Настройка OpenVPN-клиента на Mikrotik 750GL.

Обсуждение оборудования и его настройки
Ответить
max_nsk
Сообщения: 1
Зарегистрирован: 10 дек 2012, 07:09

Всем доброго дня! Возникла задача настройки OpenVPN-клиента на Mikrotik 750GL. Пока настройка производится на виртуальной машине (по этой причине все адреса локальные), после всех проверок можно будет переносить на реальную. OpenVPN-сервер настроен на ОС FreeBSD. Конфиги OpenVPN-сервера и OpenSSL выглядят следующим образом:

### openvpn.conf ###

dev tun
local 192.168.10.1
port 1194
proto tcp
server 11.0.0.0.0 255.255.255.0
push "route 11.0.0.0 255.255.255.0"
route 192.168.88.0 255.255.255.0
client-config-dir ccd
client-to-client
tls-server
dh /usr/local/etc/openvpn/dh2048.pem
ca usr/local/etc/openvpn/CA_cert.pem
cert /usr/local/etc/openvpn/certs/server.pem
key /usr/local/etc/openvpn/keys/server.pem
crl-verify /usr/local/etc/openvpn/crl/crl.pem
tls-auth /usr/local/etc/openvpn/ta.key 0
comp-lzo
keepalive 10 120
tun-mtu 1500
mssfix 1450
persist-key
persist-tun
user nobody
group nobody


### openssl.cnf ###

[ ca ]
default_ca = CA_default
[ CA_default ]
dir = /usr/local/etc/openvpn
crl_dir = $dir/crl
database = $dir/index.txt
new_certs_dir = $dir/certs
certificate = $dir/CA_cert.pem
serial = $dir/serial
crl = $dir/crl/crl.pem
private_key = $dir/private/CA_key.pem
RANDFILE = $dir/private/.rand
default_days = 3650
default_crl_days = 365
default_md = md5
unique_subject = yes
policy = policy_any
x509_extensions = user_extensions

[ policy_any ]
organizationName = match
organizationalUnitName = optional
commonName = supplied

[ req ]
default_bits = 2048
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
x509_extensions = CA_extensions

[ req_distinguished_name ]
organizationName = Organization Name (must match CA)
organizationName_default = Company
organizationalUnitName = Location Name
commonName = Common User or Org Name
commonName_max = 64
#name = openvpn
#name_max = 64

[ user_extensions ]
basicConstraints = CA:FALSE

[ CA_extensions ]
basicConstraints = CA:TRUE
default_days = 3650

[ server ]
basicConstraints = CA:FALSE

После настройки связки OpenVPN + OpenSSL с сервера на Mikrotik были перенесены ключи и сертификаты:
CA_cert.pem
Cclient.pem
Kclient.pem
ta.key

Проблема в том, что, похоже, Mikrotik не воспринимает ta.key, т. к. при попытке подключения к серверу на последнем выдаётся ошибка (192.168.10.232 - IP-адрес Mikrotik):

TLS Error: can not locate HMAC in incoming packet from 192.168.10.232
Fatal TLS Error (check_tls_error_co), restarting

Время на клиенте и сервере синхронизировано. Прошу подсказать, в чём может быть дело?
Заранее спасибо.


Ответить