在本文中,我將介紹如何在RouterOS和WSG上網行為管理網關之間使用openvpn組建site-to-site VPN。網絡拓撲圖如下:
本例中,我們把WSG作為openvpn的服務端,RouterOS作為openvpn的客戶端。反過來的配置也基本類似。
1. 開啟OpenVPN服務端
在WSG的OpenVPN服務端中,需要做如下配置:
- ROS不支持udp,所有這裡要選擇tcp的通訊方式。
- ROS只支持用戶名認證模式。
- 推送路由:服務端的內網網段。
在“賬號管理”中添加vpn用戶,如下圖:
設置該VPN用戶對應的客戶端內網網段。
2. 配置ROS的ovpn client
首先要導入服務端的ca證書,服務端下載的ca證書解壓後有兩個文件ca.crt和ca.key。都需要上傳到ROS中。
在“certificates”中導入這兩個文件。
在interface中新建ovpn client,如下圖:
3. 驗證OpenVPN的連接狀態。
成功連接後,在RouterOS中可以看到接口的連接狀態。
在WSG的openvpn狀態中,也可以看到連接的客戶機狀態信息。
連接成功後,即可互相ping通,但是到對端內網IP的訪問,還會收到防火牆策略的控制。需要允許對端的防火牆訪問內網。請參考:http://wiki.imfirewall.com/Firewall_for_vpn
分享到:
閱讀更多 笨驢技術 的文章
