стороне VPN сервера включил Secure NAT, других настроек не проводилось.

В качестве альтернативы рассматривал RRAS, но Mikrotik не умеет с ним работать.  Соединение устанавливается, VPN работает, но поддерживать соединение без постоянных реконнектов и ошибок в логе Mikrotik не умеет.

Настройка производилась на примере RB3011UiAS-RM на прошивке версии 6.46.11.

Теперь по порядку, что и зачем.

1. Устанавливаем VPN соединение

В качестве VPN решения был выбран, конечно, SoftEther, L2TP с предварительным ключом. Такого уровня безопасности достаточно кому угодно, потому что ключ знает только роутер и его владелец.

Переходим в раздел interfaces. Сначала добавляем новый интерфейс, а потом вводим ip, логин, пароль и общий ключ в интерфейс. Жмем ок.

То же самое командой:

/interface l2tp-client

name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"

SoftEther заработает без изменения ipsec proposals и ipsec profiles, их настройку не рассматриваем, но скриншоты своих профилей, на всякий случай, автор оставил.

Для RRAS в IPsec Proposals достаточно изменить PFS Group на none.

Теперь нужно встать за NAT этого VPN сервера. Для этого нам нужно перейти в IP > Firewall > NAT.

Тут включаем masquerade для конкретного, или всех PPP интерфейсов. Роутер автора подключен сразу к трём VPN’ам, поэтому сделал так:

То же самое командой:

/ip firewall nat

chain=srcnat action=masquerade out-interface=all-ppp

2. Добавляем правила в Mangle

Первым делом хочется, конечно, защитить все самое ценное и беззащитное, а именно DNS и HTTP трафик. Начнем с HTTP.

Переходим в IP → Firewall → Mangle и создаем новое правило.

В правиле, Chain выбираем Prerouting.

Если перед роутером стоит Smart SFP или еще один роутер, и вы хотите к нему подключаться по веб интерфейсу, в поле Dst. Address нужно ввести его IP адрес или подсеть и поставить знак отрицания, чтобы не применять Mangle к адресу или к этой подсети. У автора стоит SFP GPON ONU в режиме бриджа, таким образом автор сохранил возможность подключения к его вебморде.

По умолчанию Mangle будет применять свое правило ко всем NAT State’ам, это сделает проброс порта по вашему белому IP невозможным, поэтому в Connection NAT State ставим галочку на dstnat и знак отрицания. Это позволит нам отправлять по сети исходящий трафик через VPN, но все еще прокидывать порты через свой белый IP.

Далее на вкладке Action выбираем mark routing, обзываем New Routing Mark так, чтобы было в дальнейшем нам понятно и едем дальше.
То же самое командой:

/ip firewall mangle

add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80

Теперь переходим к защите DNS. В данном случае нужно создать два правила. Одно для роутера, другое для устройств подключенных к роутеру.

Если вы пользуетесь встроенным в роутер DNS, что делает и автор, его нужно тоже защитить. Поэтому для первого правила, как и выше мы выбираем chain prerouting, для второго же нужно выбрать output.

Output это цепь которые использует сам роутер для запросов с помощью своего функционала. Тут все по аналогии с HTTP, протокол UDP, порт 53.

То же самое командами:

/ip firewall mangle

add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp

add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53

3. Строим маршрут через VPN

Переходим в IP → Routes и создаем новые маршруты.

Маршрут для маршрутизации HTTP по VPN. Указываем название наших VPN интерфейсов и выбираем Routing Mark.

На этом этапе вы уже почувствовали, как ваш оператор перестал встраивать рекламу в ваш HTTP трафик.

То же самое командой:

/ip route

add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP

Ровно так же будут выглядеть правила для защиты DNS, просто выбираем нужную метку:

Тут вы ощутили, как ваши DNS запросы перестали прослушивать. То же самое командами:

/ip route

add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS

add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router

Ну под конец, разблокируем Rutracker. Вся подсеть принадлежит ему, поэтому указана подсеть.

