ovpn-client mikrotik и Сервер на Ubuntu

Обсуждение ПО и его настройки
Ответить
artemich61
Сообщения: 1
Зарегистрирован: 19 мар 2022, 15:49

Господа , всем привет. Вообщем решил я развернуть ovpn клиента на микроте. Суть такая: есть у меня сервер на убунте , который генерит мне клиентские "профиля" путем баш скрипта ( openvpn-install.sh ). Он весьма популярный. выглядит примерно так:

Welcome to OpenVPN-install!
The git repository is available at: https://github.com/angristan/openvpn-install
It looks like OpenVPN is already installed.
What do you want to do?
1) Add a new user
2) Revoke existing user
3) Remove OpenVPN
4) Exit
Select an option [1-4]:

При его помощи он сам создает пользака , и предоставляет мне уже готовый профиль подключения для программы open-vpn. С программой на винде все окей Внутри этого профиля конечно есть сертификаты. Внутри сам профиль OVPN выглядит так. (Сертификаты сократил чтоб текста было меньше )

client
proto tcp-client
remote 777.777.777.777 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_2OonN4xkoO2bpScg name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
<ca>
-----BEGIN CERTIFICATE-----
MIIBwDCCAWegAwIBAgIJAM4GaSVX0lQpMAoGCCqGSM49BAMCMB4xHDAaBgNVBAMM
ld8V9sMYVxt9WcIxcbXZRrqrCNM=
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
MIIBzzCCAXWgAwIBAgIRAMwnhnWutnNVUMZy63qIHCkwCgYIKoZIzj0EAwIwHjEc
qwIgPnr2m2Rd+N/3ZRdNWjFyJdiSc7L6dqo0V9jSeN03rDg=
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQg7e0Lv6vL8q6xCjuV
bSx+Dy9G8I/kWF/GI7aDE6ic9+ihRANCAAQiAuJwxsBlSDaTalxP2wNsx6qwTaii
bvJvga8ckJY2uY8xGCcFqGqZizXxwH4xrHr04y0HHL93L4fLXmTDlO4d
-----END PRIVATE KEY-----
</key>
<tls-crypt>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
a16131c230f0a9336f779f23a8ec7539
291fb61db13081f08256bfb522af9be8
-----END OpenVPN Static key V1-----
</tls-crypt>

Отсюда и вопрос: могу ли используя эти сертификаты прикрутить их к микроту? Увы мануалов мало на эту тему , поэтому прошу помощи у вас.
Заранее спасибо


svetogor82
Сообщения: 154
Зарегистрирован: 17 апр 2014, 10:44

кто вам мешает импортировать эти сертификаты на mikrotik ?


Mikuser01
Сообщения: 3
Зарегистрирован: 20 дек 2021, 23:13

Отличный скрипт, но у меня микротик к нему не подключается, только винда. Микротик ругается на tls и рвет соединение. У вас получилось?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Скрипт, вещь отличная. Вроде как избавляет от необходимости вникать. Но в случае с Микротиком это только во вред получается. Тут всё дело в том, что в RouterOs все эти тонкости не в полной мере подключены. И поэтому лучше сервер ставить ручками, server.conf выписывать руками, с пониманием каждого пункта. У меня сервер для своих нужд имеет OpenVPN-сервер в своём составе. Там такая конфигурация

Код: Выделить всё

port 1194
proto tcp
dev tun
ca .keys/ca.crt
cert .keys/server.crt
key .keys/server.key  
dh .keys/dh1024.pem
server 10.9.0.0 255.255.255.0
client-config-dir .ccd
client-to-client
keepalive 10 120
tun-mtu 1500
mssfix 1450
cipher AES-256-CBC  
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log  /var/log/openvpn.log
verb 3
mute 10
Конечно, надо учитывать, что у меня Микрот пока не переводился на 7 версию программного обеспечения. Поэтому proto tcp, по другому 6 версия не умеет. И шифрование там 1024-битное, но это скорее потому, что я немного ретроград. В остальном всё работает. А вот всякие дополнительные способы шифрования и работы сервера я бы избегал включать, может не работать.
Что ещё... А, тут пришлось спешно переносить сервер на новую площадку, бэкап не прокатил. Поэтому ставил с нуля. Так вот, ключи, созданные в самом OpenVPN-server не подходили. После пары часов копания плюнул. Пришлось в openssl всё делать. Если столкнётесь, пишите, поделюсь готовыми командами. Уже с нормальным 2048-битным ключем Диффи-Хелмана и 4096-битными ключами RSA. Проверено, всё работает.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Mikuser01
Сообщения: 3
Зарегистрирован: 20 дек 2021, 23:13

podarok66 писал(а): 22 мар 2022, 19:16 Скрипт, вещь отличная. Вроде как избавляет от необходимости вникать. Но в случае с Микротиком это только во вред получается. Тут всё дело в том, что в RouterOs все эти тонкости не в полной мере подключены. И поэтому лучше сервер ставить ручками, server.conf выписывать руками, с пониманием каждого пункта. У меня сервер для своих нужд имеет OpenVPN-сервер в своём составе. Там такая конфигурация

Код: Выделить всё

port 1194
proto tcp
dev tun
ca .keys/ca.crt
cert .keys/server.crt
key .keys/server.key  
dh .keys/dh1024.pem
server 10.9.0.0 255.255.255.0
client-config-dir .ccd
client-to-client
keepalive 10 120
tun-mtu 1500
mssfix 1450
cipher AES-256-CBC  
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log  /var/log/openvpn.log
verb 3
mute 10
Конечно, надо учитывать, что у меня Микрот пока не переводился на 7 версию программного обеспечения. Поэтому proto tcp, по другому 6 версия не умеет. И шифрование там 1024-битное, но это скорее потому, что я немного ретроград. В остальном всё работает. А вот всякие дополнительные способы шифрования и работы сервера я бы избегал включать, может не работать.
Что ещё... А, тут пришлось спешно переносить сервер на новую площадку, бэкап не прокатил. Поэтому ставил с нуля. Так вот, ключи, созданные в самом OpenVPN-server не подходили. После пары часов копания плюнул. Пришлось в openssl всё делать. Если столкнётесь, пишите, поделюсь готовыми командами. Уже с нормальным 2048-битным ключем Диффи-Хелмана и 4096-битными ключами RSA. Проверено, всё работает.
Спасибо за ответ. Я думал, что микротик уже умеет openvpn UDP - поэтому его и настраивал. Вероятно проблема в этом.
Подскажите как отключить логи OVPN? боюсь диск в 10Гб они быстро забьют) и где их можно посмотреть?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Я бы совсем логи не отключал. Проще и правильнее настроить ротацию. Пусть хотя бы недельные хранятся. При сбое это может очень помочь. Инструкций в сети море.
Mikuser01 писал(а): 22 мар 2022, 20:15 Я думал, что микротик уже умеет openvpn UDP
Семёрка умеет, я просто не перешел на нее. Выжидаю.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить