Проброс openvpn через роутер

Create a Port Forward for OpenVPN in your Router

Here is a list of the ports that need to be forwarded for OpenVPN:

OpenVPN — PC

Forward Ports for OpenVPN

You may need to forward ports in your router when you use OpenVPN. By forwarding ports you allow connection requests coming from the internet to be directed to OpenVPN.

Routers do not generally allow incoming connection requests from the internet. A port forward can overcome this limitation.

Before You Forward a Port

You need to know the following things before you can forward a port:

  • Your router’s IP address.
  • Your computer’s internal IP address.
  • A list of TCP and UDP ports that need to be forwarded.

Find Your Router’s IP Address

We have free Router Detector software to help you find your router’s IP address. Our Router Detector tool is free to use and is part of our Network Utilities software.

If you do not want to run the software, you can follow our Find Your Router IP Address guide.

How To Forward Ports for OpenVPN

A smart way to forward your ports is to use Network Utilities. Since Network Utilities allows you to both forward and un-forward ports easily you can keep your network security maximized, and then forward ports only when you need them.

Port forwarding can also be set up step-by-step by hand. The process for forwarding a port is:

  • Begin by logging in to your router.
  • Look for the port forwarding section in your router.
  • Put your computer’s IP address in the proper box in your router.
  • Put the TCP and UDP ports for OpenVPN in the corresponding boxes in your router.

Usually you have to reboot your router in order to save the changes.

You can choose your router from our list to see exactly how to forward ports for OpenVPN:

List of Routers — Customized for OpenVPN

That’s all it takes to forward your ports for OpenVPN.

More From Portforward

eFootball featuring Lionel Messi

Port Forwarding for eFootball

Forwarding some ports for eFootball in your router can enable you to connect with more players and help improve connections.

Читайте также:  Как настроить дополнительный маршрутизатор

Thumbnail for Stellaris

Port Forwarding on Your Router for Stellaris

Forwarding some ports can help improve your online connections and make it easier to play Stellaris with others.

Thumbnail for Overwatch

NAT Type Open in Overwatch

Overwatch is much more stable with an open port. Also if you never ever win then maybe you should read this.

Thumbnail for MultiVersus

Port Forwarding for MultiVersus

You can help improve your online connections in MultiVersus by forwarding some ports for it in your router.

Madden NFL 24 game cover artwork featuring Josh Allen

Forwarding Ports for Madden NFL 24 on Your Router.

Forward some ports in your router to help improve connections and connect with more players in Madden NFL 24.

Thumbnail for Star Wars: Battlefront II (2017)

Forwarding Ports in Your Router for Star Wars: Battlefront II (2017)

Forward some ports to help make it easier to connect with others and improve your connections in Star Wars: Battlefront II (2017).

Capcom Fighting Collection artwork featuring fighters from the various games

How to Forward Ports in Your Router for Capcom Fighting Collection

Forwarding some ports for Capcom Fighting Collection can help improve connections and make it easier to play with others.

Thumbnail for Temtem

Forward Ports on Your Router for Temtem

Forwarding some ports for Temtem in your router can help improve connections and provide a smoother online experience.

Источник

Настройка OpenVPN на Ubuntu Server для подключения клиентом Mikrotik

Обновлено

Обновлено: 08.03.2023 Опубликовано: 27.06.2022

В данной инструкции мы рассмотрим настройку сервера OpenVPN на Ubuntu и конфигурирование Mikrotik для подключения по VPN.