Вот настолько было просто вернуть себе интернет. Команда:

/ip route

add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org

Ровно этим же способом, что и с рутрекером вы можете прокладывать маршруты корпоративных ресурсов и других заблокированных сайтов.

Автор надеется, что вы оцените удобство захода на рутрекер и корпоративный портал в одно и тоже время не снимая свитер.

MikroTik Настройка сервера OpenVPN (клиент RouterOS)

VPN ( V irtual P rivate N etwork) технология обеспечивает безопасный и зашифрованный туннель через общедоступную сеть. Таким образом, пользователь частной сети может отправлять и получать данные в любую удаленную частную сеть через туннель VPN, как если бы его / ее сетевое устройство было напрямую подключено к этой частной сети.

MikroTik OpenVPN Server обеспечивает безопасный и зашифрованный туннель через общедоступную сеть для транспортировки IP-трафика с использованием PPP.Сервер OpenVPN использует сертификаты SSL. Итак, OpenVPN Tunnel — это надежный туннель для отправки и получения данных в общедоступной сети. MikroTik OpenVPN Server можно использовать двумя способами.

• Подключение удаленной рабочей станции / клиента к OpenVPN: В этом методе клиентское программное обеспечение OpenVPN, установленное в любой операционной системе, например Windows, может при необходимости связываться с сервером MikroTik OpenVPN через туннель OpenVPN и может получить доступ к удаленной частной сети, как если бы это было напрямую подключен к удаленной частной сети.
• Site to Site OpenVPN: Этот метод также известен как VPN между маршрутизаторами. В этом методе поддерживаемый клиентом OpenVPN маршрутизатор всегда устанавливает OpenVPN-туннель с MikroTik OpenVPN Server. Таким образом, частные сети этих маршрутизаторов могут взаимодействовать друг с другом, как если бы они были напрямую подключены к одному и тому же маршрутизатору.

Целью данной статьи является создание туннеля OpenVPN между сайтами в общедоступной сети. Итак, в этой статье я покажу, как настроить OpenVPN Tunnel между двумя MikroTik RouterOS, чтобы локальные сети этих маршрутизаторов могли взаимодействовать друг с другом, как если бы они были напрямую подключены к одному и тому же маршрутизатору.

Сетевая диаграмма

Чтобы настроить туннель OpenVPN между двумя MikroTik RouterOS, я следую сетевой диаграмме, как показано на рисунке ниже.

Туннель OpenVPN между сайтами

В этой сети маршрутизатор Office1 подключен к Интернету через интерфейс ether1 с IP-адресом 192.168.70.2/30. В вашей реальной сети этот IP-адрес следует заменить публичным IP-адресом. Интерфейс ether2 маршрутизатора Office1 подключен к локальной сети с IP-сетью 10.10.11.0 / 24. Мы настроим сервер OpenVPN в этом маршрутизаторе, и после настройки OpenVPN маршрутизатор создаст виртуальный интерфейс (туннель OVPN) в общедоступной сети, IP-адрес которого будет 172.22.22.1.

С другой стороны, маршрутизатор Office2 — это удаленный маршрутизатор, который может получить доступ к IP-адресу WAN маршрутизатора Office1. Интерфейс ether1 маршрутизатора Office2 подключен к Интернету с IP-адресом 192.168.40.2/30, а ether2 имеет локальную IP-сеть 10.10.12.0/24. Мы настроим клиент OpenVPN на этом маршрутизаторе, и после настройки клиента OpenVPN у маршрутизатора будет виртуальный интерфейс (туннель OVPN) в общедоступной сети, IP-адрес которого будет 172.22.22.2.

Основные устройства и информация об IP

Для настройки OpenVPN между двумя маршрутизаторами я использую два MikroTik RouterOS v6.38.1 . Информация об IP, которую я использую для этой конфигурации сети, приведена ниже.

• Office 1 Маршрутизатор WAN IP: 192.168.70.2/30, IP-блок LAN 10.10.11.0/24 и IP-адрес туннельного интерфейса 172.22.22.1/30
• Office 2 Router WAN IP: 192.168.80.2/30, LAN IP Block 10.10 .12.0 / 24 и туннельный интерфейс IP 172.22.22.2 / 30

Эта информация IP предназначена только для моей цели RND. Измените эту информацию в соответствии с требованиями вашей сети.

