1 前言

一个问题，一篇文章，一出故事。
我们现有RouterOS路由器，我们想实现该路由作为OpenVPN客户端接入VPN内网。

2 最佳实践

2.1 准备服务端

2.1.1 获取证书文件

请确保你有以下OpenVPN服务器端签发的如下证书文件，

ca.crt
will-mm.crt
will-mm.key

如果你没有，请参阅如下章节（重点在“2.5 签发客户端证书”章节），

如何基于Rocky Linux 9.x部署OpenVPN服务端？

2.1.2 修改服务器证书

vim /etc/openvpn/server/tcp.conf

修改如下参数，

cipher AES-128-CBC

参数修改后，你需要重启服务使配置生效，

systemctl restart openvpn-server@tcp.service

2.2 RouterOS路由配置

2.2.1 上传证书到RouterOS路由

如上图所示，
单击【Files】->【Upload】逐个上传证书文件“ca.crt”、“will-mm.crt”和“will-mm.key”

2.2.2 导入证书

如上图所示，
单击【Certificates】->【Import】先导入证书文件“ca.crt”


如上图所示，
单击【Certificates】->【Import】分别操作两次按先后导入证书文件“will-mm.crt”和“will-mm.key”
最后状态应显示如下，

2.2.3 配置OpenVPN客户端

如上图所示，
单击【PPP】->【Add New】->【OVPN Client】并填写如下参数，

Name: openvpn-client
Connect To: openvpn.cmdschool.org
Port: 1194
Mode: ip
User: will-mm
Password: 留空
Certificate: will-mm.crt
Auth: sha1
Cipher: aes128

需要注意的是，如图所示，状态显示”Status:connected”则表示连接成功。

2.2.4 测试OpenVPN连接

[admin@MikroTik] > /ping 10.8.1.1 
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                                                              
    0 10.8.1.1                                   56  64 31ms 
    1 10.8.1.1                                   56  64 31ms 
    2 10.8.1.1                                   56  64 31ms 
    3 10.8.1.1                                   56  64 31ms 
    4 10.8.1.1                                   56  64 31ms 
    sent=5 received=5 packet-loss=0% min-rtt=31ms avg-rtt=31ms max-rtt=31ms 

如上所以，ping测试成功则VPN连接建立。

2.2.5 实现OpenVPN客户端访问RouterOS内网设备

如何实现OpenVPN的客户端访问RouterOS内网？