Mikrotik OpenVPN

Hálózatok általános

Hello

Eleg sok manual van a neten arra, hogy hogyan lehet osszekapcsolni ket routert OpenVPNen, ahogy az is, mikent lehet Mikrotik router OpenVPN server kliense.
Ami nekem nem sikerul, hogy a Mikrotik OpenVPN server, a kliens pedig egy szamitogep OpenVPN klienssel.

Van valaki akinel ez mukodik ?

Elore is koszonom.

  • 8197 megtekintés

milyen munkaállomás/distro? hogyan próbálkoztál idáig? logok mit mondanak?

kliens oldalra ezek kellenek [akármilyen névvel is lettek illetve]:
ca.crt: the ca certificate
client.crt: the users certificate
client.key: the users private key
ta.key: tls authentication [1]

akár a NetworkManager-openvpn -el is kapcsolódhatsz [nm-applet, /GNOME/ VPN], beállítható egy pipával, h. automatikusan kapcsolódjon, szintén grafikus felületen pedig az, hogy hol vannak a fent említett fileok

sz*phatsz esetleg azzal [legalábbis én szívtam vele], hogy az SELinux nem engedi a klienseknek [ilyesmit keress a logokban] h. csatlakozzanak, mármint ha pl.: a kliens oldali distron fentvan az SELinux, akkor:
restorecon -Rv ~/.cert*
másold a kulcsokat a .cert mappába, utána futtasd le az előbbi parancsot, és próbálj újra csatlakozni

Kozben kuzdottem a dologgal, es mukodik ezzel a konfiguracioval.

Windows munkaallomasoknak kell tudnia felcsatlakozni.

Ez a klienskonfiguracio :

client
remote 172.16.1.1 1194

proto tcp
dev tun
nobind

port 1194

ca ca.crt
cert client.crt
key client.key

cipher AES-256-CBC

resolv-retry infinite
user nobody
group nogroup

persist-key
verb 3
auth-user-pass
auth-nocache

route-up "route add 192.168.0.0 mask 255.255.255.0 10.0.0.33"

Ez pedig a log :
Fri Mar 11 21:23:42 2011 NOTE: --user option is not implemented on Windows
Fri Mar 11 21:23:42 2011 NOTE: --group option is not implemented on Windows
Fri Mar 11 21:23:42 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Fri Mar 11 21:23:49 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Mar 11 21:23:49 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Mar 11 21:23:49 2011 Control Channel MTU parms [ L:1559 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Mar 11 21:23:50 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Mar 11 21:23:50 2011 Data Channel MTU parms [ L:1559 D:1450 EF:59 EB:4 ET:0 EL:0 ]
Fri Mar 11 21:23:50 2011 Local Options hash (VER=V4): '5cb3f8dc'
Fri Mar 11 21:23:50 2011 Expected Remote Options hash (VER=V4): '898ae6c6'
Fri Mar 11 21:23:50 2011 Attempting to establish TCP connection with 172.16.1.1:1194
Fri Mar 11 21:23:50 2011 TCP connection established with 172.16.1.1:1194
Fri Mar 11 21:23:50 2011 TCPv4_CLIENT link local: [undef]
Fri Mar 11 21:23:50 2011 TCPv4_CLIENT link remote: 172.16.1.1:1194
Fri Mar 11 21:23:50 2011 TLS: Initial packet from 172.16.1.1:1194, sid=70060864 e2fb8b88
Fri Mar 11 21:23:50 2011 VERIFY OK: depth=1, /C=HU/ST=VE/L=Balatonfured/O=AdWare_Research/CN=servername/emailAddress=info@adwareresearch.com
Fri Mar 11 21:23:50 2011 VERIFY OK: depth=0, /C=HU/ST=VE/O=AdWare_Research/CN=servername/emailAddress=info@adwareresearch.com
Fri Mar 11 21:23:50 2011 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Mar 11 21:23:50 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Mar 11 21:23:50 2011 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Mar 11 21:23:50 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Mar 11 21:23:50 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Mar 11 21:23:50 2011 [servername] Peer Connection Initiated with 172.16.1.1:1194
Fri Mar 11 21:23:52 2011 SENT CONTROL [servername]: 'PUSH_REQUEST' (status=1)
Fri Mar 11 21:23:57 2011 SENT CONTROL [servername]: 'PUSH_REQUEST' (status=1)
Fri Mar 11 21:24:02 2011 SENT CONTROL [servername]: 'PUSH_REQUEST' (status=1)
Fri Mar 11 21:24:02 2011 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.0 255.255.255.0,ifconfig 10.0.0.34 10.0.0.33'
Fri Mar 11 21:24:02 2011 OPTIONS IMPORT: --ifconfig/up options modified
Fri Mar 11 21:24:02 2011 OPTIONS IMPORT: route options modified
Fri Mar 11 21:24:02 2011 ROUTE default_gateway=172.16.0.1
Fri Mar 11 21:24:02 2011 TAP-WIN32 device [Local Area Connection 3] opened: \\.\Global\{3B6685F0-4008-4080-AC08-A0EECEDFE30B}.tap
Fri Mar 11 21:24:02 2011 TAP-Win32 Driver Version 9.7
Fri Mar 11 21:24:02 2011 TAP-Win32 MTU=1500
Fri Mar 11 21:24:02 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.34/255.255.255.252 on interface {3B6685F0-4008-4080-AC08-A0EECEDFE30B} [DHCP-serv: 10.0.0.33, lease-time: 31536000]
Fri Mar 11 21:24:02 2011 Successful ARP Flush on interface [20] {3B6685F0-4008-4080-AC08-A0EECEDFE30B}
Fri Mar 11 21:24:08 2011 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Fri Mar 11 21:24:08 2011 C:\WINDOWS\system32\route.exe ADD 10.0.0.0 MASK 255.255.255.0 10.0.0.33
Fri Mar 11 21:24:08 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Mar 11 21:24:08 2011 Route addition via IPAPI succeeded [adaptive]
Fri Mar 11 21:24:08 2011 Initialization Sequence Completed

