在本文中,我将介绍如何在RouterOS和WSG上网行为管理网关之间使用openvpn组建site-to-site VPN。网络拓扑图如下:
本例中,我们把WSG作为openvpn的服务端,RouterOS作为openvpn的客户端。反过来的配置也基本类似。
1. 开启OpenVPN服务端
在WSG的OpenVPN服务端中,需要做如下配置:
- ROS不支持udp,所有这里要选择tcp的通讯方式。
- ROS只支持用户名认证模式。
- 推送路由:服务端的内网网段。
在“账号管理”中添加vpn用户,如下图:
设置该VPN用户对应的客户端内网网段。
2. 配置ROS的ovpn client
首先要导入服务端的ca证书,服务端下载的ca证书解压后有两个文件ca.crt和ca.key。都需要上传到ROS中。
在“certificates”中导入这两个文件。
在interface中新建ovpn client,如下图:
3. 验证OpenVPN的连接状态。
成功连接后,在RouterOS中可以看到接口的连接状态。
在WSG的openvpn状态中,也可以看到连接的客户机状态信息。
连接成功后,即可互相ping通,但是到对端内网IP的访问,还会收到防火墙策略的控制。需要允许对端的防火墙访问内网。请参考:http://wiki.imfirewall.com/Firewall_for_vpn
分享到:
閱讀更多 笨驢技術 的文章
