= Server Openvpn su Mikrotik con Ros 7.x = Questa è una configurazione completa di un server Openvpn su RouterOS 7.x, provata con la 7.6 - 7.15 al momento. Si basa su autenticazione mista con un certificato lato server, un certificato lato client (uguale per tutti i client) e poi username e password. E` pensata per l'uso con diversi pc portatili, non come punto-punto. Notare che al momento in RouterOS non è possibile attivare più di un server openvpn con più profili / porte / subnet assegnate, eccetera. Si possono creare più utenti dello stesso server, ma per esempio non è possibile creare un server openvpn dedicato a un link punto-punto e un altro server openvpn dedicato ai pc portatili remoti. (o almeno io non ho capito come farlo) == Creare i certificati necessari == I certificati necessari sono tre, ovvero la CA, il certificato per il server, e quello per i client. La procedura di creazione consiste in due passi, uno per crearli e uno per firmarli. La procedura di firma richiede tempo. Se dopo aver dato un comando di firma si riceve un errore di timeout, abbiate pazienza e controllate il carico di CPU, la firma non e` fallita, sta solo lavorando in background. Quando la cpu va a zero, vedrete che il vostro certificato è stato firmato correttamente anche se avete avuto un errore in console. Chiaramente come common name potete usare quello che vi sembra più sensato. Se avete un hostname pubblico per il vostro server vpn potete usare quello quando create il certificato server. Attenzione: alla versione 7.6 del Ros pare che la data di validità non possa superare il gennaio 2038 (bug della data unix a 32 bit), ergo qualsiasi valore mettiamo per la validità dei certificati, ci troveremo sempre con la data valida al massimo fino al 2038, e la cosa sarà visibile in quanto il numero dei giorni di validità sarà sempre tale che l'ultimo giorno valido sarà in gennaio 2038. Non ho idea se in un futuro update la cosa verrà sistemata. {{{ /certificate add name=ovpn-ca-template days-valid=36500 key-size=4096 key-usage=crl-sign,key-cert-sign common-name=ovpn-CA add name=ovpn-server-template days-valid=36500 key-size=4096 key-usage=digital-signature,key-encipherment,tls-server common-name=ovpn-server add name=ovpn-client-template days-valid=36500 key-size=4096 key-usage=tls-client common-name=ovpn-client /certificate sign ovpn-ca-template name=ovpn-ca-cert ca-crl-host=127.0.0.1 sign ovpn-server-template name=ovpn-server-cert ca=ovpn-ca-cert sign ovpn-client-template name=ovpn-client-cert ca=ovpn-ca-cert }}} == Esportare i certificati == Dobbiamo esportare il certificato della CA e inoltre certificato e chiave del client, da caricare sui PC che saranno i nostri client. Per farlo, dobbiamo per forza crittare con una password la chiave del client in fase di export, altrimenti non verrà esportata. {{{ /certificate export-certificate ovpn-ca-cert export-passphrase="" export-certificate ovpn-client-cert export-passphrase=12345678 }}} Ora i files (un cert per la CA, e un cert e una key per il client) sono disponibili sotto "files" dentro al winbox (o interfaccia web) e possiamo scaricarli sul nostro PC. == Configuriamo un pool di IP per le interfacce punto-punto di openvpn == Configuriamo un pool di ip dedicato alla punto-punto di openvpn. La topologia supportata attualmente è solo "subnet", quindi il server assegna 4 ip per ogni client, con una /24 quindi possiamo servire al massimo 64 client. Ovviamente qui usiamo una subnet che non usiamo in altri posti. L'ip "1" lo tengo fuori dal pool e lo userò come ip locale del nostro server vpn {{{ /ip pool add name="ovpn-pool" ranges=192.168.222.2-192.168.222.254 }}} == Creiamo un gruppo di interfacce per metterci dentro gli utenti della vpn == Questo passo serve a creare un gruppo di interfacce (i gruppi di default sono LAN e WAN) che chiameremo "Openvpn" che servirà a poter definire delle regole di firewall per tutto il traffico che passa per la nostra VPN. Il gruppo sarà legato al profilo PPP (che creeremo immediatamente dopo questo passo) e potrà essere usato appunto nelle regole di firewall per poter applicare regole al traffico da/per la VPN. Il RouterOS di solito gestisce le interfacce facendo riferimento agli account PPP usati per permettermi di fare una regola diversa di firewall per ogni utente che si connette. E` anche comodo, ma in certi casi è molto più comodo definire un profilo comunue per tutti gli utenti openvpn. Notare che al momento non è possibile attivare più di un server openvpn con più profili / porte / subnet assegnate, eccetera. {{{ /interface list add comment="Profilo per i client Openvpn" name=OVPN }}} == Configuriamo un profilo PPP per openvpn == Questo profilo usa il pool che abbiamo precedentemente creato per assegnare ip dinamici ai client. Assegna al server l' ip 192.168.222.1 che è l' ip "1" del pool, e dice ai client di usare quello come DNS (ovviamente se vi serve diverso lo farete diverso). Assegna tutti i client alla lista di interfacce (dinamica) OVPN che abbiamo creato prima, così poi nel firewall potremo applicare delle regole. {{{ /ppp profile add name=ovpn-profile dns-server=192.168.222.1 local-address=192.168.222.1 