OpenVPN已經(jīng)被轉(zhuǎn)移到各種平臺(tái)，包括 Linux和 Windows，RouterOS在 v3.x支持 OpenVPN ，你需要通過(guò)安裝和啟用 ppp功能包。在 RouterOS平對(duì) OpenVPN僅支持tcp方式，udp方式不支持。 在 Windows你需要另外的 GUI，系統(tǒng)中允許你在 windows系統(tǒng)中安裝客戶端，你可以到OpenVPN GUI下載http://www.openvpn.se/download.html . OpenVPN要求與 SSL證書(shū)一起工作，你需要生成一個(gè)證書(shū)，一般可以通過(guò) linux安裝 OpenVPN功能包后生成，或者通過(guò)http://cacert.org 網(wǎng)站申請(qǐng) 

25.1 OVPN配置

OVPN 服務(wù)器配置，首先要導(dǎo)入證書(shū)，否則 OVPN 與客戶端是無(wú)法連接的，我們可以從網(wǎng)上下載已有的證書(shū)或者自己通過(guò)已經(jīng)安裝 OVPN的 linux系統(tǒng)生成新的證書(shū)，這里我們根據(jù)已有的證書(shū)進(jìn)行操作，如下圖：

導(dǎo)入完成后，在 file list可以看到證書(shū)

選擇 system certificates證書(shū)，并導(dǎo)入 crt和 key文件

點(diǎn)擊 import導(dǎo)入ca.crt文件

用同樣的方式，導(dǎo)入 ca.key文件，在當(dāng)前目錄下的項(xiàng)目出現(xiàn)了 KR的前綴，表示已經(jīng)導(dǎo)入 key并運(yùn)行

剩下的步驟就是啟用 OVPN服務(wù)，選擇 enable啟用 OVPN服務(wù)，并選擇 certificate為 cer1，其他參數(shù)默認(rèn)配置，當(dāng)然端口你可以自己選擇，這里默認(rèn)是 1194

配置完成如下：

注：require-client-certificate這里如果選擇上了，客戶端同樣也要導(dǎo)入相同的證書(shū)OVPN服務(wù)器配置完成后，配置相應(yīng)的規(guī)則，需要配置地址池192.168.10.2-192.168.10.254，用于分配給用戶的 IP地址

進(jìn)入 ppp profile設(shè)置規(guī)則 local-address=192.168.10.1和 remote-address=OVPN

進(jìn)入 ppp secret添加用戶賬號(hào)

到此 OVPN服務(wù)器配置完成

接下來(lái)我們需要在另外一臺(tái)路由器配置 OVPN客戶端，如下面的拓?fù)鋱D，將 2臺(tái)路由建立 OVPN連接：

根據(jù)以上拓?fù)鋱D我們假設(shè)以下網(wǎng)絡(luò)環(huán)境：

通過(guò)這兩個(gè) WAN地址建立 OVPN的互聯(lián)，我們?cè)?span lang="EN-US"> OVPN Client建立 ovpn-client撥號(hào)，打開(kāi) PPP， 在 interface里點(diǎn)加號(hào)，選擇 ovpn-client

打開(kāi)后，選擇 Dial-out，設(shè)置 Connect-to=10.200.15.228，user=123，password=123，其他參數(shù)默認(rèn)

確定后，連接 OVPN服務(wù)器，服務(wù)器連接狀態(tài)如下，顯示 DR前綴

OVPN Client顯示前綴 R，表示連接成功

25.2 OVPN bridge模式

通過(guò)RouterOS提供的隧道bridge功能和OVPN的ethernet模式實(shí)現(xiàn)將兩個(gè)遠(yuǎn)程網(wǎng)絡(luò)建立二層的隧道透?jìng)鬟B接，我們依然用之前的網(wǎng)絡(luò)結(jié)構(gòu)，如下圖：

這里我們需要將 OVPN Server和OVPN Client的模式修改為ethernet

在 bridge中添加一個(gè)橋配置

進(jìn)入 ports選擇，將 ether2-lan口添加入橋里

回到 ppp profile里設(shè)置 default-encryption的 bridge選項(xiàng)設(shè)置為剛才我們添加的 bridge1

設(shè)置完成后，我們建立 OVPN Client與 OVPN Server的連接，在 bridge的 port里，我們可以看到123賬號(hào)的連接在 port被自動(dòng)添加

這樣 OVPN Server的 ether2-lan內(nèi)網(wǎng)口和 ovpn-123隧道在同一個(gè)橋里

OVPN Client設(shè)置

修改 ovpn-out1的 mode為 ethernet模式

在 OVPN Client端同樣配置橋接，進(jìn)入 bridge后添加一個(gè)橋取名為bridge1，并在 port里將內(nèi)網(wǎng)網(wǎng)卡ether2-lan和，ovpn-out1接口手動(dòng)添加到 bridge1里，如下圖