# Настройка OpenVPN сервера и клиента на Mikrotik

## **Настройка OpenVPN сервера и клиента на Mikrotik**

Бывает, что пользователи сталкиваются с проблемой настройки удалённого доступа на mikrotik или на несколько.

Чаще этот вопрос приходиться решать, когда вы работаете на нескольких объектах и не можете регулярно физически присутствовать около оборудования.

Сейчас мы поможем Вам разобраться, как настроить OpenVPN сервер на mikrotik, в том числе клиенты на mikrotik и компьютере под ОС Windows.

Прежде всего необходим Белый IP адрес (это будет адрес сервера в наших настройках) для доступа к серверу посредством интернета и сертификаты безопасности.

**Этапы:**

* Создание сертификатов и ключей OpenVPN
* Создание сервера OpenVPN на Mikrotik
* Создание клиента OpenVPN на ПК
* Создание клиента OpenVPN на Mikrotik

**Создание сертификатов и ключей OpenVPN**

1. С официального сайта качаем утилиту **OpenVPN**

![](https://lh4.googleusercontent.com/yu-48qYyAMPIyft3X02i1SFFyb4cZIo7_TVSZtjl0b0cEpPc7WqL6tsg7GfFNDFrVdTHRNBk17kp-OpxNN9Da-XU-Gphyxu94VzTzAOSxcNzJTF8zHKzHrNoAFQocTRXZPnPG9_0)

1. Включаем все галочки и устанавливаем.

Необходимо будет сгенерировать сертификаты и ключи при помощи **EasyRSA Certificate Management Scripts**.

![](https://lh6.googleusercontent.com/6YE4_A_HdM0FBKhChL0UMnhqN6B-s2oFnH_mTfz9ljkp-T9fR0R7f8HUyxh51M_Q1XaYEhrWkOxLMoO0iUTid4vvEOI5ApOoVr1v2yFLe3wXlTeC7u35eQLxg1h4WH0vj5sGSa6p)

1. Указываем стандартный путь **C:\Program Files\OpenVPN**. Далее он будет необходим.
2. Когда установка завершилась заходим в **C:\Program files\OpenVPN\easy-rsa**

В блокноте или NotePad++ открываем **vars.bat** (если такой папки нет, то **vars.bat.sample**) и редактируем.

set KEY\_COUNTRY=RU

set KEY\_PROVINCE=MoscowRegion

set KEY\_CITY=MOSCOW

set KEY\_ORG=OpenVPN

set KEY\_EMAIL=<mail@mail.com>

set KEY\_CN=server

set KEY\_NAME=server

set KEY\_OU=OU

set PKCS11\_MODULE\_PATH=changeme

set PKCS11\_PIN=1234

В строках **set KEY\_CN** и **set KEY\_NAME** пишем **server**

Нижние 2 строки — параметры по умолчанию. Другие правим под себя.

Сохраняем файл как **vars.bat** на рабочий стол, с последующим копированием в папку **C:\Program files\OpenVPN\easy-rsa**

Так как для сохранения на прямую в исходную папку не хватает прав, производим вышеописанные манипуляции.

1. Правим файл **openssl-1.0.0.cnf**

Открываем его блокнотом или notepad++

Ищем строку:

*default\_days = 3650 # how long to certify for*

Она отвечает за время действия сертификата. Если указано иное значение — то исправляем на **3650** (10 лет).

Сохраняем.

1. От имени администратора открываем командную строку:

**Пуск — Все программы — Стандартные**

Ищем «**Командная строка**», кликаем по ней правой кнопкой мыши и в открывшемся окне выбираем — **Запуск от имени администратора**.

Пока процесс генерации сертификатов не окончится командную строку не закрываем.

![](https://lh3.googleusercontent.com/T_8ZbRTe69em0izXxUTUTRvboRvDOc0BwcXZuvVb6yn2G--V30G1f4P-Vqtz5p34VdhaGXc9edmh7gjQdpIwJWzmZQx24BlosT77KP48f6neRevqs6poyVQlLJWNhn9JxYYVMVpL)

**7. П**оочередно выполняем следующие три команды:

**cd C:\Program files\OpenVPN\easy-rsa**

vars

clean-all

Должно появиться 2 сообщения «**Скопировано файлов: 1»**.

