Debian linux openvpn server es mikrotik kliens

Fórumok

Sziasztok!

Debian alatt felhuztam egy openvps szervert a debian openvpn wiki alapjan. Elkeszultek a certifikatok.

A wikihez kepest annyi a difi, hogy tcp4 protoval inditok, mert ipv6ra nincs szuksegem es mikrotik csak tcp kezeli az openvpnt. 

A certiket beimportaltam a mikrotikbe (feltoltes es importalas, jelszoval/usernamemel). Elinditom az openvpn szervert, tortenik csatlakozas, de mikrotik oldalon azt irja, hogy no ip address provided.

A server oldalon a tunel server es client ipjet megadom, de valamiert nem megy at.

Nezegettem leirasokat, de relevans megoldast nem talaltam.

Valakinek van otlete?

Koszonon

A

Hozzászólások

Szerkesztve: 2020. 06. 15., h - 07:57

Nálam a következő konfiggal működik egy Mikrotik kliens:

user nobody
group nogroup
mlock

proto tcp-server

key /etc/openvpn/vpn-server.key
cert /etc/openvpn/vpn-server.pem
ca /etc/openvpn/root-ca.pem
verify-x509-name "John Doe" name
remote-cert-tls client
duplicate-cn
dh /etc/openvpn/dh2048.pem
cipher AES-256-CBC

float
lport 1234

dev tap
ifconfig 10.0.14.254 255.255.255.248
mode server
tls-server
ifconfig-pool 10.0.14.249 10.0.14.253 255.255.255.248
push "route-gateway 10.0.14.254"
passtos

script-security 3
auth-user-pass-verify /bin/true via-env

keepalive 5 20
ping-timer-rem
persist-tun
persist-key

Mert a Mikrotik mindenáron felhasználónév/jelszót is akar küldeni :-)

 

Disclaimer: egy külsős cég kapcsolódik így hozzánk, magát a Mikrotiket sose láttam/nem én üzemeltetem, csak a leírások és a júzer visszajelzései alapján sakkoztam ki, hogy mi kell neki Linux oldalon.

Köszönöm!

Így működik. tunnak nem, tapnak mintha menne.

Viszont a különböző userekhez különböző IP-t szeretnék.

Még túrok:)

 

Köszönöm mégegyszer!

Így működik. tunnak nem, tapnak mintha menne.

 

A Mikrotik nagyon válogatós, csak ezt az üzemmódot támogatja, én is sokat szórakoztam, mire elindult :-)

Viszont nem teljesen jó a konfig, egy "duplicate-cn" még hiányzott belőle (átszerkesztettem). Ha az nincs benne, akkor egy júzert csak egyszer enged be, és fölöslegesen foglalod az IP cím tartományt.

 

Viszont a különböző userekhez különböző IP-t szeretnék.

 

Ha kihagyod a "verify-x509-name" sort, akkor minden olyan júzert beenged, akinek a root-ca.pem adta ki a tanúsítványát, az IP címet pedig az "ifconfig-pool" tartományból fogja adni nekik.

Megcsináltam az ipp.txt-t, ebből szépen ki is oszt.

De elhalunk MULTI: Outgoing TUN queue full, dropped packet len=115.

Él a kapcsolat, de pingelni nem tudok se innen, se onnan...

A duplicate-cn a pool miatt elméletileg nem kell, legalábbis indításnál warninggal figyelemfelhív.

Még egy, aztán lehet ez nem fontos, hogy interfaceként nem látom tapet...

Oké, tökéletes. Elnézést kérek, gatewayt elírtam :)

Ezer hála és köszönet!