Openvpn на vds + клиент на микротике

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

Добрый.
Пытаюсь поднять свой openvpn сервер на vds в Европе. Но ума не хватает. Ubuntu server 18.04 или 16.04. Клиент - микрот.
Плиз поделитесь работающими файлами конфигурации сервера и клиента.
Несколько мануалов перепробовал - не подключается и все.

Благодарю


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Сервер

Код: Выделить всё

port 1194
proto tcp
dev tun
ca .keys/ca.crt
cd /etc/openvpn
cert .keys/server.crt
key .keys/server.key  # This file should be kept secret
dh .keys/dh1024.pem
# topology subnet
server 10.9.0.0 255.255.255.0
client-config-dir .ccd
client-to-client
keepalive 10 120
tun-mtu 1500
mssfix 1450
cipher AES-256-CBC   # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log  /var/log/openvpn.log
verb 3
mute 10
Не забываем создать директорию .ccd и в ней файлы с маршрутизацией под каждого клиента - так клиенты будут получать фиксированные адреса из пула, к ним можно будет подключаться. Например у меня есть маршрутизатор за NAT, к которому мне периодически надо подключатся с телефона. На Маршрутизаторе туннель висит по умолчанию, на телефоне подключаем по необходимости. Зная локальный адрес маршрутизатора в туннеле, подключаемся.

Код: Выделить всё

# Файл dom для маршрутизатора
# Клиентская подсеть за mikrotik (192) и адрес openvpn у роутера (10)
iroute 192.168.88.0 255.255.255.0 10.9.0.2
# Добавим шлюз по умолчанию для машин за микротиком, заодно закрепим адрес.
ifconfig-push 10.9.0.2 10.9.0.1
Клиент - там вообще просто

Код: Выделить всё

/interface ovpn-client
add certificate=dom.crt_0 cipher=aes256 connect-to=***.***.***.*** mac-address=ХХ:ХХ:ХХ:ХХ:ХХ:ХХ name=ovpn-out-1 profile=ovpn user=ovpn
Да что я тут расписываю, вот, года два назад писал, там мало что поменялось, ну может за исключение мелочей https://podarok66.livejournal.com/18134.html


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

Сенк


yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

А где не в Рашке держите свои vds?
А то на одном поднял, а он в рф.

Благодарю


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Милан, Амстердам, Франкфурт-на-Майне, Даллас... Этот конфиг отовсюду работал... Смысл мне в России на vds туннель поднимать? Их же как правило для обхода блокировок настраивают?
Вам что, сложно найти vds в Европе? DigitalOcean имел проблемы, у них был заблокирован огромный пул адресов. Но кроме них есть ещё просто куча других, которых наша дурь не зацепила...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

Добрый.
Подскажите плиз неучу. Поднял я соединение опенвпн клиента на микроте. Далее что в микроте нужно настроить, чтобы клиенты за микротом ходили через впн?

Благодарю


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Маршрут и маскарадинг.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

Нихрена не получается с маршрутизацией.
Плиз, что в конфиге не верно?
Соединение поднимается, маскарадинг на pptp интерфейс включил, дефолтный маршрут создается на pptp интерфейс. При отключении маскарадинга на интерфейс езернет, смотрящий в инет, интернет за этим микротом пропадает.

