На днях приобрел новый роутер, и решил настроить на нем OpenVPN клиент, чтобы смотреть turbofilm на телевизоре без ограничений. Очень долго искал нормальную инструкцию в интернете, не найдя полностью удовлетворяющей меня, начал творить сам.

Требования я поставил себе простые:

• Openvpn должен всегда быть запущен на роутере, но ходить через него только на определенный набор сайтов
• Простота добавления новых сайтов в список

Настройка сервера

Итак, в связи с тем что OpenVPN-клиент роутера не поддерживает шифрование, а так же UDP соединение, необходимо на сервере изменить некоторые настройки:

1. Закомментировать строку (если таковая есть) comp-lzo
2. Если стояло proto udp, соответственно нужно переключить на tcp
3. Так же рекомендую использовать dev tun, хоть это и не критично в данном случае

Настройка роутера

Открываем интерфейс или winbox и первым делом загружаем на роутер клиентский сертификат и ключ. Если desctop-у для подключения требуется три файла ca.crt, клиентский сертификат и ключ, то роутеру нужны только два последних.

Затем, импортируем сертификат и ключ, для этого идем System->Certificates и жмем кнопку Import.
Первым нужно иvпортировать файл crt, после этого файл key. В итоге key присоединиться к уже созданному сертификату.

После создания сертификата, идем в Interface, Add New -> OVPN Client

Name — можно переименовать интерфейс
Connect To — адрес сервера
Port — порт сервера
Mode — если у вас dev tun, то ip, если же dev tap — ethernet.
User — обязательно нужно что-нибудь указать, без разницы что именно.
Password — можно не заполнять
Certificate — выбрать созданный ранее сертификат
Auth — sha1
Cipher — blowfich 128
А так же поставьте галочку «Add Default Route»

Если вы делаете все через WebFig, то рекомендую снять галочку "enabled", если же через winbox, то нажмите кнопку «Disabled» и согласитесь в сплывающем окне на сохранение введенных значений.
Жмем ОК.

Открываем IP->Firewall->Nat->Add New
Chain: srcnat
Out. Interface: выбираем созданный нами в предыдущем шаге интерфейс (у тех, кто не переименовал интерфейс называется ovpn-out1)
Action — masquerade
Жмем ОК.

Открываем IP->Firewall->Address List
Тут Вы можете добавлять любое количество сайтов, которые будем перенаправлять в OpenVPN.
Для этого жмем Add New, если впервые делаем то вводим название, например OpenVPN, если уже делали ранее, то просто выбираем из списка.
В поле address нужно вставить ip ресурса на который будем ходить через vpn.
Чтобы определить полный диапазон, т.к. некоторые ресурсы занимают все же более одного ip, *nix системе, в терминале:
host turbik.tv
На что мы получим строку: turbik.tv has address 46.165.200.35

Далее выполняем whois 46.165.200.35 в результате чего получаем большую портянку, в которой ищем, примерно в середине строчку вида: route: 46.165.192.0/18
Как раз то, что нам и надо. Вставляем 46.165.192.0/18 в поле Address и жмем Ок.

Давай те сразу добавим еще один ip. Жмем Add New, выбираем в поле Name наш список, и в поле Address вставляем 77.72.80.15. Это ip-адрес сайта myip.ru, чтобы мы могли удостовериться что все работает.

Открываем IP->Firewall->Mangle->Add New
Chain — prerouting
Dst. Address List — выбираем созданный нами список
Action — mark routing
New Routing Mark — любая метка, советую что-то типа OVPN или OpenVPN
Passthrough — галочку советую поставить, но это на ваше усмотрение
Жмем ОК.

Открываем IP->Routes->Add New
Dst. Address — оставляем как есть 0.0.0.0/0
Gateway — выбираем созданный нами, в первом шаге, интерфейс
Type — оставляем unicast
Routing Mark: — выбираем метку, которую создали в предыдущем шаге
Жмем ОК.

Вот в общем и все.
Идем в интерфейсы и включаем наш интерфейс. Смотрим в Log что все прошло нормально.
Пробуем в браузере открыть myip.ru, если открывается, то смотрим на наш ip. Он должен отличаться от вашего родного, а родной можно узнать например тут: internet.yandex.ru/