L2 OpenVPN через Mikrotik как клиент и Centos server

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Ответить
vadims06
Сообщения: 3
Зарегистрирован: 12 сен 2017, 16:06

Здравствуйте,
задача - поднять L2 VPN с микротика до сервера OVPN. На данный момент не получается установить OpenVPN Соединение с микротика до сервере, на микротике лишь логи о could not connect

#cat server.conf
proto tcp
dev tap
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
dh /etc/openvpn/keys/dh2048.pem
ifconfig-pool-persist ipp.txt
server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
server-bridge
client-to-client
keepalive 10 120
auth sha1
cipher BF-CBC
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
log-append /var/log/openvpn.log
verb 9

/interface ovpn-client
add certificate=mikrotik-###.crt_0 cipher=aes256 connect-to=#.#.#.#[Centos Public Address] mac-address=02:9D:C4:37:1E:7F mode=ethernet name=ovpn-out1 \
password=none port=1701 user=none

И микротик и сервер сидят за NAT с соотствующим пробросом портов TCP, порт OpenVPN-a, а в логах микротика видна попытка обмена ключами по ISAKMP, но на серый адрес Centos сервера... это несколько смущает. Хотя если он о нем узнал, значит все-таки первоначально достучался ведь до него
time=00:51:06 topics=ovpn,info message="ovpn-out1: initializing..."
time=00:51:06 topics=ovpn,info message="ovpn-out1: connecting..."
time=00:51:06 topics=ovpn,debug message="ovpn-out1: disconnected "
time=00:51:06 topics=ovpn,info message="ovpn-out1: terminating... - could not connect"
time=00:51:06 topics=ovpn,info message="ovpn-out1: disconnected"
time=00:51:07 topics=ipsec,debug,packet message="460 bytes from MIKROTIK_LOCAL_IP[500] to CENTOS_PRIVATE_IP[500]"
Буду благодарен за наводку


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

на centos укажите в конфиге
local <локальный адрес на ETH интерфейсе >
и перезапустите сервер .

Это если сентось сервер , не сильно понял кто к кому стучится :-)


vadims06
Сообщения: 3
Зарегистрирован: 12 сен 2017, 16:06

Vladimir22 писал(а):на centos укажите в конфиге
local <локальный адрес на ETH интерфейсе >
и перезапустите сервер .

Это если сентось сервер , не сильно понял кто к кому стучится :-)


Владимир,
строчка local есть ( я не стал указывать её здесь).
Стучаться должен микротик до сенсос-а, в принципе это так и происходит, по крайней мере в логах микротика видно, что он пытается обменяться ключами, но почему то на серый IP сентоса, который само собой за НАТом


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

а логи сервера что говорят ?!
у меня тоже , на серый , но у меня телефон в ломашнюю сеть ломится :-)


vadims06
Сообщения: 3
Зарегистрирован: 12 сен 2017, 16:06

Vladimir22 писал(а):а логи сервера что говорят ?!
у меня тоже , на серый , но у меня телефон в ломашнюю сеть ломится :-)

Tue Sep 12 09:55:33 2017 us=990763 push_ifconfig_local = 0.0.0.0
Tue Sep 12 09:55:33 2017 us=990773 push_ifconfig_remote_netmask = 0.0.0.0
Tue Sep 12 09:55:33 2017 us=990781 push_ifconfig_ipv6_defined = DISABLED
Tue Sep 12 09:55:33 2017 us=990815 push_ifconfig_ipv6_local = ::/0
Tue Sep 12 09:55:33 2017 us=990825 push_ifconfig_ipv6_remote = ::
Tue Sep 12 09:55:33 2017 us=990834 enable_c2c = ENABLED
Tue Sep 12 09:55:33 2017 us=990842 duplicate_cn = DISABLED
Tue Sep 12 09:55:33 2017 us=990850 cf_max = 0
Tue Sep 12 09:55:33 2017 us=990859 cf_per = 0
Tue Sep 12 09:55:33 2017 us=990867 max_clients = 1024
Tue Sep 12 09:55:33 2017 us=990875 max_routes_per_client = 256
Tue Sep 12 09:55:33 2017 us=990884 auth_user_pass_verify_script = '[UNDEF]'
Tue Sep 12 09:55:33 2017 us=990892 auth_user_pass_verify_script_via_file = DISABLED
Tue Sep 12 09:55:33 2017 us=990901 auth_token_generate = DISABLED
Tue Sep 12 09:55:33 2017 us=990909 auth_token_lifetime = 0
Tue Sep 12 09:55:33 2017 us=990917 port_share_host = '[UNDEF]'
Tue Sep 12 09:55:33 2017 us=990925 port_share_port = '[UNDEF]'
Tue Sep 12 09:55:33 2017 us=990934 client = DISABLED
Tue Sep 12 09:55:33 2017 us=990942 pull = DISABLED
Tue Sep 12 09:55:33 2017 us=990951 auth_user_pass_file = '[UNDEF]'
Tue Sep 12 09:55:33 2017 us=990962 OpenVPN 2.4.3 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/P
KTINFO] [AEAD] built on Jun 21 2017
Tue Sep 12 09:55:33 2017 us=990989 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.06
Tue Sep 12 09:55:33 2017 us=991204 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on
its own IP address that is different from what the LAN adapter was previously set to
Tue Sep 12 09:55:34 2017 us=1934 Diffie-Hellman initialized with 2048 bit key
Tue Sep 12 09:55:34 2017 us=2661 Failed to extract curve from certificate (UNDEF), using secp384r1 instead.
Tue Sep 12 09:55:34 2017 us=2687 ECDH curve secp384r1 added
Tue Sep 12 09:55:34 2017 us=2860 TLS-Auth MTU parms [ L:1655 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Tue Sep 12 09:55:34 2017 us=3196 TUN/TAP device tap0 opened
Tue Sep 12 09:55:34 2017 us=3225 TUN/TAP TX queue length set to 100
Tue Sep 12 09:55:34 2017 us=3263 Data Channel MTU parms [ L:1655 D:1450 EF:123 EB:411 ET:32 EL:3 ]
Tue Sep 12 09:55:34 2017 us=3294 Could not determine IPv4/IPv6 protocol. Using AF_INET
Tue Sep 12 09:55:34 2017 us=3319 Socket Buffers: R=[87380->87380] S=[16384->16384]
Tue Sep 12 09:55:34 2017 us=3357 Listening for incoming TCP connection on [AF_INET]CENTOS_PRIVATE_IP:1701
Tue Sep 12 09:55:34 2017 us=3385 TCPv4_SERVER link local (bound): [AF_INET]CENTOS_PRIVATE_IP:1701
Tue Sep 12 09:55:34 2017 us=3395 TCPv4_SERVER link remote: [AF_UNSPEC]
Tue Sep 12 09:55:34 2017 us=3411 MULTI: multi_init called, r=256 v=256
Tue Sep 12 09:55:34 2017 us=3446 IFCONFIG POOL: base=10.8.0.50 size=51, ipv6=0
Tue Sep 12 09:55:34 2017 us=3466 IFCONFIG POOL LIST
Tue Sep 12 09:55:34 2017 us=3544 MULTI: TCP INIT maxclients=1024 maxevents=1028
Tue Sep 12 09:55:34 2017 us=3639 Initialization Sequence Completed


Ответить