Страница 1 из 2
Openvpn на vds + клиент на микротике
Добавлено: 10 авг 2019, 19:29
yden
Добрый.
Пытаюсь поднять свой openvpn сервер на vds в Европе. Но ума не хватает. Ubuntu server 18.04 или 16.04. Клиент - микрот.
Плиз поделитесь работающими файлами конфигурации сервера и клиента.
Несколько мануалов перепробовал - не подключается и все.
Благодарю
Re: Openvpn на vds + клиент на микротике
Добавлено: 11 авг 2019, 10:54
podarok66
Сервер
Код: Выделить всё
port 1194
proto tcp
dev tun
ca .keys/ca.crt
cd /etc/openvpn
cert .keys/server.crt
key .keys/server.key # This file should be kept secret
dh .keys/dh1024.pem
# topology subnet
server 10.9.0.0 255.255.255.0
client-config-dir .ccd
client-to-client
keepalive 10 120
tun-mtu 1500
mssfix 1450
cipher AES-256-CBC # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 10
Не забываем создать директорию .ccd и в ней файлы с маршрутизацией под каждого клиента - так клиенты будут получать фиксированные адреса из пула, к ним можно будет подключаться. Например у меня есть маршрутизатор за NAT, к которому мне периодически надо подключатся с телефона. На Маршрутизаторе туннель висит по умолчанию, на телефоне подключаем по необходимости. Зная локальный адрес маршрутизатора в туннеле, подключаемся.
Код: Выделить всё
# Файл dom для маршрутизатора
# Клиентская подсеть за mikrotik (192) и адрес openvpn у роутера (10)
iroute 192.168.88.0 255.255.255.0 10.9.0.2
# Добавим шлюз по умолчанию для машин за микротиком, заодно закрепим адрес.
ifconfig-push 10.9.0.2 10.9.0.1
Клиент - там вообще просто
Код: Выделить всё
/interface ovpn-client
add certificate=dom.crt_0 cipher=aes256 connect-to=***.***.***.*** mac-address=ХХ:ХХ:ХХ:ХХ:ХХ:ХХ name=ovpn-out-1 profile=ovpn user=ovpn
Да что я тут расписываю, вот, года два назад писал, там мало что поменялось, ну может за исключение мелочей
https://podarok66.livejournal.com/18134.html
Re: Openvpn на vds + клиент на микротике
Добавлено: 12 авг 2019, 21:42
yden
Сенк
Re: Openvpn на vds + клиент на микротике
Добавлено: 12 авг 2019, 21:45
yden
А где не в Рашке держите свои vds?
А то на одном поднял, а он в рф.
Благодарю
Re: Openvpn на vds + клиент на микротике
Добавлено: 13 авг 2019, 20:51
podarok66
Милан, Амстердам, Франкфурт-на-Майне, Даллас... Этот конфиг отовсюду работал... Смысл мне в России на vds туннель поднимать? Их же как правило для обхода блокировок настраивают?
Вам что, сложно найти vds в Европе? DigitalOcean имел проблемы, у них был заблокирован огромный пул адресов. Но кроме них есть ещё просто куча других, которых наша дурь не зацепила...
Re: Openvpn на vds + клиент на микротике
Добавлено: 01 сен 2019, 10:54
yden
Добрый.
Подскажите плиз неучу. Поднял я соединение опенвпн клиента на микроте. Далее что в микроте нужно настроить, чтобы клиенты за микротом ходили через впн?
Благодарю
Re: Openvpn на vds + клиент на микротике
Добавлено: 01 сен 2019, 14:12
podarok66
Маршрут и маскарадинг.
Re: Openvpn на vds + клиент на микротике
Добавлено: 04 сен 2019, 05:43
yden
Нихрена не получается с маршрутизацией.
Плиз, что в конфиге не верно?
Соединение поднимается, маскарадинг на pptp интерфейс включил, дефолтный маршрут создается на pptp интерфейс. При отключении маскарадинга на интерфейс езернет, смотрящий в инет, интернет за этим микротом пропадает.
