在本文中,我將介紹如何在RouterOS和WSG上網(wǎng)行為管理網(wǎng)關(guān)之間使用openvpn組建site-to-site VPN。網(wǎng)絡(luò)拓?fù)鋱D如下:
本例中,我們把WSG作為openvpn的服務(wù)端,RouterOS作為openvpn的客戶端。反過來的配置也基本類似。
1. 開啟OpenVPN服務(wù)端
在WSG的OpenVPN服務(wù)端中,需要做如下配置:
ROS不支持udp,所有這里要選擇tcp的通訊方式。
ROS只支持用戶名認(rèn)證模式。
推送路由:服務(wù)端的內(nèi)網(wǎng)網(wǎng)段。
在“賬號(hào)管理”中添加vpn用戶,如下圖:
設(shè)置該VPN用戶對(duì)應(yīng)的客戶端內(nèi)網(wǎng)網(wǎng)段。
2. 配置ROS的ovpn client
首先要導(dǎo)入服務(wù)端的ca證書,服務(wù)端下載的ca證書解壓后有兩個(gè)文件ca.crt和ca.key。都需要上傳到ROS中。
在“certificates”中導(dǎo)入這兩個(gè)文件。
在interface中新建ovpn client,如下圖:
3. 驗(yàn)證OpenVPN的連接狀態(tài)。
成功連接后,在RouterOS中可以看到接口的連接狀態(tài)。
在WSG的openvpn狀態(tài)中,也可以看到連接的客戶機(jī)狀態(tài)信息。
連接成功后,即可互相ping通,但是到對(duì)端內(nèi)網(wǎng)IP的訪問,還會(huì)收到防火墻策略的控制。需要允許對(duì)端的防火墻訪問內(nèi)網(wǎng)。請(qǐng)參考:http://wiki.jsyt0518.cn/Firewall_for_vpn
