OpenVPN (linux server) and Mikrotik router client

Обсуждение на тему выбора оборудования
Ответить
alexdefo
Сообщения: 1
Зарегистрирован: 14 май 2013, 11:32

Добрый день.

у нас есть RouterBOARD 750UP
хотим протестировать следующую схему:
в качестве OpenVPN сервера - linux дистр (с OpenVPN server), а в качестве клиентов - использовать роутеры Mikrotik.

подскажите - есть ли подобные мануалы? есть ли примеры работы? "подводные камни" и т.д.?

P.S. попробовали на одном из дистрибьютивов (zentyal, который имеет OpenVPN севрер), но тщетно.


asket
Сообщения: 31
Зарегистрирован: 06 май 2013, 20:31

Такая схема вполне работоспособна, но только надо учесть несколько нюансов-
1. Работает только протокол TCP
2. Сжатие трафика (LZO) не работает
3.pkcs12-сертификаты не подойдут, нужно ложить оба сертификата (сервера и клиента) и клиентский ключ отдельно- если у Вас аутентификация по сертификатам.
4. Обязательно подключите SNTP-без правильного времени аутентификация по сертификатам не работает.

А в целом- все то же самое
У меня все работает, могу дать готовые конфиги сервера и клиента(схема с аутентификацией по сертификатам, режим точка-многоточка).


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

asket писал(а):А в целом- все то же самое
У меня все работает, могу дать готовые конфиги сервера и клиента(схема с аутентификацией по сертификатам, режим точка-многоточка).



Было бы замечательно.


asket
Сообщения: 31
Зарегистрирован: 06 май 2013, 20:31

server.conf для линуксового openvpn-сервера

Код: Выделить всё

port 1220 # порт на котором ждем подключения
proto tcp # работаем только по TCP!
dev tap1  #устройство виртуального моста
log /var/log/telemetrik1.log  #лог. обязательно
server-bridge 10.9.0.4 255.255.255.0 10.9.0.128 10.9.0.254   #ip для моста.
auth MD5  #тип аутетификации
ca /etc/openvpn/voip/ca.crt  #корневой сертификат СА
cert /etc/openvpn/voip/vpn.crt  #сертификат сервера
dh /etc/openvpn/voip/dh1024.pem # диффи-хэллман
key /etc/openvpn/voip/vpn.key    # ключ сервера
tls-server                                #указываем что tls инициализируется со стороны сервера
cipher BF-CBC                             #шифруемся блофишем
mssfix 1450                              #обязательно прибиваем гвоздями  MSS во избежание  MTU Black Hole
script-security 2                         #разрешаем исполнение пользовательских скриптов


на микротике сначала ставим правильное время, лучше всего с помощью SNTP-клиента (правильная timezone тоже нужна!). Портируем сертификат клиента. Он портируется со статусом "untrusted".Ковертируем ключ клиента из .key в .pem (процедура описана на вики микротика). Портируем ключ клиента. Сертификат получает статус "подписан". Портируем корневой сертификат CA (ca.crt). Сертификат получает "подтвержден".
Создаем подключение

Код: Выделить всё

/interface ovpn-client
add auth=md5 certificate=cert1 connect-to=_ip_сервера_  disabled=no mode=ethernet name=tap0 password=_неважно_ port=1220 user=_неважно_

логин и пароль неважны, если аутентификация по сертификату.
включаем, наслаждаемся. Вы собрали эзернет-линк. Теперь поднимаете на нем VLAN-интерфейсы, вешаете на них нужные вам адреса и пишете маршруты (если хотите L3-туннелирование) или же тупо сбриджуйте с нужными портами- получите виртуальный прямой провод.


Ответить