Добрый день.
у нас есть RouterBOARD 750UP
хотим протестировать следующую схему:
в качестве OpenVPN сервера - linux дистр (с OpenVPN server), а в качестве клиентов - использовать роутеры Mikrotik.
подскажите - есть ли подобные мануалы? есть ли примеры работы? "подводные камни" и т.д.?
P.S. попробовали на одном из дистрибьютивов (zentyal, который имеет OpenVPN севрер), но тщетно.
OpenVPN (linux server) and Mikrotik router client
-
- Сообщения: 31
- Зарегистрирован: 06 май 2013, 20:31
Такая схема вполне работоспособна, но только надо учесть несколько нюансов-
1. Работает только протокол TCP
2. Сжатие трафика (LZO) не работает
3.pkcs12-сертификаты не подойдут, нужно ложить оба сертификата (сервера и клиента) и клиентский ключ отдельно- если у Вас аутентификация по сертификатам.
4. Обязательно подключите SNTP-без правильного времени аутентификация по сертификатам не работает.
А в целом- все то же самое
У меня все работает, могу дать готовые конфиги сервера и клиента(схема с аутентификацией по сертификатам, режим точка-многоточка).
1. Работает только протокол TCP
2. Сжатие трафика (LZO) не работает
3.pkcs12-сертификаты не подойдут, нужно ложить оба сертификата (сервера и клиента) и клиентский ключ отдельно- если у Вас аутентификация по сертификатам.
4. Обязательно подключите SNTP-без правильного времени аутентификация по сертификатам не работает.
А в целом- все то же самое
У меня все работает, могу дать готовые конфиги сервера и клиента(схема с аутентификацией по сертификатам, режим точка-многоточка).
-
- Модератор
- Сообщения: 3359
- Зарегистрирован: 01 окт 2012, 14:48
asket писал(а):А в целом- все то же самое
У меня все работает, могу дать готовые конфиги сервера и клиента(схема с аутентификацией по сертификатам, режим точка-многоточка).
Было бы замечательно.
-
- Сообщения: 31
- Зарегистрирован: 06 май 2013, 20:31
server.conf для линуксового openvpn-сервера
на микротике сначала ставим правильное время, лучше всего с помощью SNTP-клиента (правильная timezone тоже нужна!). Портируем сертификат клиента. Он портируется со статусом "untrusted".Ковертируем ключ клиента из .key в .pem (процедура описана на вики микротика). Портируем ключ клиента. Сертификат получает статус "подписан". Портируем корневой сертификат CA (ca.crt). Сертификат получает "подтвержден".
Создаем подключение
логин и пароль неважны, если аутентификация по сертификату.
включаем, наслаждаемся. Вы собрали эзернет-линк. Теперь поднимаете на нем VLAN-интерфейсы, вешаете на них нужные вам адреса и пишете маршруты (если хотите L3-туннелирование) или же тупо сбриджуйте с нужными портами- получите виртуальный прямой провод.
Код: Выделить всё
port 1220 # порт на котором ждем подключения
proto tcp # работаем только по TCP!
dev tap1 #устройство виртуального моста
log /var/log/telemetrik1.log #лог. обязательно
server-bridge 10.9.0.4 255.255.255.0 10.9.0.128 10.9.0.254 #ip для моста.
auth MD5 #тип аутетификации
ca /etc/openvpn/voip/ca.crt #корневой сертификат СА
cert /etc/openvpn/voip/vpn.crt #сертификат сервера
dh /etc/openvpn/voip/dh1024.pem # диффи-хэллман
key /etc/openvpn/voip/vpn.key # ключ сервера
tls-server #указываем что tls инициализируется со стороны сервера
cipher BF-CBC #шифруемся блофишем
mssfix 1450 #обязательно прибиваем гвоздями MSS во избежание MTU Black Hole
script-security 2 #разрешаем исполнение пользовательских скриптов
на микротике сначала ставим правильное время, лучше всего с помощью SNTP-клиента (правильная timezone тоже нужна!). Портируем сертификат клиента. Он портируется со статусом "untrusted".Ковертируем ключ клиента из .key в .pem (процедура описана на вики микротика). Портируем ключ клиента. Сертификат получает статус "подписан". Портируем корневой сертификат CA (ca.crt). Сертификат получает "подтвержден".
Создаем подключение
Код: Выделить всё
/interface ovpn-client
add auth=md5 certificate=cert1 connect-to=_ip_сервера_ disabled=no mode=ethernet name=tap0 password=_неважно_ port=1220 user=_неважно_
логин и пароль неважны, если аутентификация по сертификату.
включаем, наслаждаемся. Вы собрали эзернет-линк. Теперь поднимаете на нем VLAN-интерфейсы, вешаете на них нужные вам адреса и пишете маршруты (если хотите L3-туннелирование) или же тупо сбриджуйте с нужными портами- получите виртуальный прямой провод.