Конфигурация OpenVPN между сайтами

Теперь мы начнем настройку OpenVPN между сайтами с помощью маршрутизатора MikroTik в соответствии с приведенной выше схемой сети. Полную настройку OpenVPN между сайтами можно разделить на две части.

• Часть 1: Конфигурация маршрутизатора Office1 для сервера OpenVPN
• Часть 2: Конфигурация маршрутизатора Office2 для клиента OpenVPN

Часть 1: Конфигурация маршрутизатора Office1 для сервера OpenVPN

Мы настроим сервер OpenVPN в Office1 RouterOS.Полную настройку RouterOS для OpenVPN Server можно разделить на четыре этапа.

• Шаг 1: Базовая конфигурация MikroTik RouterOS
• Шаг 2: Создание SSL-сертификата для сервера OpenVPN
• Шаг 3: Конфигурация сервера OpenVPN
• Шаг 4: Создание секрета PPP для OpenVPN

Шаг 1: Базовая конфигурация MikroTik RouterOS

В базовой конфигурации MikroTik RouterOS мы назначим IP WAN, LAN и DNS, а также выполним настройку NAT и Router.Следующие шаги покажут, как делать эти темы в вашей RouterOS.

• Войдите в MikroTik RouterOS с помощью winbox и перейдите в IP> Адреса. В окне списка адресов нажмите ЗНАК ПЛЮС (+). В окне «Новый адрес» введите IP-адрес WAN (192.168.70.2/30) в поле ввода адреса, выберите «Интерфейс WAN (ether1)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК». Снова нажмите «PLUS SIGN» и введите IP-адрес LAN (10.10.11.1/24) в поле ввода адреса, выберите «Интерфейс LAN (ether2)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК».
• Перейдите в IP> DNS и введите IP-адрес DNS-серверов (8.8.8.8 или 8.8.4.4) в поле ввода «Серверы» и нажмите кнопку «Применить» и «ОК».
• Перейдите в IP> Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+)

.

Между сайтами OpenVPN: pfSense Mikrotik — qlr

В этом руководстве мы рассмотрим, как правильно настроить VPN между сервером pfSense и клиентом Mikrotik, используя OpenVPN. Мы воспользуемся преимуществами превосходных функций управления сертификатами pfSenses, чтобы использовать SSL / TLS вместо простого общего ключа.

Нашим клиентом будет Routerboard RB2011, подробно описанный в предыдущем сообщении, который подключается к серверу pfSense. Между двумя сайтами будут использоваться только локальные сети, совместное использование внешнего адреса сервера с клиентом выходит за рамки этого руководства.В моем сценарии локальная сеть клиента будет 192.168.11.0/24 , а сервер — 192.168.0.0/24 . Исходное шифрование будет AES с размером ключа 256 бит (максимум, поддерживаемый RouterOS на этом маршрутизаторе на данный момент).

Давайте сначала подключимся к нашему маршрутизатору и настроим минимум. Если вы не знаете, как это сделать, обратитесь к этому руководству, чтобы начать работу. После подключения через winbox переходим в Quick Set :

И измените значения по умолчанию в соответствии с нашими потребностями:

Конечно после применения настроек он отключится из-за смены сети:

Теперь о серверной части.Войдите в pfSense и перейдите в System -> Cert. Менеджер :

На экране диспетчера сертификатов по умолчанию будут отображаться центры сертификации, где можно увидеть центры сертификации. Если у вас еще нет выделенного центра сертификации для межсайтовых VPN, я настоятельно рекомендую создать его здесь. В моем случае мы будем использовать тот, который начинается с bb (это означает Back-Bone):

При переходе к Сертификаты мы увидим наши сертификаты. По крайней мере, будет присутствовать webConfigurator :

В моем случае их много, поэтому я прокручиваю вниз до Добавляю новый:

Появится экран Добавить новый сертификат :

