VPN na Mikrotik RB951G-2HnD

nofu

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #15 kdy: 19. 12. 2014, 16:02:08 »
Tak telnet se asi spojil, po čase se ale odpojil.

Jelikož ale potřebuju OVPN v režimu ethernet, tak sem to celý shodil do defaultu a začínám znovu, tož prosím o pomoc, páč si s tim absolutně nevim rady.

Vnitřní sít je v defaultním rozsahu 192.168.88.0/24
Co jsem udělal:
1. naimportoval jsem certifikáty
2. vytvořil jsem poole "ovpn-pool" 192.168.89.2-192.168.89.10
3. vytvořil jsem PPP profile "ovpn" - nejsem si jistej, jak má být v tomto případě definovaná Local address, zda tam má bejt 192.168.89.1 nebo tam má bejt ovpn-pool jako je v Remote address? Budu tam posléze, až bude vytvořen, zadávat nějakej bridge?
4. v secrets jsem vytvořil uživatele s profilem ovpn
5. zapnul sem OVPN server, mode změnil na ethernet, default profile na ovpn, vybral certifikát a zaškrtl Requaire Client Certificate, ještě jsem zaškrtl "aes 256"

Dál ale netušim jak  :-[ Snažím se postupovat podle tohoto příspěvku:
Vytvoříš OVPN server na jedné straně  jen jeho mód nebude IP ale ETHERNET pak  na druhé straně uděláš profil a spojíš se s touto stranou. Jak si psal výše jsou tam třeba certifikáty v momente kdy to budeš mít spojené  uvidíš v interface  OVPN jako interface. Potom vytvoříš bridge  a do něj dáš interface (eth port ) který potřebuješ  a k němu přidáš do bridge i ten ovpn interface. To uděláš na obou stranách a máš transparentní bridge.

Jak mám udělat toto?
Citace
...pak  na druhé straně uděláš profil a spojíš se s touto stranou...
Abych dosáhl tohoto:
Citace
v momente kdy to budeš mít spojené  uvidíš v interface  OVPN jako interface



Mart

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #17 kdy: 19. 12. 2014, 18:41:58 »
Screen viz nahoře v odkazu je to nahrubo / narychlo nastavené ale funkční řešení mikrotik vs mikrotik . Přiznám se že v PC klientu sem to nikdy nedělal tak se skus chytit s toho. Ten pool je jen rozsah ip kterou dostaneš po připojení  stačí s PC staticky jedna. V tom jak si to udělal by měla být  tedy local  192.168.89.1 a remote by měl být ten ovpn-pool co ti přidělí DHCP když je to takhle . Na té straně  serveru udělej bridge  do něj dej všechny porty  které potřebuješ pravděpodobně to bude ta část LAN pokud to tam není  musíš to vytvořit a  ten OpenVPN interface přiřaď ostatním LAN portům .




M.

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #18 kdy: 19. 12. 2014, 18:55:02 »
Marte, jenže jde právě o to, že on nechce Mikrotik-Mikortik spojení na L2, ale chce mít na jedné straně Windows kompl.
Nicméně strana VPN serveru se dá souhlasit. Jinak nemusíš dělat binding OpenVPN serveru, stačí v profilu nastavit místo IP adres jméno bridge a po připojení klienta se automaticky přidá daný port do bridge:
/ppp profile add name=profil-ovpn bridge=bridge-lan use-encryption=yes
/ppp secret add name=clovek password=heslo profile=profil-ovpn service=ovpn

Jinak k tazateli, kolabuje ti to ještě dříve, než se to dostane k těmto jemnostem. Chtělo by to celý log. Odhaduji, že novější ROSy začínají být citlivé na to, co je v certifikátech ohledně použití, případně jaké podpisové funkce jsou použity, takže to kolabuje na tom, že si neověří certifikáty a jejich účel.

Mart

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #19 kdy: 19. 12. 2014, 18:58:37 »
Těď na to koukám a myslím že  by ten pool v té ethernet  (tap)  verzi kdy to nění routované  neměl hrát žádnou roli. Rsp by tam být vůbec neměl  . To by se prostě mělo rovnou spojit  , počkej až se tu objeví tajemný "M"  nerad by sem tě nasměroval špatně ale logicky ten pool  dává pak tvému PC ip adresu která je pak za natem v té firemní síti .



Netrpím "samomluvou"  jen jak není člověk přihlášený tak to nelze editovat .


M.