Код: Выделить всё
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface list
add name=Internet
add name=Local
add name=VPN
/ppp profile
/interface pptp-client
add add-default-route=yes allow=chap,mschap1,mschap2 connect-to=nl.vpn99.net \
disabled=no name=pptp-out1 password=*** profile="openvpn vpn99" \
user=***
/ip address
add address=192.168.20.1/24 interface=wlan1 network=192.168.20.0
add address=192.168.0.101/24 disabled=yes interface=ether1 network=\
192.168.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1 \
netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.0.1
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=udp
add action=accept chain=forward comment="FastTrack Connection" \
connection-state=established,related
add action=accept chain=input in-interface-list=Internet protocol=gre
add action=accept chain=forward comment=\
"1.1. Forward and Input Established and Related connections" \
connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
new in-interface-list=Internet
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=1d chain=input comment=\
"1.2. DDoS Protect - Connection Limit" connection-limit=100,32 \
in-interface-list=Internet protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
src-address-list=ddos-blacklist
add action=jump chain=forward comment="1.3. DDoS Protect - SYN Flood" \
connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet \
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
tcp-flags=syn
add action=drop chain=input comment="1.4. Protected - Ports Scanners" \
src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
address-list-timeout=none-dynamic chain=input in-interface-list=Internet \
protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="1.5. Protected - WinBox Access" \
src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" \
address-list-timeout=none-dynamic chain=input connection-state=new \
dst-port=8291 in-interface-list=Internet log=yes log-prefix=\
"BLACK WINBOX" protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=Internet protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=Internet protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=Internet protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=Internet \
protocol=tcp
add action=drop chain=input comment="1.6. Protected - OpenVPN Connections" \
src-address-list="Black List OpenVPN"
add action=add-src-to-address-list address-list="Black List OpenVPN" \
address-list-timeout=none-dynamic chain=input connection-state=new \
dst-port=1194 in-interface-list=Internet log=yes log-prefix="BLACK OVPN" \
protocol=tcp src-address-list="OpenVPN Stage 3"
add action=add-src-to-address-list address-list="OpenVPN Stage 3" \
address-list-timeout=1m chain=input connection-state=new dst-port=1194 \
in-interface-list=Internet protocol=tcp src-address-list=\
"OpenVPN Stage 2"
add action=add-src-to-address-list address-list="OpenVPN Stage 2" \
address-list-timeout=1m chain=input connection-state=new dst-port=1194 \
in-interface-list=Internet protocol=tcp src-address-list=\
"OpenVPN Stage 1"
add action=add-src-to-address-list address-list="OpenVPN Stage 1" \
address-list-timeout=1m chain=input connection-state=new dst-port=1194 \
in-interface-list=Internet protocol=tcp
add action=accept chain=input dst-port=1194 in-interface-list=Internet \
protocol=tcp
add action=accept chain=input comment="1.7. Access OpenVPN Tunnel Data" \
in-interface-list=VPN
add action=accept chain=input comment="1.8. Access Normal Ping" \
in-interface-list=Internet limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="Drop flood on port 53" dst-port=53 \
in-interface=ether1 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="Allow pings" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment=\
"Allow all connections from our local network" in-interface=!ether1 \
src-address=192.168.20.0/24
add action=accept chain=forward in-interface=!ether1 src-address=\
192.168.20.0/24
add action=drop chain=input comment="Drop off invalid connections" \
connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="Drop off all other incoming connections" \
in-interface=ether1
add action=accept chain=forward comment=\
"Allow access from the local network to the Internet" in-interface=\
!ether1 out-interface=ether1
add action=drop chain=forward comment="Drop off all other connections"
add action=drop chain=input comment="1.9. Drop All Other" in-interface-list=\
Internet
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.20.0/24
# sstp-m12 not ready
add action=masquerade chain=srcnat out-interface=sstp-m12
add action=masquerade chain=srcnat out-interface=pptp-out1
/ip firewall raw
add action=drop chain=prerouting dst-port=137,138,139 in-interface-list=\
Internet protocol=udp
/ip route
add comment="wan ip static" disabled=yes distance=1 gateway=192.168.0.1
add comment="route l2tp m12" distance=1 dst-address=192.168.1.0/24 gateway=\
172.16.33.1 pref-src=172.16.33.3
add comment="route sstp m12" distance=1 dst-address=192.168.1.0/24 gateway=\
172.16.34.1 pref-src=172.16.34.2
add comment="route openvpn m12" distance=1 dst-address=192.168.1.0/24 \
gateway=172.16.35.1 pref-src=172.16.35.2
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-name=Asia/Irkutsk
/system identity
set name=map_lite
/system logging
add disabled=yes topics=l2tp
add topics=ovpn
/system ntp client
set enabled=yes primary-ntp=89.109.251.21 secondary-ntp=89.109.251.22
/tool mac-server
set allowed-interface-list=Local
/tool mac-server mac-winbox
set allowed-interface-list=Local
/tool mac-server ping
set enabled=no
Re: Openvpn на vds + клиент на микротике
Добавлено: 04 сен 2019, 20:03
podarok66
yden писал(а): ↑01 сен 2019, 10:54
Поднял я соединение опенвпн клиента на микроте.
yden писал(а): ↑04 сен 2019, 05:43
маскарадинг на pptp интерфейс включил, дефолтный маршрут создается на pptp интерфейс
Вы уж определитесь, OpenVPN или pptp. А то как-то противоречите себе ...
Re: Openvpn на vds + клиент на микротике
Добавлено: 05 сен 2019, 03:45
yden
podarok66 писал(а): ↑04 сен 2019, 20:03
yden писал(а): ↑01 сен 2019, 10:54
Поднял я соединение опенвпн клиента на микроте.
yden писал(а): ↑04 сен 2019, 05:43
маскарадинг на pptp интерфейс включил, дефолтный маршрут создается на pptp интерфейс
Вы уж определитесь, OpenVPN или pptp. А то как-то противоречите себе ...
Не суть же какое соединение поднялось. Я написал, что именно с маршрутами не могу разобраться.