[MEGOLDVA] mikrotik openvpn server - debian kliens állandó kapcsolat

Debian GNU/Linux

Szia!

Szeretném fixen a házi hálózatomba kötni a VPS-em openvpn-en keresztül.
Openvpn szerver az MT routerem.
Távoli kliens a bérelt VPS (debian 10)
Azt nem tudtam megoldani, hogy a kliens háttérben - állandóan menjen. A kliens konfigjában van az "auth-user-pass <file>" de ennek ellenére minden indulásnál
kéri interaktívan a jelszót. Így nem is megy háttérben. Ergo kell egy puttyban futtatni...

Hogyan lehet háttérben az openvpn kliens? (openvpn --daemon ill. sudo -b nem sikerült - jelszó kérés)

Köszönöm,
Roland
 

  • 395 megtekintés

( theadam | 2021. 08. 07., szo – 18:48 )

Hali!

 

Milyen jelszót kér? Ha a cert-ét, én simán levenném és akkor mehet a háttérben.

TheAdam

( nagylzs v | 2021. 08. 07., szo – 18:53 )

Szerintem ne akarj ilyet. A MikroTik OpenVPN megoldása nem a legjobb. Az egyik nagy hibája, hogy kizárólag TCP-n keresztül működik. Szinte garantált a fragmentálás és magas válaszidő. Plusz amennyire én tudom, hiába van hadware encryption a router-ben, az OpenVPN-nel az nem megy.

Amivel működik és megfelelően gyors az az L2TP és a "sima" IPSEC/IKEv2.

Na persze ha csak arra kell, hogy el tudd érni a szervert egy SSH-n keresztül és tudj benne parancsokat gépelni, akkor okés.

( ncc1701 | 2021. 08. 07., szo – 19:25 )

Én használok ilyesmit, frankón működik. Lehet fikázni az openvpn-t, pár 100-as nagyságrendben használom is, ellentétben az ipsec-el, ez mindig működik, bármilyen natolt hálón, és nekem ez a fontos. Az, h lassabb, meg csak tcp, baromira nem érdekel engem sehol.

Itt a debian oldali kliens config:

client
dev tap
proto tcp-client

<connection>
remote ip 1194
</connection>

resolv-retry infinite
nobind
persist-key
persist-tun
ca ValamiCA.crt
ping 15
ping-restart 45
ping-timer-rem
mute-replay-warnings
verb 3
auth-user-pass Valami-auth.cfg
auth SHA1
cipher BF-CBC
status /etc/openvpn/valami.status 5
status-version 2

 

Az auth fájlba meg bele van verve clear textként az első sorban az user, a másodikban meg a passwd. Mikrotikon tűzfalán meg beállítod, h csak a saját vps-ed forrás címéről engedjen be kapcsolatot.
 

> Az, h lassabb, meg csak tcp, baromira nem érdekel engem sehol.

Ez ugye attól függ, hogy mit szeretnél vele csinálni. A HAP AC2 az például 400 Mbps-t tud L2TP-n, viszont OpenVPN-en nagyjából 2-3 Mbps-t. (!!!) Ezért mondtam, hogy ha management-re kell, vagy valami nagyon kis forgalmú dologra, akkor jó lehet. De ha mondjuk file-okat akarsz rajta másolni, akkor nagyon kerülendő.

Biztos van abban is valami, hogy az OpenVPN minden NAT-on átmegy. De nekem speciel a sima IPSEC/IKEv2 -vel se volt soha ilyen gondom, pedig van olyan ami dupla NAT mögött van. És simán megy.

( roleez | 2021. 08. 07., szo – 21:08 )

Töprengtem és a debianon ki szeretném adni: (hogy mások ne erősködjenek...)

sudo ufw allow from <MT külső címe>

Ám én mobilról is szeretnék belépni, de annak más-más a címe...

( roleez | 2021. 08. 08., v – 11:17 )

az openvpn kliens (debian-on) egy óra kapcsolat után kilép. (tehát nem csak megszakad a kapcsolat)
Ez mitől lehet?

kliens vpn config:

client
dev tun
proto tcp-client
remote x.x.x
port y
nobind
resolv-retry infinite
keepalive 10 60
persist-key
persist-tun
tls-client
remote-cert-tls server
ca ca.crt
cert rolee.crt
key roleewp.key
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
auth-user-pass secret
auth-nocache