在本文中，我將介紹如何在RouterOS和WSG上網(wǎng)行為管理網(wǎng)關之間使用openvpn組建site-to-site VPN。網(wǎng)絡拓撲圖如下：

本例中，我們把WSG作為openvpn的服務端，RouterOS作為openvpn的客戶端。反過來的配置也基本類似。

1. 開啟OpenVPN服務端

在WSG的OpenVPN服務端中，需要做如下配置：

1. ROS不支持udp，所有這里要選擇tcp的通訊方式。
   

2. ROS只支持用戶名認證模式。

3. 推送路由：服務端的內網(wǎng)網(wǎng)段。

在“賬號管理”中添加vpn用戶，如下圖：

設置該VPN用戶對應的客戶端內網(wǎng)網(wǎng)段。

2. 配置ROS的ovpn client

首先要導入服務端的ca證書，服務端下載的ca證書解壓后有兩個文件ca.crt和ca.key。都需要上傳到ROS中。

在“certificates”中導入這兩個文件。

在interface中新建ovpn client，如下圖：

3. 驗證OpenVPN的連接狀態(tài)。

成功連接后，在RouterOS中可以看到接口的連接狀態(tài)。

在WSG的openvpn狀態(tài)中，也可以看到連接的客戶機狀態(tài)信息。

連接成功后，即可互相ping通，但是到對端內網(wǎng)IP的訪問，還會收到防火墻策略的控制。需要允許對端的防火墻訪問內網(wǎng)。請參考：http://wiki.imfirewall.com/Firewall_for_vpn