1. Схема сети.

В головном офисе установлен маршрутизатор GW1. Он же будет настроен в качестве VPN-сервера. В этом же офисе работает сервер DC1, который является контроллером домена и параллельно выполняет функции DNS и WINS-сервера. К головному офису будет подключаться компьютер, который будет настроен как VPN-клиент.

Головной офис

  • IP-адрес внешней сети головного офиса: 10.1.100.0/24
  • IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24
  • IP-адрес внутренней сети головного офиса: 192.168.15.0/24
  • IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.1/24
  • IP-адрес сервера DC1: 192.168.15.10/24

Удаленный компьютер

  • IP-адрес удаленного компьютера: 10.1.200.1/24

VPN-канал

  • IP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.101/32
  • Пулл адресов VPN-канала: 172.16.30.102 — 172.16.30.253

2. Настройка первого маршрутизатора.

2.1. Включить OpenVPN-сервер:

/interface ovpn-server server set enabled=yes certificate=server cipher=aes128,aes192,aes256,blowfish128 keepalive-timeout=disabled require-client-certificate=yes

2.2. Создать пул адресов для VPN-подключений:

/ip pool add name=vpn-pool ranges=172.16.30.102-172.16.30.253

2.3. Создать профиль для VPN подключений. Указать адрес сервера DC1, который является DNS и WINS сервером. Без указания DNS и WINS VPN-подключение произойдет, но не будет возможности обращаться к узлам по именам.

/ppp profile add name="OpenVPN client-to-site" local-address=172.16.20.101 remote-address=vpn-pool dns-server=192.168.15.10 wins-server=192.168.15.10

2.4. Добавить аккаунт пользователя:

/ppp secret add name=user-laptop password=user-laptop-password profile= "OpenVPN client-to-site" service=ovpn

2.5. На интерфейсе маршрутизатора, который смотрит в локальную сеть включить arp-proxy. Это нужно для того, чтобы удаленный клиент мог связываться с локальными хостами:

/interface ethernet set ether1-LAN1 arp=proxy-arp

3. Настройка маршрутизации.

Не требуется.

4. Проверка.

Для того, что бы проверить VPN-соединение достаточно запустить ping с компьютера VPN-клиента на любой компьютер в сети за маршрутизатором GW1.

5. Типичные проблемы.

  • Если VPN-соединение не устанавливается, то надо проверить:
  1. Не мешает ли файервол. Для уверенности лучше временно отключить все правила файервола на маршрутизаторе.
  2. Совпадают ли имя пользователя и пароль.
  3. Корректные ли сертификаты помещены на клиент.
  4. На VPN-клиенте указан правильный адрес VPN-сервера к которому должно происходить подключение.