Код: Выделить всё

/interface ethernet
set [ find default-name=ether1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface list
add name=Internet
add name=Local
add name=VPN
/ppp profile
/interface pptp-client
add add-default-route=yes allow=chap,mschap1,mschap2 connect-to=nl.vpn99.net \
    disabled=no name=pptp-out1 password=*** profile="openvpn vpn99" \
    user=***
/ip address
add address=192.168.20.1/24 interface=wlan1 network=192.168.20.0
add address=192.168.0.101/24 disabled=yes interface=ether1 network=\
    192.168.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.0.1
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
    established,related protocol=udp
add action=accept chain=forward comment="FastTrack Connection" \
    connection-state=established,related
add action=accept chain=input in-interface-list=Internet protocol=gre
add action=accept chain=forward comment=\
    "1.1. Forward and Input Established and Related connections" \
    connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
    new in-interface-list=Internet
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=1d chain=input comment=\
    "1.2. DDoS Protect - Connection Limit" connection-limit=100,32 \
    in-interface-list=Internet protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list=ddos-blacklist
add action=jump chain=forward comment="1.3. DDoS Protect - SYN Flood" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet \
    jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="1.4. Protected - Ports Scanners" \
    src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=none-dynamic chain=input in-interface-list=Internet \
    protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="1.5. Protected - WinBox Access" \
    src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" \
    address-list-timeout=none-dynamic chain=input connection-state=new \
    dst-port=8291 in-interface-list=Internet log=yes log-prefix=\
    "BLACK WINBOX" protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=Internet protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=Internet protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=Internet protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=Internet \
    protocol=tcp
add action=drop chain=input comment="1.6. Protected - OpenVPN Connections" \
    src-address-list="Black List OpenVPN"
add action=add-src-to-address-list address-list="Black List OpenVPN" \
    address-list-timeout=none-dynamic chain=input connection-state=new \
    dst-port=1194 in-interface-list=Internet log=yes log-prefix="BLACK OVPN" \
    protocol=tcp src-address-list="OpenVPN Stage 3"
add action=add-src-to-address-list address-list="OpenVPN Stage 3" \
    address-list-timeout=1m chain=input connection-state=new dst-port=1194 \
    in-interface-list=Internet protocol=tcp src-address-list=\
    "OpenVPN Stage 2"
add action=add-src-to-address-list address-list="OpenVPN Stage 2" \
    address-list-timeout=1m chain=input connection-state=new dst-port=1194 \
    in-interface-list=Internet protocol=tcp src-address-list=\
    "OpenVPN Stage 1"
add action=add-src-to-address-list address-list="OpenVPN Stage 1" \
    address-list-timeout=1m chain=input connection-state=new dst-port=1194 \
    in-interface-list=Internet protocol=tcp
add action=accept chain=input dst-port=1194 in-interface-list=Internet \
    protocol=tcp
add action=accept chain=input comment="1.7. Access OpenVPN Tunnel Data" \
    in-interface-list=VPN
add action=accept chain=input comment="1.8. Access Normal Ping" \
    in-interface-list=Internet limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="Drop flood on port 53" dst-port=53 \
    in-interface=ether1 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="Allow pings" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment=\
    "Allow all connections from our local network" in-interface=!ether1 \
    src-address=192.168.20.0/24
add action=accept chain=forward in-interface=!ether1 src-address=\
    192.168.20.0/24
add action=drop chain=input comment="Drop off invalid connections" \
    connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="Drop off all other incoming connections" \
    in-interface=ether1
add action=accept chain=forward comment=\
    "Allow access from the local network to the Internet" in-interface=\
    !ether1 out-interface=ether1
add action=drop chain=forward comment="Drop off all other connections"
add action=drop chain=input comment="1.9. Drop All Other" in-interface-list=\
    Internet
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
    192.168.20.0/24
# sstp-m12 not ready
add action=masquerade chain=srcnat out-interface=sstp-m12
add action=masquerade chain=srcnat out-interface=pptp-out1
/ip firewall raw
add action=drop chain=prerouting dst-port=137,138,139 in-interface-list=\
    Internet protocol=udp
/ip route
add comment="wan ip static" disabled=yes distance=1 gateway=192.168.0.1
add comment="route l2tp m12" distance=1 dst-address=192.168.1.0/24 gateway=\
    172.16.33.1 pref-src=172.16.33.3
add comment="route sstp m12" distance=1 dst-address=192.168.1.0/24 gateway=\
    172.16.34.1 pref-src=172.16.34.2
add comment="route openvpn m12" distance=1 dst-address=192.168.1.0/24 \
    gateway=172.16.35.1 pref-src=172.16.35.2
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-name=Asia/Irkutsk
/system identity
set name=map_lite
/system logging
add disabled=yes topics=l2tp
add topics=ovpn
/system ntp client
set enabled=yes primary-ntp=89.109.251.21 secondary-ntp=89.109.251.22
/tool mac-server
set allowed-interface-list=Local
/tool mac-server mac-winbox
set allowed-interface-list=Local
/tool mac-server ping
set enabled=no


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

yden писал(а): 01 сен 2019, 10:54 Поднял я соединение опенвпн клиента на микроте.
yden писал(а): 04 сен 2019, 05:43 маскарадинг на pptp интерфейс включил, дефолтный маршрут создается на pptp интерфейс
Вы уж определитесь, OpenVPN или pptp. А то как-то противоречите себе ...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

podarok66 писал(а): 04 сен 2019, 20:03
yden писал(а): 01 сен 2019, 10:54 Поднял я соединение опенвпн клиента на микроте.
yden писал(а): 04 сен 2019, 05:43 маскарадинг на pptp интерфейс включил, дефолтный маршрут создается на pptp интерфейс
Вы уж определитесь, OpenVPN или pptp. А то как-то противоречите себе ...
Не суть же какое соединение поднялось. Я написал, что именно с маршрутами не могу разобраться.


Закрыто