複数のオフィスがある会社では、遅かれ早かれこれらの同じオフィスを結合する必要があります。 多くのプロバイダーがそのようなサービスを提供していますが、そのためにお金を要求します。プロバイダーの側で何が起こっているのか誰が知っていますか? そのため、すべてを自分で行い、Mikrotik RB750、Ubuntu、およびOpenVPNを使用して組み合わせるオプションを検討します。
なぜミクロティックなのか?
ポイントは、ネイティブサポート、セットアップの容易さ、より安定した動作、低い(比較)ping、およびRB750が提供するその他の多くの優れた機能です。 tomatoやdd-wrtなどのサードパーティのファームウェアは、検討対象から除外されました。 それらの安定性について疑いがありました(そして残っています)。 Asus WL-520GUもテストされましたが、pingは20〜30ミリ秒高くなりました。
行きましょう。
セントラルオフィスのサーバーにはUbuntuがあります。 openvpnをインストールする方法は次のとおりです。
$ sudo su
構成の微妙な違いはすべてサーバー上のopenvpn構成ファイルにありました。その結果、次のようになりました(重要な点についてのみコメント、他の構成パラメーターの説明はマナ、インターネット、構成例などにあります)。
port 1194
/etc/openvpn/.ccd/client1
今ミクロティック
スイッチの構成、アドレスの設定、ルート、DHCPなどを含め、最初から構成を説明します。
ルーターのWebインターフェースに入り、winboxをダウンロードします。
winboxを起動し(IPとMACの両方で接続可能)、新しいターミナルを開き、次のように記述します(achtung、ルーター構成の
system reset-configuration ):
system reset-configurationMikrotikの2番目のポートに接続し、すべて同じwinboxを起動し、表示された要求で[構成の
remove config ]をクリックします
ポート2〜5でスイッチを編成し、ポート1はWANポートとして機能します。
このために、すべてのインターフェイス3〜5でether2マスターポートを指定します。
IP-> Addressesメニューで、インターフェイスのIP LANを割り当てます。
IP-> Routesメニューでインターネットにアクセスするためのゲートを追加します(この特定の場合のゲートは、アドレス10.100.0.1のDSLモデムです)。
10.100.0.0はルーターと、それがインターネットに接続するDSLモデム間のアドレス指定であり、10.0.141.0はVPNネットワークであることに注意してください。
ここでDNSをIP-> DNS、およびIP-> DHCPサーバー-> DHCPセットアップメニューでDHCPを構成し、プール設定を指定できます。
内部サブネット全体をNATの背後にプッシュします。このため、マスカレードを設定します。
IP-> Firewall-> NATに移動し、類推によってルールを追加します。
幸せは近い
サーバーのインストール/構成中に生成したルート証明書(ca.crt)およびクライアント証明書とキー(client1.crt、client1.key)をコピーするために残ります。 Mikrotikで、[ファイル]メニューを選択し、ルーターのファイルシステムを含むウィンドウを表示します。 ここでキーを配置する必要があり、ドラッグアンドドロップが機能します。
ルーターが証明書を持っていることを知るには、System-> Certifatesでインポートし、ca.crt、client1.crt、client1.keyを追加する必要があります。クライアントキーは自動的に「復号化」されます。
OpenVPN接続自体は[インターフェイス]メニューで作成されます。赤いプラス記号をクリックすると、ドロップダウンリストにOVPNクライアントが表示されます。
[ダイヤルアウト]タブで、サーバーのアドレス、ポート、クライアント証明書、暗号化の種類を指定します。
結果。
その結果、機器と通信サービスのコストを最小限に抑えた完全に安全なVPNが得られ、数分で配置できます。