![](https://lh6.googleusercontent.com/EMuKQgns1zASJl-NqvelpKWNt8g2_FrkU6mWgn8ah0nKq2PTnxEzS2ehCGHVYxjtF4XiaHsuZgMGZ4Pbkcm4XuDFF0YKmfO_-fMXV45fl-TZbiINhfMLAEcw3HNhvd0vxr273dLg)

Проверяем путь **C:\Program files\OpenVPN\easy-rsa** там должна появиться папка **keysс** двумя файлами **index.txt** и **serial**.

![](https://lh6.googleusercontent.com/9zEkw0XMKPm4OVBIgyV41bukStQZ7R29MMc4GBzel6KtXBLwBbmlZUektAnDqv1gtGvfxmyzEkWdXEiBxAC-rR_e-W7IdcCJSomTff-zONNWuyRWqbdRbZLVkv7j08OYgpODr0Q8)

1. Генерируем ключ Диффи Хельмана — команда **build-dh**

Подождите пока закончится процесс генерации.

1. Генерируем ключ центра сертификации **(CA) —build-ca.**

Нажимаем клавишу **Enter** до окончания всех вопросов.

В командной строке будет путь **C:\Program files\OpenVPN\easy-rsa**

![](https://lh3.googleusercontent.com/Jobo1yQYpqLy8OcfoegSgadBYyD2h3wsBxehI0DgS6IKfWzbig7fPzrHaTH7-yv7LzX7sijTGmfmvHYB7UrFRsJ4iugXnD91GmQSoUZhCv__xh03JZmV1V1tKKgCu2t2dU7a-QjB)

Заданные значения менять не нужно. Их прописывали в файле **vars.bat.**

1. Командой **build-key-server** server Генерируем сертификат сервера.

Пока не дойдем до вопросов нажимаем **Enter** (параметры остаются по умолчанию, прописанные в **vars.bat**).

На следующие вопросы отвечаем нажатием **Y**:

**Sign the certificate?** (Создание сертификата на 3650 дней)

**1 out of 1 certificate requests certified, commit?** (Запись сертификата в базу)

![](https://lh5.googleusercontent.com/rWxBhlfuvvXXYjrsmUO6aJPkFoav8c2NDoVjyhZRoHIBt1hnEHO6lcCrhCqsRCinayAXXZ12OfGhP4vDHZT-EgTiDrPF_EBpIv7NloktZYd20IU_6ZmGRCuTQfdLDsmqZIYqUw3v)

11\) Генерируем сертификат клиента **build-key client**

Нажимаем **Enter** (параметры остаются по умолчанию, прописанные в **vars.bat**), пока не дойдём до вопросов **Common Name** и **Name.**

На них отвечаем **client**— это название создаваемого сертификата.

На следующие вопросы отвечаем нажатием **Y**: **Sign the certificate?** и **1 out of 1 certificate requests certified, commit?**

12\) Генерация сертификатов завершена.

В папке **C:\Program files\OpenVPN\easy-rsa\keys** будут следующие файлы:

![](https://lh3.googleusercontent.com/zcdgWHdoTu34RUswNiNgKdH0OATxDejhMZei1UwesepSVycleJE1eTqK57Q6rhB_HkRcj0KAspybwIZ7ftQcMIOQV7pl6v8i97JMpNYOa_LibaNoS4TccCZ8ltXastcsTC_MRmOm)

Готовы сертификаты для сервера и клиентов.

**Настройка OpenVPN сервера на Mikrotik**

При помощи программы **Winbox** подключаемся к Mikrotik.

Чтобы загрузить следующие 3 файла - **ca.crt, server.crt, server.key** необходимо:

В меню выбрать **Files** и перетащить их из папки **C:\Program files\OpenVPN\easy-rsa\keys**

![](https://lh3.googleusercontent.com/h4pyXH58BDbJb8caj527MHy4vagN50bAeLm-iVrcb6s34XAJF98J8xtHRza2ZQPPTXc5q1zgzhz-oO7OphEohdK9-8_LOY_dmt-fIIwFsHNC1wbL0g22j-ZiNnT91dKWdgOpaxql)

1. Затем производим их импорт.