remote-address=ovpn-pool use-compression=no use-encryption=yes interface-list=OVPN }}} == Attiviamo il server openvpn == Attiviamo il server openvpn, con protocollo UDP e porta 1194 (il default). Uso come algoritmi crittografici quelli più sicuri, anche se questo può comportare una perdita di prestazioni. Ovviamente se dovete stabilire connessioni con client che non li supportano dovrete adattarvi di conseguenza (dalla versione 7.8 si usa "cipher=aes256-gcm") Questa config usa push-routes che è una funzione supportata solo sulle versioni recenti (7.15 in poi?) di ROS. Se non è supportata sulla vostra, lo togliete e mettete le rotte nella config del client. Qui faccio il push di una rotta per 192.168.221.0/24 che si presume sia la LAN dietro la VPN. Imposto la rinegoziazione a 24 ore perché sulla cpu dei Mikrotik è abbastanza impegnativa e potrebbe portare a qualche interruzione del traffico se la faccio a default (1 ora). {{{ /interface ovpn-server server set certificate=ovpn-server-cert auth=sha512 cipher=aes256-gcm default-profile=ovpn-profile enabled=yes require-client-certificate=yes protocol=udp reneg-sec=86400 push-routes="192.168.221.0 255.255.255.0" }}} == Creiamo uno o più utenti == Creiamo gli utenti che accederanno al server openvpn: {{{ /ppp secret add name=USERNAME profile=ovpn-profile service=ovpn password=PASSWORD }}} == Configurazioni del firewall == Ricordiamoci di aprire la 1194/udp da internet per fare connettere i nostri client. Qui sotto c'e` un esempio per accettare la 1194 udp, pero` occorre ricordarsi che la regola andrà messa prima del drop generale delle connessioni non volute, ergo va spostata verso l'inizio delle regole. Questa riga così com'è la mette in terza posizione dall'alto il che POTREBBE andare bene. {{{ /ip firewall filter add action=accept chain=input comment=OpenVPN dst-port=1194 protocol=udp connection-state=new place-before=3 }}} Ora accettiamo il traffico (dentro la vpn) dai client openvpn al nostro Mikrotik (utile se vogliamo entrare in ssh o con il winbox). Notare che per default questo traffico è bloccato, solo dalla LAN si può accedere all' ssh o mediante la winbox. {{{ /ip firewall filter add action=accept chain=input comment="Accetto il traffico dai client openvpn" in-interface-list=OVPN connection-state=new place-before=6 }}} Per il forward (per esempio dai client openvpn alla LAN o alla WAN) il firewall di default del Mikrotik ha solo una regola che blocca il traffico entrante dalla WAN, il che significa che per default il forward dai client Openvpn è consentito. Se volessimo consentirlo esplicitamente, comunque, potremmo fare una regola tipo questa, da mettere ovviamente prima del drop: {{{ /ip firewall filter add action=accept chain=forward comment="Accetto il forward dai client openvpn" connection-state=new in-interface-list=OVPN }}} == Configurazione del client (linux, windows, ecc) == Sul client copiamo i files (il certificato della CA, il certificato e la chiave del client) che abbiamo esportato prima, poi come configurazione possiamo usare una cosa di questo genere: {{{ client dev tun proto udp remote HOSTNAME-SERVER 1194 resolv-retry infinite nobind persist-key persist-tun ca cert_export_ovpn-ca-cert.crt cert cert_export_ovpn-client-cert.crt key cert_export_ovpn-client-cert.key remote-cert-tls server cipher AES-256-GCM data-ciphers AES-256-GCM auth SHA512 # dico al clienti di non rinegoziare mai le chiavi, questo fa si che sia il server che detta i tempi di rinegoziazione reneg-sec 0 # autenticazione con user e password salvate su file auth-user-pass user-pass.txt # autenticazione con popup che chiede ogni volta di inserire user e password #auth-user-pass # rotta per la LAN dietro la vpn (non necessaria se uso push-route nel server) route 192.168.221.0 255.255.255.0 # configurazione del dominio interno della rete remota (necessaria perche` il dns risolva correttamente i nomi interni) # normalmente e` un parametro che metto in push dal server, ma Mikrotik non supporta il push di parametri arbitrari dhcp-option ADAPTER_DOMAIN_SUFFIX dominio_locale_della_rete_remota verb 3 }}} '''Importante:''' Notare che il server almeno con la versione attuale del firmware (7.6) non ha alcun modo di fare dei push delle configurazioni ai client (se si escludono ip e dns) quindi nel file di configurazione del client dobbiamo inserire a mano le rotte verso gli ip raggiungibili dietro la VPN. A questo serve il comando route che nel nostro esempio punta agli ip della LAN dietro al server VPN. Per finire, il file "user-pass.txt" conterrà username e password (prima riga lo username, seconda riga la password, senza altro), a meno che non vogliamo fare in modo che l'utente debba ogni volta inserirle a mano. Quando si stabilisce la connessione verrà chiesta la password di sblocco della chiave privata del client (quella impostata in fase di esportazione) e poi user/password per l'account utente della vpn. Volendo potremo togliere la password dalla chiave e lasciare solo user e password dell'utente. Per togliere la password dalla chiave privata del client usiamo il comando {{{ openssl rsa -in cert_export_ovpn-client-cert.key -out senzapassword.key }}}