Lab 1 - messerdos/suri-labs GitHub Wiki

В данной работе вам необходимо создать защищенный туннель между Mikrotik CHR и Fedora Server в составе всей системы на базе ПО VirtualBox.

  1. Необходимо установить Mikrotik ROS. Скачайте и импортируйте данный образ в VirtualBox. Начальная конфигурация MikroTik:
/ip address add interface=ether1 address=172.16.0.254/24 
/ip address add interface=ether2 address=172.25.0.254/24 
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 
/ip dns 
set allow-remote-requests=yes 
set servers=8.8.8.8 
/system ntp client set server-dns-names=time.google.com
  1. Установка Fedora Server выходит за рамки данной работы. Студентам необходимо это сделать самостоятельно.

Установка пакета openvpn:

dnf install openvpn
  1. Также для данных машин необходимо настроить виртульные интерфейсы как на примере ниже
cd ./easy-rsa/easyrsa3/ && ./easyrsa init-pki &&
./easyrsa build-ca &&
./easyrsa gen-req server nopass && ./easyrsa gen-req client nopass &&
./easyrsa sign-req server server && ./easyrsa sign-req client client &&
./easyrsa gen-dh

Введите пароль и запомните его, он вам потребуется в дальнейшем. 5. Конфигурация MikroTik как впн-сервера. Загрузка и импорт необходимых файлов.

/certificate import passphrase="your_strong_password" file-name=ca.crt 
/certificate import passphrase="server_key_pass_or_blank" file-name=server.crt
/certificate import passphrase="server_key_pass_or_blank" file-name=server.key
/ppp secret add name=vagrant password=vagrant service=any disabled=no local-address=192.168.16.5 remote-address=192.168.16.6

Последняя строка создает аккаунт впн пользователя и ассоциирует с ним некоторый ип адрес.

  1. Установка openvpn client на Fedora Server. Необходимо скопировать ключи и сертификаты в папку /etc/openvpn/client. И отредактировать конфигурационный файл как представлено ниже.
client
proto tcp
dev tun
remote 172.25.0.254 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun

ca /etc/openvpn/client/ca.crt
cert /etc/openvpn/client/client.crt
key /etc/openvpn/client/client.key

auth-user-pass /etc/openvpn/client/auth.cfg
remote-cert-tls server

cipher AES-256-CBC
verb 3

Файл /etc/openvpn/client/auth.cfg должен содержать username:password акканута впн пользователя на MikroTik.

  1. Добавление опенвпн в автозапуск и его старт.
systemctl enable -f openvpn@client
systemctl start openvpn@client

Проверьте соединение и перезапустите сервер для финальной проверки преподавателем.