首先要在mikrotik 新建CA, 但你若照mikrotik 官網下指令, 沒法供openvpn service加解密使用..
所以流程是, 你按它指令先新建,然後到GUI上,在下SIGN指令前,把其它加密功能選上..
下完上面截圖紅框內那行指令,你在GUI上的KEY USAGE只看到兩項被勾選, 現在把其它全部勾選上
全勾選上之後,再接著按官方MANUAL下指令接著執行
如此便完成CA建置, 只是提醒在SIGN之前,除了勾選用途, 最好把DAY VALID也改一下, 它內定是365天, 我試著改成7200,但它會自動縮減到五千多也就是15年有效期
記住,必須在SIGN之前改,SIGN了後就沒法改了..
我設7200,但實際它只允許到5285天, 也可能因不同ROUTEROS版本有差異,我這版反正是如此..
說了老半天,終於到建置OPENVPN環節
首先你要先設定一個POOL, 供OPENVPN的IP使用的網段
如果公司有AD, 可以透過RADIUS SERVER來做AD帳密的登入 這里要指向你公司內部的RADIUS SERVER
然後在認證選項上(下方截圖紅框), 勾選使用use radius做為認證
接著你要建立一個profile, 將LOCAL指向你剛才POOL的網段,比如你POOL是10.101.101.10-10.101.101.200好了,這是讓撥入的OPENVPN用戶拿到的IP網段範圍
那麼你這里的LOCAL ADDRESS就要設定成10.101.101.1, 當然你要設成10.101.101.254也行,重點是別和POOL里重覆到,即POOL內的IP範圍你不能拿來用,
而remote address要設成你剛才新建的POOL
然後點擊OVPN SERVER,準備啟用OPENVPN服務
將ENABLE勾選,然後要選擇剛才建立的CA(你若不先建立CA, 這里即便勾選了ENABLE,它也無法啟用), 然後記得default profile那里要勾選剛才建立的
OVPN PROFILE. 否則你撥入的用戶,會無法取得你的OPENVPN網段IP而失敗.
設定完畢後, 用手機來上VPN試試, (當然用電腦,筆電也成)
用手機撥入VPN後, 可以在管理界面上看到VPN CLIENT拿到的IP是10.252.252.192
看看手機拿到的IP便是10.252.252.192
