在本文中，我将介绍如何在RouterOS和WSG上网行为管理网关之间使用openvpn组建site-to-site VPN。网络拓扑图如下：

本例中，我们把WSG作为openvpn的服务端，RouterOS作为openvpn的客户端。反过来的配置也基本类似。

1. 开启OpenVPN服务端

在WSG的OpenVPN服务端中，需要做如下配置：

1. ROS不支持udp，所有这里要选择tcp的通讯方式。
   

2. ROS只支持用户名认证模式。

3. 推送路由：服务端的内网网段。

在“账号管理”中添加vpn用户，如下图：

设置该VPN用户对应的客户端内网网段。

2. 配置ROS的ovpn client

首先要导入服务端的ca证书，服务端下载的ca证书解压后有两个文件ca.crt和ca.key。都需要上传到ROS中。

在“certificates”中导入这两个文件。

在interface中新建ovpn client，如下图：

3. 验证OpenVPN的连接状态。

成功连接后，在RouterOS中可以看到接口的连接状态。

在WSG的openvpn状态中，也可以看到连接的客户机状态信息。

连接成功后，即可互相ping通，但是到对端内网IP的访问，还会收到防火墙策略的控制。需要允许对端的防火墙访问内网。请参考：http://wiki.imfirewall.com/Firewall_for_vpn