openVPN

Обсуждение оборудования и его настройки
Ответить
stoyan
Сообщения: 24
Зарегистрирован: 07 июл 2013, 14:52

Настраиваю openVPN сервер на mikritilk. Не работает))

Может кто подскажет куда копать?

Сертификаты сгенерил easy-rsa для сервера и клиента.
в резудьтате клиент open vpn не коннектится к серверу лог прилагаю

Код: Выделить всё

Wed Mar 12 18:39:57 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Mar 12 18:39:57 2014 Re-using SSL/TLS context
Wed Mar 12 18:39:57 2014 Control Channel MTU parms [ L:1543 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Mar 12 18:39:57 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Mar 12 18:39:57 2014 MANAGEMENT: >STATE:1394635197,RESOLVE,,,
Wed Mar 12 18:39:58 2014 Data Channel MTU parms [ L:1543 D:1450 EF:43 EB:4 ET:0 EL:0 ]
Wed Mar 12 18:39:58 2014 Local Options String: 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Wed Mar 12 18:39:58 2014 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Wed Mar 12 18:39:58 2014 Local Options hash (VER=V4): 'db02a8f8'
Wed Mar 12 18:39:58 2014 Expected Remote Options hash (VER=V4): '7e068940'
Wed Mar 12 18:39:58 2014 Attempting to establish TCP connection with [AF_INET]58.108.2х5.х6:1194
Wed Mar 12 18:39:58 2014 MANAGEMENT: >STATE:1394635198,TCP_CONNECT,,,
Wed Mar 12 18:39:58 2014 TCP connection established with [AF_INET]58.108.2х5.х6:1194
Wed Mar 12 18:39:58 2014 TCPv4_CLIENT link local: [undef]
Wed Mar 12 18:39:58 2014 TCPv4_CLIENT link remote: [AF_INET]58.108.2х5.х6:1194
Wed Mar 12 18:39:58 2014 MANAGEMENT: >STATE:1394635198,WAIT,,,
Wed Mar 12 18:39:58 2014 MANAGEMENT: >STATE:1394635198,AUTH,,,
Wed Mar 12 18:39:58 2014 TLS: Initial packet from [AF_INET]58.108.2х5.х6:1194, sid=10c6a7e7 7257b949
Wed Mar 12 18:39:58 2014 VERIFY OK: depth=1, C=RU, ST=MR, L=SanFrancisco, O=home, OU=otdel, CN=server, name=changeme, emailAddress=sххyan@ya.ru
Wed Mar 12 18:39:58 2014 VERIFY OK: nsCertType=SERVER
Wed Mar 12 18:39:58 2014 VERIFY OK: depth=0, C=RU, ST=MR, L=SanFrancisco, O=OpenVPN, OU=changeme, CN=server, name=changeme, emailAddress=stххan@ya.ru
[b]Wed Mar 12 18:40:58 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Mar 12 18:40:58 2014 TLS Error: TLS handshake failed
Wed Mar 12 18:40:58 2014 Fatal TLS error (check_tls_errors_co), restarting[/b]
Wed Mar 12 18:40:58 2014 TCP/UDP: Closing socket
Wed Mar 12 18:40:58 2014 SIGUSR1[soft,tls-error] received, process restarting
Wed Mar 12 18:40:58 2014 MANAGEMENT: >STATE:1394635258,RECONNECTING,tls-error,,
Wed Mar 12 18:40:58 2014 Restart pause, 5 second(s)


файл конфиг ovpn прилагаю

Код: Выделить всё

client
dev tun

proto tcp
remote ххххххх
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca_voip.crt
cert client_voip.crt
key client_voip.key

ns-cert-type server
verb 5


stoyan
Сообщения: 24
Зарегистрирован: 07 июл 2013, 14:52

С логин/пароль все прокатывает.
Соединение устанавливается.

Как заставить работать по сертификатам? ошибки соединение все теже.

Код: Выделить всё

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
Fatal TLS error (check_tls_errors_co), restarting


stoyan
Сообщения: 24
Зарегистрирован: 07 июл 2013, 14:52

Неужели никто не подскажет в чем проблема?


X509
Сообщения: 12
Зарегистрирован: 11 дек 2013, 11:06

stoyan писал(а):Неужели никто не подскажет в чем проблема?

проверьте firewall(ы) и NAT. попробуйте открыть порт 1194


stoyan
Сообщения: 24
Зарегистрирован: 07 июл 2013, 14:52

уже
но результата нет(((
какие еще будут предложения?


stoyan
Сообщения: 24
Зарегистрирован: 07 июл 2013, 14:52

Микротик в логе пишет

Код: Выделить всё

unsupported auth digest


что это может быть?


stoyan
Сообщения: 24
Зарегистрирован: 07 июл 2013, 14:52

Может быть кто настроит мне ovpn. Он у когото хоть вообще работает?
на саппорт писал - молчат третй день((((


X509
Сообщения: 12
Зарегистрирован: 11 дек 2013, 11:06

из каких источников шла настройка?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ответ на вашу жалобу

Инструкция тут
http://wiki.mikrotik.com/wiki/OpenVPN_C ... ep_by_Step

Информация по саппорту разработчика тут http://www.mikrotik.com/support.html


Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

What's new in 6.11 (2014-Mar-20 09:16):

*) ipsec - fix aes-cbc hardware acceleration on CCR with key sizes 192 and 256;
*) wireless - add auto frequency feature;

*) ovpn - fixed TLS renegotiation;
*) ovpn - make bridge mode work with big packets (do not leave extraneous padding);
*) ovpn - fixed require-client-certifcate;

*) ppp - revert RADIUS NAS-Port behaviour, report tunnel interface id;
*) ppp - mppe encryption together with mrru locked the router;
*) dhcp - added support for DHCP option 138 - list of CAPWAP IPv4 servers;
*) quickset - added Guest Network setup to Home AP mode;
*) console - no longer required to supply value of '/routing bgp instance vrf'
property 'instance' for 'add' command;
*) ethernet - added option to enable rx/tx flow control
(will be disabled by default);
*) ethernet - added ability to specify advertised modes for copper ports;
*) fixed 100% cpu usage on CCRs;
*) ssl - not finding CRL in local store for any certificate in trust chain will cause connection to fail;
*) lte - support for Huawei ME609 and ME909u-521;


Есть интересная задача и бюджет? http://mikrotik.site
Ответить