Мы не будем импортировать, а создадим новый, поэтому давайте начнем с создания сертификата сервера.Дайте ему описательное имя, в моем случае это будет bb-server-SOMETHING , где SOMETHING — имя удаленного местоположения. Установите Дайджест на sha256 , тип на Сертификат сервера и заполните остальные обязательные поля, если применимо:

Теперь давайте добавим еще один, но здесь мы установим описательное имя на bb-client-SOMETHING и тип сертификата на User Certificate, дайджест останется sha256 :

Теперь, когда у нас есть сертификаты, мы готовы создать наш VPN-сервер.Перейдите в VPN -> OpenVPN:

Оставайтесь на вкладке Servers , потому что мы хотим создать сервер. Прокрутите страницу вниз и нажмите зеленую кнопку Добавить :

Появится экран создания сервера OpenVPN:

Давайте изменим некоторые его настройки. RouterOS (на данный момент) не поддерживает некоторые функции OpenVPN, поэтому нам нужно настроить наш сервер для совместимости с ним. Если это изменится (надеюсь, в RouterOS 7), я соответствующим образом обновлю блог.

Общая информация

Давайте оставим Server mode на Peer to Peer (SSL / TLS) , потому что мы хотим работать с сайтами.Нам нужно изменить протокол на TCP , Device mode хорош, как и на tun . Я предпочитаю установить Interface на Localhost , потому что, если на сервере больше интерфейсов или более одного внешнего IP, я буду иметь больший контроль над ним позже в разделе Firewall -> NAT. Обычно я позволяю локальному порту автоматически увеличивать значение , как того хочет pfSense, но в данном случае я установил его на 1196 . Обратите внимание, что порт по умолчанию для OpenVPN — 1194, я обычно резервирую его для серверов типа удаленного доступа (для пользователей Road Warrior ).Давайте дадим ему хорошее Описание , чтобы позже мы могли его идентифицировать.

Криптографические настройки

Под TLS-аутентификацией нам нужно ОТКЛЮЧИТЬ Включить аутентификацию TLS-пакетов . Измените центр сертификации Peer Certificate Authority на тот, который содержит наши ключи, и установите сертификат сервера на тот, который мы создали ранее. Все остальное вы можете оставить по умолчанию, но я предпочитаю использовать AES-256-CBC вместо AES-128-CBC по умолчанию.

Настройки туннеля

Давайте настроим туннельную сеть IPv4 на что-нибудь разумное, что никто не использует. Подойдет любой тип внутренней сети, но я предпочитаю использовать сети класса B для своих нужд VPN. В этом примере сеть — 172.28.12.4/30 . Обязательно используйте сетевую маску /30 , поскольку мы соединяем вместе только два IP-адреса. Оставьте IPv6 Tunnel Network пустым и Redirect Gateway снятым флажком. Под IPv4 Local netowork (s) нам нужно ввести локальный (серверный) CIDR, в моем случае это 192.168.0.0 / 24 и в удаленных сетях IPv4 удаленный (клиентский) CIDR, для меня это будет 192.168.11.0/24 . Я оставляю IPv6 Local network (s) и IPv6 Remote network (s) пустыми, поскольку здесь мы работаем только с IPv4. Мы можем безопасно установить одновременных подключений с на 1 по понятным причинам. Оставьте Compression на No Preference , потому что RouterOS 6 не поддерживает сжатие LZO, но если вы его отключите, оно тоже не будет работать (может быть, ошибка?).Наконец, я проверяю Отключить IPv6 .

Расширенная конфигурация

Оставим этот раздел как есть, если вы знаете, что делаете, и вам нужны дополнительные параметры OpenVPN, тогда эта статья явно не для вас.