Настройка сервера OpenVPN

Мы настроим наш сервер, чтобы он слушал на нестандартном порту OpenVPN — 443. Откроем порт в брандмауэре:

* если мы будем использовать другой порт, меняем его на соответствующий. Также необходимо обратить внимание на протокол tcp. Необходимо использовать именно его, так как Mikrotik не поддерживаем UDP для подключения к OpenVPN. Для сохранения правил используем утилиту iptables-persistent:

* где openvpn — сам сервер и клиента OpenVPN; easy-rsa — утилита для создания сертификатов. Создаем каталог, в котором разместим готовые сертификаты для OpenVPN:

export KEY_COUNTRY=»RU»
export KEY_PROVINCE=»Sankt-Petersburg»
export KEY_CITY=»Sankt-Petersburg»
export KEY_ORG=»DMOSK COMPANY»
export KEY_EMAIL=»master@dmosk.ru»
export KEY_CN=»DMOSK»
export KEY_OU=»DMOSK»
export KEY_NAME=»name-openvpn-server.dmosk.ru»
export KEY_ALTNAMES=»name-openvpn-server»

* данные значения могут быть любыми, но лучше их задать осмысленно. Для удобства. Рассмотрим процесс формирования сертификата с использованием RSA3 пошагово. 1. Инициализируем PKI:

* nopass можно упустить, если хотим повысить безопасность с помощью пароля на сертификат. На запрос «Common Name» можно просто нажать Enter:

port 443
proto tcp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh.pem
server 172.16.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
max-clients 32
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 20
daemon
mode server
cipher BF-CBC

  • port — сетевой порт (443 позволит избежать проблем при использовании Интернета в общественных местах, но может быть любым из свободных. Порт 1194 является стандартным для OpenVPN).
  • proto — используемый транспортный протокол.
  • dev — виртуальный сетевой адаптер, который будет создан для работы OpenVPN.
  • ca — путь до сертификата корневого центра сертификации.
  • cert — путь до открытого сертификата сервера.
  • key — путь до закрытого сертификата сервера.
  • dh — путь до ключа Диффи — Хеллмана.
  • server — задаем IP-адрес сервера в сети VPN.
  • ifconfig-pool-persist — путь к файлу для хранения клиентских IP-адресов.
  • keepalive X Y — каждые X секунд отправляется ping-запрос на удаленный узел. Если за Y секунд не получено ответа — перезапускать туннель.
  • max-clients — максимум одновременных подключений.
  • persist-key — не перезагружать ключи при повторной загрузки из-за разрыва соединения.
  • persist-tun — не изменять устройства tun/tap при перезапуске сервера.
  • status — путь до журнала статусов.
  • log-append — путь до файла лога с дополнительным выводом информации.
  • verb — уровень логирования событий. От 0 до 9.
  • mute — ограничение количества подряд отправляемых в лог событий.
  • daemon — работа в режиме демона.
  • mode — в каком режиме работает openvpn (сервер или клиент).
  • cipher — тип шифрования. В нашем примере это blowfish 128.
Читайте также:  Нужно ли покупать роутер при подключении интернета ростелеком

Создадим каталог для логов:

Разрешаем автоматический старт сервиса vpn и перезапускаем его:

systemctl enable openvpn@server

systemctl restart openvpn@server

Настройка OpenVPN-клиента (Mikrotik)

Сертификат должен быть сформирован на сервер, после чего перенесен на микротик. Рассмотрим процесс подробнее.

На сервере

Создадим каталог, куда поместим сертификаты для обмена:

* сертификаты будут скопированы в каталог /tmp для удобства их переноса на компьютер.

Переходим в каталог easy-rsa:

Создаем сертификат для клиента:

./easyrsa build-client-full client1 nopass

* в данном примере будет создан сертификат для узла client1 (название может быть любым).

Вводим пароль, который указывали при создании корневого сертификата:

Enter pass phrase for /etc/openvpn/easy-rsa/pki/private/ca.key:

Скопируем ключи во временную директорию:

cp pki/issued/client1.crt pki/private/client1.key pki/ca.crt /tmp/keys/

* название client1 зависит от имени сертификата, который мы ему дали при создании.

Разрешим доступ на чтение каталога с ключами всем пользователям:

Переносим данный каталог с ключами на компьютер, с которого мы будем настраивать Mikrotik. Это можно сделать с помощью различных утилит, например WinSCP.

