网上很多教程了，但是Routeros使用openvpn over shadowsocks避免使用机场安全隐患中需要一些内容，所以在此简单写一下。

Routeros配置openvpn服务器步骤如下
1，创建根证书
routeros网络配置地址（下同）：/webfig/#System:Certificates.Certificates.new
以下信息根据自己更改，注意证书有效期

保存后点击上图中sign按钮签发证书，成功后会如下图，证书前显示KAT

2，配置openvpn客户端地址池
/webfig/#IP:Pool.Pools.new
如图
3，配置openvpn配置profile
/webfig/#PPP.Profiles.new
填写前三项，其他默认，注意本地地址和地址池尽量在同一网段，远程地址选择上面地址池名

4，配置openvpn服务器
/webfig/#PPP.OVPN_Server
配置以下红圈位置

5，配置openvpn账号
/webfig/#PPP.Secrets.new

需要几个就添加几个

Routeros配置openvpn客户端
/webfig/#PPP.Interface.new.OVPN_Client

2019年底开始翻墙变得越来越难，基础宽带是联通，穿墙线路一直使用的阿里云香港线路在晚上高峰期qos限速，延迟增加，本来200m带宽严重的时候甚至掉到各位数。

这时候不得不考虑一直续费而没用的备用机场了，由于没有出口的控制权，机场理论上来说可以看到所有非加密流量内容，个人对此比较在意，但是又觊觎机场的iplc线路（阿里云cen线路），不受墙影响，不受时间段qos，曾经询问过价格，被每月几万劝退了。

那么退而求其次，利用机场的shadowsocks作外层隧道，使用openvpn或其他tcp的vpn连接gcp的vps，保证本地到出口vps的链路是加密，就既能利用iplc线路又保证安全，唯一问题是tcp over tcp受网络波动影响很大，具体请谷歌之。

下面是使用环境，本地routeros v6，本地openwrt with ShadowSocksR Plus+ ,某阿里云中转机场，gcp香港routeros v6

1，在gcp香港routeros开启openvpn服务器，并打开gcp防火墙相关端口，参考Routeros配置openvpn服务器和客户端
2，配置好openwrt上机场信息，保证能通过机场翻墙
3，本地routeros配置gcp香港服务器ip路由通过openwrt，参考Routeros配置使用openwrt作旁路由
4，配置本地routeros的openvpn客户端，参考Routeros配置openvpn服务器和客户端
5，配置gcp香港routeros通过openvpn回程路由，如果本地routeros使用masquerade等nat时不需要配置，关于masquerade相关参考routeros的默认nat尽量不要用masquerade
6，配置本地routeros的ip分流，参考routeros配置vpn分流大陆ip

先写个坑：设置服务端静态路由后客户端要重新拨号才能生效
分支机构访问总部，可以有两种路由方式，服务端推送路由，客户端自己添加路由
总部访问分支机构，设定客户端为固定ip，服务端设置静态路由，客户端需要重新连接一下静态路由才会生效。