Для безопасного удаленного подключения к месту установки рекомендуется использовать либо ZeroTier, либо создать VPN туннель к маршрутизатору. Можно сделать прямой VPN туннель от LogicMachine к внешнему маршрутизатору Mikrotik по протоколу OpenVPN.
Конфигурация маршрутизатора Mikrotik (на основе этого примера)
Создайте все шаблоны сертификатов (срок действия 10 лет).
certificate
add name=ca-template common-name=example.com days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign
add name=server-template common-name=*.example.com days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=client-template common-name=client.example.com days-valid=3650 key-size=2048 key-usage=tls-clientСозданные сертификаты потребуют подписи
/certificate
sign ca-template name=ca-certificate
sign server-template name=server-certificate ca=ca-certificate
sign client-template name=client-certificate ca=ca-certificateДля этого нужно экспортировать несколько файлов. Это должно дать Вам три файла:
cert_export_ca-certificate.crt,
cert_export_client-certificate.crt
cert_export_client-certificate.key
/certificate
export-certificate ca-certificate export-passphrase=""
export-certificate client-certificate export-passphrase=12345678Загрузите созданные файлы на свой компьютер (перетащите из Winbox -> Files)
Далее нужен отдельный пул IP-адресов для клиентов. Предположим, что у вас есть клиенты в какой-то другой сети (например, 192.168.1.x), и эта новая сеть предназначена только для VPN.
/ip
pool add name="vpn-pool" ranges=192.168.8.10-192.168.8.99Создайте отдельный профиль PPP. Предполагается, что маршрутизатор Mikrotik будет DNS-сервером для клиентов. Замените имя/пароль правильными значениями. Локальный адрес должен быть из того же диапазона адресов, что и пул IP-адресов для OpenVPN.
/ppp
profile add name="vpn-profile" use-encryption=yes local-address=192.168.8.250 dns-server=192.168.8.250 remote-address=vpn-pool
secret add name=user profile=vpn-profile password=passwordНаконец, можно включить интерфейс сервера OpenVPN:
/interface ovpn-server server
set default-profile=vpn-profile certificate=server-certificate require-client-certificate=yes auth=sha1 cipher=aes128,aes192,aes256 enabled=yesКонфигурация клиента OpenVPN на LogicMachine
Убедитесь, что ваш LM работает с прошивкой, равной или новее, чем 20200116. Настройки OpenVPN находятся в конфигурация системы –> Services –> клиенте OpenVPN.
Обязательно используйте имя пользователя/пароль, которые вы создали в секретном каталоге Mikrotik /ppp. В конфигурационный файл вставьте содержимое трех файлов сертификатов, которые вы скачали с маршрутизатора Mikrotik. Пожалуйста, обратите внимание, что указан правильный общедоступный IP-адрес маршрутизатора Mikrotik.