Подключаемся к роутеру Mikrotik. Это можно сделать с помощью веб-браузера или специальной программы Winbox. Мы рассмотрим вариант с использованием последней.

Заходим в настройки роутера — переходим в раздел Files — кликаем по Upload и выбираем наши 3 сертификата:

Переходим к загрузке файлов в Mikrotik

Кликаем по OK. Нужные нам файлы окажутся на роутере.

Переходим в SystemCertificates:

Переходим к сертификатам в микротике

Кликаем по Import:

Импортируем сертификаты в микротик

* импорт делаем именно в такой последовательности.

Теперь переходим в раздел PPP — создаем новое соединение OVPN Client:

Открываем панель добавления соединения по OpenVPN

На вкладке Dial Out настраиваем наше соединение:

Пример настройки клиента OpenVPN

  • Connect To — адрес сервера OpenVPN, к которому должен подключиться Mikrotik.
  • Port — порт, на котором слушает OpenVPN.
  • User — учетная запись для авторизации. Мы не настраивали проверку пользователя, но без указания данного поля Mikrotik не даст сохранить настройку.
  • Certificate — выбираем сертификат, который импортировали на Mikrotik.
  • Auth — алгоритм криптографического хеширования, который должен использоваться для подключения.
  • Chiper — криптографический алгоритм шифрования.
  • Add Default Route — если поставить данную галочку, все запросы в другую подсети (Интернет) должны пойти через VPN соединение.
Читайте также:  Huawei 5573 роутер мобильный

Нажимаем OK — наш роутер должен подключиться к серверу.

Настройка доступа к сети Интернет через сервер VPN

Для того, чтобы наш сервер VPN мог раздавать Интернет подключившимся к нему устройствам, выполняем несколько действий.

sysctl -p /etc/sysctl.d/gateway.conf

Добавляем фаервольные правила. Как правило, управление брандмауэром netfilter в Linux на базе Debian выполняется с помощью утилиты iptables.

Настройка выполняется из расчета, что сеть Интернет настроена через интерфейс ens3:

iptables -t nat -I POSTROUTING -o ens3 -j MASQUERADE

iptables -I FORWARD -i tun0 -o ens3 -m state —state RELATED,ESTABLISHED -j ACCEPT

iptables -I FORWARD -i tun0 -o ens3 -j ACCEPT

Предполагается, что tun0 используется для VPN сети (данное имя присваивается серверу OpenVPN по умолчанию), а ens3 — внешней. Посмотреть имена интерфейсов можно командой:

Сохраняем настройки iptables:

apt-get install iptables-persistent

Настройка анонимности

В сети есть различные порталы для проверки анонимности. Например, сайты whoer или 2ip. Приведем некоторые настройки для получения 100%-го результата.

1. Отключение icmp. По времени ответа на ping можно определить отдаленность клиента от прокси. Чтобы проверку нельзя было выполнить, отключаем на сервере icmp.

sysctl -p /etc/sysctl.d/icmp.conf

2. Настройка MTU.

Для решения проблем с VPN fingerprint, на стороне сервера добавляем 2 опции:

systemctl restart openvpn@server

Проброс портов (Port Forwarding)

Необходим для перенаправление сетевых запросов на Mikrotik, стоящий за VPN.

Настройка выполняется двумя командами:

iptables -t nat -I PREROUTING -p tcp -i ens3 —dport 80 -j DNAT —to-destination 172.16.10.6:80

iptables -I FORWARD -p tcp -d 172.16.10.6 —dport 80 -m state —state NEW,ESTABLISHED,RELATED -j ACCEPT

* где ens3 — внешний сетевой интерфейс. 172.16.10.6 — IP-адрес роутера Mikrotik, который он получит после подключения.

Не забываем сохранить правила:

Читайте также

Другие полезные инструкции на тему VPN:

Источник

Оцените статью
Adblock
detector