Mikrotik – nastavení OpenVPN – připojení z mobilu

Když se mi povedlo nastavit blokování reklam na routeru byla by škoda to nepoužívat  i na mobilu, kde je snad každá aplikace prolezlá reklamami.  Stačí mít nastavený VPN tunel k routeru který provoz filtruje. Že budu mít připojený telefon  šifrovanou cestou k internetu je bonus 🙂

– zkontroluj že máš na routeru nastavený správný čas a datum.

Vytvoření Certifikátu a klíče

Certifikát v tomto nastavení má platnost na 10 let – příkazy do terminálu:

/certificate add name=CA country="CZ" state="CS" locality="Praha" organization="home" unit="mkVPN" common-name="CA" key-size=4096 days-valid=3650 key-usage=crl-sign,key-cert-sign
/certificate sign CA ca-crl-host=127.0.0.1 name="CA"

/certificate add name=server country="CZ" state="CS" locality="Praha" organization="home" unit="mkVPN" common-name="server" key-size=4096 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
/certificate sign server ca="CA" name="server"

/certificate add name=VPN-client country="CZ" state="CS" locality="Praha" organization="home" unit="mkVPN" common-name="VPN-client" key-size=4096 days-valid=3650 key-usage=tls-client
/certificate sign client ca="CA" name="VPN-client"

/certificate add name=uzivatel copy-from="VPN-client" common-name="uzivatel"
/certificate sign uzivatel ca="CA" name="uzivatel"
  • vyexportovat certifikáty – uživatelský klíč (12345678 je heslo to změnit podle sebe)
/certificate
export-certificate ca-certificate export-passphrase=""
export-certificate client-certificate export-passphrase=12345678

– zasekl jsem se kolem připojení telefonu (Android) k VPN – stále to nebralo ověření uživatele – tohle mi pomohlo
– musí se přepsat uživatel.key soubor pomocí OpenSSL takže stáhnout, nainstalovat a prohnat OpenSSL

spusť cmd jako správce ve složce kde máš OpenSSL napiš
> openssl.exe rsa -in uzivatel.key -out client.key
Enter pass phrase for uzivatel.key: 12345678
writing RSA key

– vytvořit si soubor VPNprofil.ovpn  – podle níže uvedeného příkladu (zkopírovat a změnit adresu na router a názvy certifikátů)

client
dev tun
proto tcp
verb 3
remote adresa/ip routeru 1194
remote-cert-tls server
nobind
persist-key 
persist-tun
ca ca.crt   #nazev cert. z routeru
cert client.crt  #nazev openVPN cert. z routeru
key client.key  #nazev uživ. klice z routeru
cipher AES-256-CBC
resolv-retry infinite
auth SHA1
auth-user-pass
auth-nocache
redirect-gateway def1 bypass-dhcp

Vytvoření POOLu a FW pravidla pro VPN

/ip pool add name=ovpn-pool-1 ranges=10.20.0.100-10.20.0.200

– povolím prostup na firewallu

/ip firewall filter add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp
/ip firewall filter add chain=input src-address 10.20.0.0/24 action=accept
/ip firewall filter add chain=forward src-address 10.20.0.0/24 action=accept

/ip dhcp-server network add address=10.20.0.0/24 comment=vpn dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24

Vytvoření uživatele a profilu VPN

uživatel + heslo a profil

Android a OpenVPN

Takže mám připravený soubor openvpn.ovpn a stažený certifikáty z routeru. Všechno přenesu do telefonu. Nainstaluju aplikaci OpenVPN 

Po instalaci v menu aplikace zvolím Import profilu. Najdu uložený soubor VPNprofil.ovpn v telefonu. Vložím jméno a heslo uživatele pro připojení k routeru.

 

zdroje: https://lunar.computer/posts/mikrotik-routeros-openvpn/ | OpenVPN na Mikrotiku | OpenVPN Bridge | https://www.micu.eu/ovpn-server/