Теперь давайте создадим правило NAT, чтобы наш VPN-сервер был доступен извне. Перейдите в Firewall -> NAT

Прокрутите страницу вниз и нажмите Добавить , появится следующий экран:

Мы оставляем Interface на WAN , Protocol на TCP , Destination на WAN адресе, в диапазоне Destination port в поле мы вводим 33311 (в моем случае, но это может быть все, что вы хотите использовать, например, это может быть 1196, чтобы соответствовать целевому порту).Для целевого IP-адреса Redirect мы вводим 127.0.0.1 и устанавливаем Redirect target port на 1196 (порт и адрес, который прослушивает наш сервер OpenVPN). Наконец, мы даем ему соответствующее Описание и нажимаем Сохранить :

Теперь мы готовы настроить VPN на стороне клиента, но сначала давайте экспортируем сертификаты. Перейдите в Система -> Сертификат. Управляющий:

Давайте экспортируем сертификат ЦС, нажав кнопку с точкой / звездочкой рядом с ЦС, который мы использовали:

Теперь на вкладке Certificates давайте экспортируем сертификат клиента, который мы создали, нажав кнопку с точкой / звездочкой рядом с ним:

А также клиентский ключ для этого сертификата, нажав кнопку рядом с ним:

У вас должно получиться 3 файла:

• CA cert (здесь: bb.crt)
• сертификат клиента (здесь: bb-client.crt)
• клиентский ключ (здесь: bb-client.key)

Давайте загрузим эти файлы на наше устройство Mikrotik. Вы можете просто перетащить 3 файла из проводника прямо в winbox. Он загрузит его, и появится всплывающее окно со списком файлов, показывающее, где он был сохранен:

Сначала установим наши сертификаты. Перейдите в Система -> Сертификаты:

Появится окно сертификатов:

Нажмите кнопку Import :

Выберите сертификат клиента из раскрывающегося списка, не вводите пароль и нажмите Импорт :

Теперь щелкните Импортировать второй раз, чтобы также импортировать ключ.Обратите внимание, что сертификат импортирован (в окне «Импорт»):

После того, как вы добавили ключ в сертификат, он покажет вам KT вместо T . Это означает, что вы также успешно добавили ключ:

И, наконец, с помощью кнопки Import , давайте также добавим наш сертификат CA:

Сертификаты установлены правильно, закроем окно и перейдем к PPP в левом меню:

Появится окно PPP , по умолчанию вкладка Интерфейс :

Сначала давайте создадим профиль для нашего интерфейса PPP на вкладке Profiles :

Нажмите кнопку + , чтобы добавить новый, и введите локальный адрес и удаленный адрес .Это должен быть первый используемый адрес в вашей сети для удаленного адреса и второй для локального адреса. (Помните, что это клиент, здесь он перевернут). В моем случае я ввожу 172.28.12.6 для Local и 172.28.12.5 для Remote . Не забудьте дать ему правильное имя :

После того, как мы нажали OK , он должен выглядеть примерно так:

Теперь вернемся на вкладку Inferface и нажмите кнопку + , чтобы добавить новый интерфейс.Будет выпадающее меню (скриншот которого я не смог сделать) с множеством различных типов интерфейсов PPP, но мы будем использовать OpenVPN и в клиентском режиме, поэтому щелкните OVPN Client . Появится диалоговое окно нового интерфейса. На вкладке Общие оставьте все по умолчанию, но дайте ему правильное имя :

На вкладке Dial Out нам нужно ввести внешний IP-адрес или имя хоста нашего сервера (отредактировано на скриншоте ниже) в поле Connect To , внешний порт , который мы установили (в моем случае 33311), выйдите из режима Mode на IP, введите любое случайное имя пользователя (я обычно люблю вводить здесь имя сертификата).Оставьте поле Password неиспользуемым и выберите Profile , который мы только что создали. Выберите сертификат клиента (не CA) в поле Certificate , оставьте Auth на sha1, , но измените Ciper на aes 256 в соответствии с конфигурацией наших серверов. После того, как все это настроено, нажмите OK :

Это наш интерфейс VPN:

А теперь протестируем. Я только что сделал несколько пингов (Инструменты -> Пинг) на удаленный сайт:

И то же на стороне сервера:

Вот и все.Наслаждайтесь своим VPN! Вы также можете прочитать мою статью о производительности OpenVPN для устройств Mikrotik, где я тестировал широкий спектр маршрутизаторов, чтобы выяснить, какой маршрутизатор может соответствовать вашим потребностям.

.