Последовательно выбираем **System – Certificates — Import** и в следующем порядке выбираем сертификаты:

**ca.crt**

**server.crt**

**server.key**

![](https://lh3.googleusercontent.com/Ixv6ESfXl966fXJ3lyAr1SmqssyniRiU0SR134z_V1XFZ6UfJP6P_NgdhcvnHJRMB4_r2Zco4igYV3hp13agjJD9IGGV9lDkftPEyAYeTrP1HbLOgAHS78Z3us4ilKryv_YWiQIw)

По завершении импорта появятся две записи:

![](https://lh3.googleusercontent.com/V5NVYSudusldeh4bwh7MxYhSNRNxWKGTKgDucpG52QozX0-_lXWIbtBB2DrkBhiQdBzGFfoOcM3RWOiM6_PNODgT1_EaSQP5aU9fP7r9_7YIHygp28mh29h3pcdEQ_qV48nIyyjP)

1. Для **VPN** клиентов создаем пул адреса :

**IP — Pool — add (+)**

Вводим название **openvpn-pool**

Диапазон **172.30.0.2-172.30.0.253**

![](https://lh4.googleusercontent.com/HmpTO9XoowhqFxAhWBEnPgNYkaKkw1kWr0DAsgM0GsY8d0xzo2iL_z9CSXMAhSUhsFkrAWjkInvbYHCUd3S_XUNwhwf6yivemPq4SouTe55xwpi7AYE6FawffCGq3d4X4rgnK4hf)

1. Создадим **PPP** профиль.

**PPP — Profiles — add (+)**

Вводим название **openvpn**

Локальный адрес **172.30.0.1**

Созданный Пул **openvpn-pool**

Остальные настройки должны остаться по умолчанию.

Нажимаем **ОК**.

![](https://lh5.googleusercontent.com/EsStfmqqGT0_YbJRZ5bU1cJWZWaFpeDkYnJLyT1SZOeruD9goLKx61XhdPqVxSI-FY19hmMtAPkIjafTl_c93TNfTdtGE_l1dXLPXe_MGr4cBdZqQDouJGBsb5cCTNoUfbVNi1sG)

1. Приступим к созданию **OpenVPNсервер**

**PPP — Interface — OVPN Server**

Ставим галочку **Enable**

Выбираем **порт1194**

Выбираем наш профиль **openvpn**

Поставим галочку **Require Client Certificate**

Выберем наш сертификат **server.crt**

![](https://lh4.googleusercontent.com/nRcsvQPiuFgWg2uP6UjDXv9HyfQzjaJWZDtxsBK3MVXe-sDZYIuYlMfrd8fbduy8QOrVi7wET5IDDPDyGqI7BzLDO0xUWIELVrcHId4-bH9rRrBfQhVlfj3Db31Ly7dc597pkdrP)

1. Для подключения необходимо создать пользователя.

**PPP — Secrets — add (+)**

Вводим имя пользователя и пароль **ovpn\_user1**

Выбираем Сервис **ovpn** и профиль **openvpn**

![](https://lh3.googleusercontent.com/WPexpdavOT0lK_9NaURb9VPukq50E-AgtM8lwnyqBM0UuhIcd6SVUCKtw3kUljNRkQQRaJsNtAyRQALpz83ooNHL7Xzh_Nx7YQvrpMTXfiE7sRkXTitf_L-2bxyCGqcNTd7BVkFd)

Создадим 2-х пользователей:

**ovpn\_user1** для клиента на компьютере

**ovpn\_mikrotik1** для клиента на Mikrotik

Для упрощения работы в дальнейшем, рекомендуем каждому **VPN** клиенту создавать отдельное уникальное имя пользователя.

Это позволит отслеживать всех подключенных **VPN** клиентов.