Ami kerdeskent felmerul, hogy ha tobb kliens felkapcsolodik, hogy kapnak majd eltero IPket, leven a usernek amit letrehoztam nem adtam meg IPt, illetve a route-up szabaly nem hajtodik vegre, vagyis bar letrejon a VPN, de a forgalom tovabbra is az Interneten szeretne menni.
Persze ha kezzel hozzaadom a route-ot, akkor jol mukodik, de ennek automatikusan kellene lennie, hiszen ha GUIrol kapcsolodnak majd fel, nem lesz aki meg route parancsokat futtasson, es nem en fogom hasznalni a klienst.

a kliens oldalon van akkor a gond, h. ott nem fut le a howto-ban említett:
route-up "route add 192.168.0.0 mask 255.255.255.0 10.0.0.33"?
nem került be esetleg a sorba felesleges char, ami miatt nem fut le?

ha más a cert, más ip-t kapnak automatikusan, esetleg generáld az egyik kliens cuccait re, adj a klienseknek más nevet kulcsgeneráláskor

miért nem udp? ha dos-olnak jobban bírná udp mellett a plusz terhelést + http://sites.inka.de/bigred/devel/tcp-tcp.html

remélem segítettem, de ha már úgy látszik senki se openvpn-ezik a hup-on, akkor:
http://unix.stackexchange.com/

A sor pont igy van ahogy van. Olvastam olyan DD-WRTs leirasokat, miszerint ez valami OpenVPN hiba, ami egy adott verziotol nincsen. Most RouterOS3-al probalom, de letesztelem a hetvegen a 4essel is, lehet hogy attol megszunik a hiba.

Csinalok akkor majd megegy klienscertet, csak amiatt merult fel bennem a kerdes, mert a /interface ovpn-server server beallitasban megadott profile rogziti a poolt, igy per user nem latom mikepp mukodne, de majd meg ezt is tesztelem egyidejuleg tobb userrel.

Azt olvastam a RouterOS manualban, hogy csak a TCP csatlakozast tamogatja. De akkor ezt majd szinten letesztelem :)
A Linuxos OpenVPN servereimen mindenhol UDPt hasznalok en is, es az OpenVPN is ezt javasolja inkabb.

(Ha nem OpenVPNeznek, akkor vajon mit hasznalnak ? Mindenki Cisco VPNt ?)