Как настроить OpenVPN на Mikrotik (RouterOS)

Зайти в веб-интерфейс роутера и залогиниться. Пароль можно найти на стикере, который поставляется вместе с роутером.

Перейти в раздел Files, нажать Browse, выбрать и загрузить OpenVPN конфиг. Конфиги лежат в архиве, который можно скачать в личном кабинете на сайте securevpn.pro. Загрузить можно любой конфиг из архива, в дальнейшем конфиг нужен для извлечения сертификата.

Перейти в раздел System - Certificates, нажать кнопку Add New.

Указать произвольное имя, выбрать ранее загруженный сертификат, нажать кнопку Import.

В результата мы получим 2 сертификата. Нужно запомнить Name и Common Name у KT сертификата.

Пейрейти в раздел Interfaces, нажать Add New - OpenVPN Client.

Заполнить поля следующим образом:

• Connect To - сервер подключения, список серверов можно найти в архиве подписки
• Port - порт подключения, указать 443
• User - ввести Common Name с шага 5. Также имя подписки можно получить из readme.txt, который лежит в архиве с подпискойи
• Certificate - выбрать Name с шага 5
• Auth - указать sha1
• Cipher - указать aes256
• Add default route - автоматическое добавление маршрута, отметить включенным

Нажать Apply, и убедиться, что статус подключения Status: connected.

Перейти в раздел IP - Firewall, во вкладку NAT, нажать Add New.

Выбрать в поле Out. Interface созданный на шаге 8 интерфейс OpenVPN, в поле Action выбрать masquerade. Нажать кнопку OK. (На скриншоте остальные опции убраны для удобства)

Если тип вашего подключения к интернет-провайдеру PPPoE, следует перейти во вкладку Interfaces, нажать на строку интерфейса с типом PPPoE Client.

Указать для Default Route Distance значение 10, нажать на кнопку OK.

Если тип вашего подключения к интернет-провайдеру IPoE, следует перейти в раздел IP -> Routes. Наверху списка маршрутов мы видим два маршрута с Dst. Address 0.0.0.0/0. Первый маршрут для нашего VPN трафика и он не активен, на что указывает отсутствие буквы A в строке DS. Также нужно убедиться, что для этого маршрута в поле Gateway указано reachable. Второй маршрут страндартный, и он активен, на что указывает буква A в строке DAS. Для того, чтобы наш трафик шел через VPN, нужно понизить приоритет стандартного маршрута, установив ему Distance в 10. Для этого нужно запомнить адрес шлюза, указанного в Gateway. На скриншоте адрес шлюза 192.168.10.1, у вас он может отличаться. Далее следует нажать на кнопку Add New.

В Gateway указываем адрес шлюза с предыдущего шага, в Distance указываем 10, ждем кнопку OK.

Видим, что в таблице маршрутов у нас появилось два одинаковых маршрута с отличающимися полями Distance. Удаляем маршрут с Distance 1, нажав на кнопку “-”.