1. Настроим фаервол

**IP — Firewall — add(+)**

Во вкладкеGeneralпрописываем:

Chain— **input**

Protocol— **tcp**

Порт **1194**

Интерфейс— ether1 (Если интернет идёт через него)

Вкладка **Action**:

**Action — accept**

Далее **ОК**

![](https://lh6.googleusercontent.com/vjBzQqYP_GqCsdrl7lK0WWNu0Ny2PJJro465MWIhwtWdE5JOYkGTu50JQ5Ggo_Xm67iHo2e58YL22PGjgScxo4PGBiWoMC2isDMF2bNZqvRimv4FIvVG8DEDN_OPlOHJ-3NVV-la)

Сервер настроен, теперь можно приступить к настройке **VPN** клиентов.

**Настройка VPN клиента на ПК с ОС Windows**

19\)В папку **C:\Program files\OpenVPN\config\\**

из **C:\Program files\OpenVPN\easy-rsa\keys** копируем следующие файлы

**ca.crt, client.crt, client.key.**

из **C:\Program files\OpenVPN\simple-config\\**

**client.ovpn**

Создаем текстовый файл **pass**, в нем указываем логин и пароль от созданного **VPN** клиента на сервере.

Для нас это **ovpn\_user1**

![](https://lh4.googleusercontent.com/FC93eg0T0DUJrrYWIz8ejzG3gWJnWr-ul5Cr6tKDh0ALIq7lSAmUUs0Fn3cHhkhGjlJr8HKWsLmgpK4uqymlv4joA-uswaiGDgXQl8lbcesIUWCjYZREXjWDxupEvU4Pi-ZDlNR1)

20\) В блокноте или notepad++ откроем файл **client.ovpn**

Заменяем следующие строки:

\#Протокол

**proto tcp**

\#Адрес и порт сервера

**remote ваш.ip.адрес.сервера 1194**

\#Проверяем правильность названия ключей

**ca ca.crt**

**cert client.crt**

**key client.key**

В конце необходимо добавить строчку

**auth-user-pass «C:\Program files\OpenVPN\config\pass.txt»**

Должны получиться следующие настройки в этом файле:

**client**

**dev tun**

**proto tcp**

**remote адрес\_сервера 1194**

**resolv-retry infinite**

**nobind**

**persist-key**

**persist-tun**

**ca ca.crt**

**cert user.crt**

**key user.key**

**remote-cert-tls server**

**cipher AES-128-CBC**

**verb 3**

**auth-user-pass «c:\Program Files\OpenVPN\config\pass.txt»**

Другие настройки закоментированы решеткой «**#**» или точкой с запятой «**;**»

21\) Сохраняем файл. Если не хватает прав, и сохранить не получается - сохраняем на рабочий стол, а затем копируем с заменой.

открываем **OpenVPN** и подключаемся.

![](https://lh4.googleusercontent.com/xcfeZ6DytBnQBDh9A1t6S9eSwnE7-aqjLguePpOFZWCpcKh04iWyKUdbHW4ed7bFrd10GGh4cgFYBBRS9f2UNhp_zt_QRwUL2MSMaBwdmsP6YOQ0VzsetfOKc4dVxKqI_qA-pNPF)

При подключении увидим, что нам назначен IP, который ранее указали на сервере.

![](https://lh3.googleusercontent.com/WiCWE0RHalM-b76myEFSUYYu5Xmar8S2zBZjyPZtY9bUhTg7RuBeCa-MG0UA9tfDguFRWvpG1nEiQ3J4zWvovRUM7ExK16LXwYmu0A37zXhWMjDF-mk2zbz45pVqzegN-x4sz0BL)

**Настройка VPN клиента на Mikrotik**

После того как настроили **OpenVPN** сервер, настраиваем доступ на **Mikrotik** даже если нет белого IP адреса.

22\) С помощью программы **Winbox** подключимся к **Mikrotik**.

Для того,чтобы загрузить следующие 2 файла: **client.crt, client.key,** в меню выбираем **Files** и перетащим их из папки **C:\Program files\OpenVPN\easy-rsa\keys**

![](https://lh4.googleusercontent.com/IDbJNiYQJ8NDiCUjjXX3MzbTAQf-S9p3HfEB9JqwHNd4RMxTed-6WrNB7sK2pbqKiUU-ube6191AH7LK3MZtMI1R7RdYMMUEqIUNE55lME_C4WhAlmhSCmQxAZwbkVaiUHtK8Mf1)

23\) Затем импортируем эти файлы.

