OpenVPN

Обсуждение ПО и его настройки
yoshimura727
Сообщения: 4
Зарегистрирован: 22 авг 2017, 13:45

Добрый день. В Микротике я плохо соображаю, нужна ваша помощь.
Как я понял, OpenVPN на микротике делается по щелчку пальцев, да видимо пальцы кривые, не суть.
Пересмотрел много разных статей, везде все и всегда по разному, либо от версии зависит, либо от фантазии пользователя, в общем, кто как смог, так и делал.
WinBox v6.39.1 on RB1100AHx2
Если нужна еще какая либо инфа, сообщите пожалуйста.
Рассчитываю на вашу помочь.

Все делал по данной статье https://adminbook.click/nastrojka-mikro ... tifikatov/
За исключением некоторых значений, использовал свои обозначения, типа имена сертификатов, и на моменте "/certificate sign cert-CA ca-crl-host=127.0.0.1 name="itsp-CA" - использовал будущий адрес сервера OpenVPN (192.168.30.1)
В предыдущих попытках, оставлял 127.0.0.1, ошибка была идентична.
Маршрутов и адреслистов пока что не было прописано, так как в статье о них нет информации, делал все пошагово, если это влияет, прошу помочь их прописать правильно.
________________________
Ошибка в логе Микротика
Изображение

Изображение
________________________
Профайл и сервер
Изображение Изображение
________________________
Создан Pool
Изображение
________________________
Конфигурация пользователя
Изображение


Agent Smit
Сообщения: 71
Зарегистрирован: 26 апр 2017, 13:10

На mikrotik в firewall input порт 1194 разрешен?
Какая версия клиента OpenVPN?
Попробуйте потестировать еще вместо режима ip режим ethernet, тогда на клиенте надо поменять настройки с dev tun на dev tap


yoshimura727
Сообщения: 4
Зарегистрирован: 22 авг 2017, 13:45

Agent Smit писал(а):На mikrotik в firewall input порт 1194 разрешен?
Какая версия клиента OpenVPN?
Попробуйте потестировать еще вместо режима ip режим ethernet, тогда на клиенте надо поменять настройки с dev tun на dev tap

Правила есть. Туда и сюда.
Версия клиента самая актуальная.
Изменение режима шлюза или туннеля не помогает.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Смотрите, я на винде клиентов не настраивал, поэтому конфиги не знаю как там настраивать. Но настраивая конфигурацию OpenVPN-сервера на VPS Debian , уяснил для себя несколько определяющих моментов -
* в Микротике протокол UDP не поддерживается, все надо только через TCP делать
* в Микротике LZO-компрессия не поддерживается, это тоже надо учитывать
* в Микротике TLS-аутентификация не поддерживается, не включаем и не используем.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
yoshimura727
Сообщения: 4
Зарегистрирован: 22 авг 2017, 13:45

podarok66 писал(а):Смотрите, я на винде клиентов не настраивал, поэтому конфиги не знаю как там настраивать. Но настраивая конфигурацию OpenVPN-сервера на VPS Debian , уяснил для себя несколько определяющих моментов -
* в Микротике протокол UDP не поддерживается, все надо только через TCP делать

Это тоже под вопросом, есть ли смысл ждать 7 ось, если там будет похожая настройка или она все-таки будет выглядеть иначе? В плане легче?
* в Микротике TLS-аутентификация не поддерживается, не включаем и не используем.

Тогда я не знаю какую статью мне нужно найти. Официально, мне микросы ответили, на вопрос РАБОЧАЯ инструкция по настройке OVPN, статьей на хабре https://habrahabr.ru/post/269679/
Выходит, что эта статья рабочая, но не для клиентов OpenVPN на Windows? Помогите мне ааа
* в Микротике LZO-компрессия не поддерживается, это тоже надо учитывать

Про компрессию, мне не понятно, как она работает и зачем нужна, вроде как, она у меня отключена в профайле


Agent Smit
Сообщения: 71
Зарегистрирован: 26 апр 2017, 13:10

Рабочий конфиг на клиенте:

client
dev tun если используется режим ip
dev tap если используется режим Ethernet
proto tcp-client
remote сервер openvpn 1194
tls-client
tls-cipher TLS-RSA-WITH-AES-256-CBC-SHA
auth SHA1
resolv-retry infinite
nobind
persist-key
persist-tun
ca cert_CA.crt
cert cert.crt
key cert.key
auth-user-pass user-pwd.txt
askpass password.txt
verb 3
route 192.168.100.0 255.255.255.0
route-delay 5


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Хотя сейчас просмотрел Вики, строка о TLS authentication из неработающего в OpenVPN исчезла. Снимаю данный пункт


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Agent Smit
Сообщения: 71
Зарегистрирован: 26 апр 2017, 13:10

Кто-нибудь пробовал настраивать openvpn клиент на ios или android?
У нас не получилось указанный выше конфиг на смартфонах.


yoshimura727
Сообщения: 4
Зарегистрирован: 22 авг 2017, 13:45

Agent Smit писал(а):Рабочий конфиг на клиенте:

Пробовал, не работает. Что я только с этими конфигами не делал.


Agent Smit
Сообщения: 71
Зарегистрирован: 26 апр 2017, 13:10

А какую ошибку клиент пишет?


Ответить