Страница 1 из 2

сертификат для openVPN

Добавлено: 05 мар 2013, 14:08
vitaly
Здравствуйте!

Может найдется, кто подскажет ответ на следующий вопрос ?

Пытался настроить openVPN на mikrotik (routerOS, 6.0rc11).
Так и не смог создать сертификат для openVPN.

Наша фирма собирается покупать сертификат для домена.
Вопрос следующий, подойдет ли этот сертификат для openVPN ? Если да, то какого класса он нужен ?

Спасибо!

Re: сертификат для openVPN

Добавлено: 05 мар 2013, 14:19
simpl3x
для начала смените ros на 5.24. 6 ветка это не релиз, к использованию не рекомендована. на какой то из версий (толи 9, толи 10) были проблемы с сертификатами, может до сих пор не докрутили.

по остальным вопросам пас. не работал, не знаю. может здесь найдёте ответ: http://wiki.mikrotik.com/wiki/OpenVPN#Certificates

Re: сертификат для openVPN

Добавлено: 05 мар 2013, 14:28
vitaly
simpl3x писал(а):для начала смените ros на 5.24. 6 ветка это не релиз, к использованию не рекомендована. на какой то из версий (толи 9, толи 10) были проблемы с сертификатами, может до сих пор не докрутили.

Согласен, но routerOS 6.0 уже стоял на рутере (был куплен пару месяцев назад CCR1036-12G-4S).
Боюсь, что не получится откатиться до 5 версии..

Re: сертификат для openVPN

Добавлено: 05 мар 2013, 14:37
simpl3x
а, у вас CCR, тогда да, без вариантов.
я бы попробовал тогда виртуалку, на ней развернуть те настройки которые у вас не запускаются, если там заведется, значит ждите релиз или мучайте саппорт миркотика

Re: сертификат для openVPN

Добавлено: 05 мар 2013, 14:50
vitaly
simpl3x писал(а):а, у вас CCR, тогда да, без вариантов.
я бы попробовал тогда виртуалку, на ней развернуть те настройки которые у вас не запускаются, если там заведется, значит ждите релиз или мучайте саппорт миркотика

А кстате, немного не по теме, но не хочется создавать лишнюю ветку..
Попробовал настроить L2TP /IPsec, при попытке коннекта из вне, рутер перезагружется.
log:
system,error,critical router was rebooted without proper shutdown

Нормально ли такое поведение рутера ? Или это может быть из-за неправильных настроек?

Re: сертификат для openVPN

Добавлено: 05 мар 2013, 15:27
simpl3x
=) ну это не нормальное поведение - 100%
еще раз повторюсь, 6.0rcХХ не стабильная ветка, если почитаете англоязычный форум, узнаете много интересного про нее и про CCR в частности. у нас например две таких железки, функционал примерно одинаковый, нагрузка примерно одинаковая. у одного уже 1.5 месяца аптайм, другой лежит на столе и ждёт звёздного часа, потому что под нагрузкой зависал каждые 3-4 часа. ждите релиз 6 версии или обращайтесь в support@mikrotik.com. прилагайте настройки, описание и supout.rif

Re: сертификат для openVPN

Добавлено: 05 мар 2013, 16:25
vitaly
simpl3x писал(а):=) ну это не нормальное поведение - 100%
еще раз повторюсь, 6.0rcХХ не стабильная ветка, если почитаете англоязычный форум, узнаете много интересного про нее и про CCR в частности. у нас например две таких железки, функционал примерно одинаковый, нагрузка примерно одинаковая. у одного уже 1.5 месяца аптайм, другой лежит на столе и ждёт звёздного часа, потому что под нагрузкой зависал каждые 3-4 часа. ждите релиз 6 версии или обращайтесь в support@mikrotik.com. прилагайте настройки, описание и supout.rif


Спасибо
В суппорт написал ещё в пятницу.. Получил автоматический ответ(тот, что приходит сразу).. и всё. :)

Re: сертификат для openVPN

Добавлено: 05 мар 2013, 16:50
simpl3x
=) я вам еще посоветую на форум им продублировать, с указание номер тикета ) нам они после этого моментально отвечали. а вообще, у них там наверное завал, уже две недели нет нового релиз-кандидата 6 версии, видимо пашут.
кстати, у них есть еще не публикуемая версия 6, лежит она скромно в паблике:
http://www.mikrotik.com/download/share/ ... .0rc12.npk
там нет всех пакетов, только основные, не знаю входит ли туда openvpn, но можете попробовать её. по их словам они её собирают по решению каких ключевых проблем каждый день.

Re: сертификат для openVPN

Добавлено: 05 мар 2013, 17:23
vitaly
simpl3x писал(а):=) я вам еще посоветую на форум им продублировать, с указание номер тикета ) нам они после этого моментально отвечали. а вообще, у них там наверное завал, уже две недели нет нового релиз-кандидата 6 версии, видимо пашут.
кстати, у них есть еще не публикуемая версия 6, лежит она скромно в паблике:
http://www.mikrotik.com/download/share/ ... .0rc12.npk
там нет всех пакетов, только основные, не знаю входит ли туда openvpn, но можете попробовать её. по их словам они её собирают по решению каких ключевых проблем каждый день.

Эх.. подожду до офф. обновления.. А на форум придется написать ))
Ещё раз спасибо за помощь.

Re: сертификат для openVPN

Добавлено: 11 мар 2013, 15:45
vitaly
С созданием собственного сертификата помог совет с англоязычного форума.
у меня была проблема со значением CN

при создании ca.key значение может быть любым (FQDN, NETBIOS)
при создании server.key значение -> IP адрес сервера
при создании client.key значение может быть любым (FQDN, NETBIOS)

создавал по wiki: http://wiki.mikrotik.com/wiki/Manual:Create_Certificates

Может кому поможет.