Откроем **System – Certificates — Import** и в указанном порядке выберем сертификаты:

**client.crt**

**client.key**

![](https://lh4.googleusercontent.com/noP9YglnRORjsOZAbhnEBV-0eBdEudg0IF3Rg1taAPhOwGwJEqjIx35Ii7uZGQhqL9p65Y64PeC81JLW2OpfYyERry4stFt9ywKuY2eNjLSmvGt8pUrvENX8erLkS_AR_DTELVGO)

24\) Настроим параметры сервера:

**PPP — add(+) — OVPN client**

![](https://lh5.googleusercontent.com/LmvwUL3iUsm20MmzxMP4X1YeVrB750GCUw-1ohiMxVyrdPI5_ITirsouB7ztbvbyXTxfAk2Icm2GOvazgoicEZ97vKd41qpRAKs4ofs0HC3us_UW1XE2nlIMsGrvBFC1_vD6WepS)

Во вкладке **General** указываем имя

Name — **openVPN1** (любое, на ваше усмотрение)

Вкладка **Dial Out:**

Connect To — **Адрес сервера(Внешний IP адрес главного роутера Mikrotik)**

Port **1194**

Прописываем пользователя и пароль, который мы создали на **VPN** сервере

В нашем случае это пользователь **ovpn\_mikrotik1**

Сертификат **Client.crt**

Нажимаем **ОК**

![](https://lh3.googleusercontent.com/OenGg3QnV6ILEnkJ606yPxmDdSxZO7IXdOf-usYucTfulRt10NTxUeLaEA9PKuiI4rHVaZFyrznMMdy4FK-NhQu5m8JwaouAPmgtilUha2pT33-pwY56-RQOOpATPr695OfyfKfV)

25\) В терминале пишем **/interface ovpn-client monitor openVPN1**

Появится сообщение с состоянием **connected**

![](https://lh6.googleusercontent.com/sLo5kJE2mj7yGEfakcd94g7qjcSzLU4UBhFVDmzOW5r9KyiggtL1-98uDIzJcky0DETB4BGXcCT0ccFCPRE3bQ7vWCrC5iEhtDUPSTPNKXC6FS10iGCLQEEi__Fem-nN4JKeFi4H)

Адрес полученный от **VPN** сервера позволит вам подключиться к **mikrotik**

![](https://lh5.googleusercontent.com/BfJdO_YZqFSZhlxeR-z2vA-CrSUVSdaKWcqB6fqY2dpxMnBcgp659fF3VPdaZqQsAlKS4G7tXTHcVBKJRTli4ghTmmUqu5kqG0dfQnrLiDGimFZBuRdBTFCV36qlrvRlV2CGAPY_)

Посмотреть адрес можно:

В Mikrotik-клиенте в **IP-Adresses** строка с нашим интерфейсом **openVPN1**

![](https://lh6.googleusercontent.com/NDWUyKsLk5I6kRkvEALPqU5Q4GNAdkRSQfTjRv1GC0wkxiq1xQCC0TroPcsVoJryWWUoAPHuHjgRYnYacYC6rCEW82_yD5MFp9ygcGtzhqEldeG579f0mGVatEk_crlVfTqADw23)

В Mikrotik-сервере **PPP-Active Connections**

![](https://lh6.googleusercontent.com/D8QpJpcLCs-wW5eKsgoe9DOdLc0315n6J9S080_J1wS5xaB7PBlSedvzv-eX70yMeH9hegyJ1Y2TdcAb-aE0QVwtCRYIVmeP4obodS2U_JNU8trfZwWr0MydUEpBtDh6VHVYTAPo)

![](/files/-LcL5jLbzTscRZFLHWZB)**|** [**Сайт** ](https://ciawifi.ru/ru)**|** [**О компании** ](https://ciawifi.ru/ru/company)**|** [**Контакты** ](https://ciawifi.ru/ru/contacts)**|**


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.ciawifi.ru/oborudovanie/mikotik/nastroika-openvpn-servera-i-klienta-na-mikrotik.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.