Заявка в АРК Технолоджис
(812)974.06.35
О компании archive.arctech.ru

Mikrotik: настройка OVPN-client через консоль

Mikrotik: настройка OVPN-client через консоль

Данная заметка поможет:

  • обеспечить доступ к микротик через SSH-ключи;
  • немного поднять защищенность микротика;
  • подключить микротик openvpn клиентом к внешнему серверу.

При изложении предполагается:

  • mikrotik "из магазина" или сброшен к дефолтным настройкам и его адрес 192.168.88.1;
  • вся настройка ведется с компьютера под управлением Linux - имеющему доступ к микротику по сети :). И хранящему на себе openvpn ключи и сертификаты настраиваемого клиента;
  • админ зашел в консоль Linux-а выше с правами root;
  • внешний интерфейс linux-box = eth0.

I. При настройке микротика рекомендуются следующие дополнительные действия:

  1. устанавить новый порт SSH, например 22222:
    /ip service edit ssh port=22222
  2. изменить пароль admin;
  3. после завершения настройки добавить нового пользователя с полными правами, а admin перевести в группу read:
  4. изменить дефолтный порт winbox:
    /ip service edit winbox port=62623;
  5. закрыть на файрвол любой доступ к Mikrotik извне, кроме порта 22222.

II. Если компьютер находится в одной сети с микротиком, то достаточно:

export MKT_IP=192.168.88.1 ; ifconfig eth0:0 192.168.88.10/24 up && ping $MKT_IP -с 5

Т.е. просто поднимите на внешнем интерфейсе alias в дефолтной сети микротика не перенастраивая интерфейсы или файрвол вашего linux-box.

С помощью ssh-keygen создаем на своем linux пару ключей в директории /root/.ssh для двух пользователей - нового админа, вместо admin, и пользователя backup, с обрезанными правами. Его используем для настройки openvpn клиента и, в будущем, если надо - для backup-ов конфы:

ssh-keygen -t rsa -f /root/.ssh/mktbackup_rsa

здесь на вопросы вводим ПУСТОЙ пароль

ssh-keygen -t rsa  -f /root/.ssh/mktroot_rsa

а здесь - нормальный, случайный.

Копируем public "половинки" на микротик:

scp /root/.ssh/mkt*.pub -P 22222 admin@$MKT_IP:/

На приглашение введите пароля админа:  файлы должны скопироваться.

III. Заходим на mikrotik по SSH:

  1. ssh -p 22222 admin@$MKT_IP 
    где сначала проверяем:
    /file print where name=mktbackup_rsa.pub
    что файл скопировался.
  2. Добавляем нового админа:
    /user add name=root group=full
    /user ssh-keys import user=root public-key-file=mktroot_rsa.pub
  3. Создаем группу для backup-админа и его самого:
    /user group add name=backup policy=local,ssh,ftp,read,write,api
    /user add name=backup group=backup
    /user ssh-keys import user=backup public-key-file=mktbu_rsa.pub
  4. /user set admin password=<new_passwd> ; user set admin group=read

Vous a la!

Замечу попутно, что новый админ - root - НЕ ИМЕЕТ установленного пароля. Стал быть и подобрать его нельзя :)

IV. Настраиваем openvpn клиента.

  1. Отключаемся от микротика.
  2. Проверям доступ "по ключу":
    ssh -i /root/.ssh/mktbackup_rsa -p 22222 root@$MKT_IP
    после залогинивания - без лишних вопросов - отключаемся.
  3. Копируем файлы openvpn клиента - предварительно сделайте cd в директорию с ключами:
    for f in ca.crt clnt.crt clnt.key ; do
     scp -i /root/.ssh/mktbackup_rsa -P 22222 $f backup@$MKT_IP:/
    done
  4. Устанавливаем сертификаты из скопированных файлов:
    ssh -p 22222 -i /root/.ssh/mktbackup_rsa backup@$MKT_IP \
      "/certificate import file-name=ca.crt passphrase=\"\" ; /certificate import file-name=clnt.crt passphrase=\"\" ;
     /certificate import file-name=clnt.key passphrase=\"\" "
  5. Переименовываем сертификаты:
    ssh -p 22222 -i /root/.ssh/mktbackup_rsa backup@$MKT_IP \
     "/certificate set ca.crt_0 name=2ARC_CA ; /certificate set clnt.crt_0 name=2ARC_CLNT"
  6. Поднимаем интерфейс клиента:
    ssh -p $MKT_SSH -i $BOX_SSHKEY backup@$MKT_ADDR \
     "/interface ovpn-client add connect-to=$OVPNSRV_ADDR port=$OVPNSRV_PORT add-default-route=no auth=sha1 mode =ip certificate=2ARC_CLNT disabled=no user=clnt password=\"\" name=2arc profile=default"
  7. Cервер должен пинговаться с микротика. В логах сервера вы должны увидеть "историю" успешного подключения.

Собственно все, удачи в администрировании! 

Вернуться в список статей