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #20 kdy: 19. 12. 2014, 19:14:56 »
2. vytvořil jsem poole "ovpn-pool" 192.168.89.2-192.168.89.10
3. vytvořil jsem PPP profile "ovpn" - nejsem si jistej, jak má být v tomto případě definovaná Local address, zda tam má bejt 192.168.89.1 nebo tam má bejt ovpn-pool jako je v Remote address? Budu tam posléze, až bude vytvořen, zadávat nějakej bridge?
4. v secrets jsem vytvořil uživatele s profilem ovpn
5. zapnul sem OVPN server, mode změnil na ethernet, default profile na ovpn, vybral certifikát a zaškrtl Requaire Client Certificate, ještě jsem zaškrtl "aes 256"

Ty kroky 2 a 3 jsou v příápadě ethernet režimu zbytečné. spojení je na L2, na klientovi se na WinTAP síťovce zapneš DHCP klient a kyž tunel jede, tak se na síťopvku přidělí IPčko pomocí DHCP serveru, který v ROSu běží na bridge-local.
Ano, v tom ovpn profilu místo IPček a poolu se zadá položka bridge=bridge-local.
Pozor! V některých verzích ROSu je chyba, když se používá Ethernet režim (nebo BCP pro PPTP/L2TP/SSTP), tak stjeně něco musí být zadáno jako local/remote addres, jinak to nefunguje ani s ítm bridge=bridge-local.

Ale je možné, že se ti to pobije už na těch certifikátech a k tomuto to vůbec nedojde, proto by to chtělo celý log. Npříklad, pokud používáš stále WindosXP, tak ta utilitka na generování certifikátů udělá certifikát, který XPčka nevezmou (podpis pomocí SHA256). Dále novější verze ROSu kontrolují účel použití certifikátu a musí být definováno použití jako netscape type=client. Některé verze generovátka certifikátů tam tento atribut nevloží a pak smolík, server nedovolí připojení (a naopak,klient může ověřovat, že certifikát předložený serverem má správné atributy definující použití na straně serveru, ale v té poslané konfiguraci toto nebylo zapnuto).

nofu

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #21 kdy: 19. 12. 2014, 22:29:29 »
Díky za spoustu námětů! Jelikož se to dost lišilo od mé předešlé konfigurace, zese jsem projistotu shodil router do defaultu a opět napíšu, co jsem přesně nastavil. Vycházel jsem ze screenshotu od Marta a upravil jsem to podle dalších postů.

Vnitřní sít je stále v defaultním rozsahu 192.168.88.0/24, firewall také defaultu, žádné směrování portů.
1. naimportoval jsem certifikáty (ca.crt, server.crt+key)
2. přidal pravidlo ve firewallu a posunul ho nad defaultní pravidla (Chain: input, Protocol: 6(tcp), Dst. Adress: XX.mo.je.IP, Dst.Port: 1194, Action: accept), podle ověření přes telnet nejspíš funguje
3. v PPP/Interface/Profile jsem vytvořil profil "ovpn-profile", kde jsem nastavil jediné a to Bridge: bridge-local, Local a Remote Address vyplněné nejsou. Ještě jsem změni TCP MMS na yes (podle M.)
4. zapnul jsem OVPN server, přepnul Mode: ethernet, certifikát jsem dal cert_2 (tj server.crt+key, cert_1 je v mém případě ca.crt) a zaškrt jsem volbu AES 256 (vyskytuje se ve většině konfiguračních souborů pro openVPN klienta)
5. v PPP/Interface jsem přidal OVPN Server Binding, který jsem nazval "ovpn-ether" a vyplnij sem tam User: ten který jsem vytvořil v Secrets

Pocaď správně?

6. v obrázku: zde je vidět iface tvořený OVPN - ano, vidím ho tam, také je tam původní "bridge-local"
7. v obrázku: v bridge přidáš tento iface do bridge s ostatníma portama - tady vůbec nevím co s tím, pokus:
7.a v Bridge/Bridge jsem přidal Bridge, nazval jsem ho "ovpn-bridge", Co mám nastavit do ARP, pokud ho teda mám vůbec tvořit? Enabled nebo Proxy-arp?
7.b Bridge/Ports jsem přidal Bridge port, Interface: ether2 (tj port vnitřní sítě), Bridge: ovpn-bridge, zbytek jsem nechal, jak je defaultně. No a dostanu Error Couldn't add New Bridge Port - device alredy added as bridge port (6).

Takže asi musim vybrat něco jinčího ve volbě Interface, ale co? Bojim se cokoliv zkusit, páč mam taký neblahý tušení, že když tam nastavim nějakou hloupost, tak se na ten router na dálku nepřipojim, mám ho přes celou prahu.
Bo je bod 7 úplně blbě?

M.: Log z openVPN klienta za současného stavu pošlu v zápětí, jelikož se zdá, že došlo k určitému posunu.

Netrpím "samomluvou"  jen jak není člověk přihlášený tak to nelze editovat .
To nejde ani jako přihlášený, nebo teda nevím jak, netřeba si z toho dělat hlavu. Naopak jsem rád, za jakýkoliv podnět, třeba mi něco nakopne a zadaří se.

nofu

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #22 kdy: 19. 12. 2014, 22:40:18 »
Současný konfigurák:
Kód: [Vybrat]
proto tcp-client

remote XX.mo.je.IP 1194
dev tap

nobind
persist-key

tls-client
ca ca.crt
cert client.crt
key client.key

auth-user-pass auth.cfg

ping 10
verb 3

cipher AES-256-CBC
auth SHA1
pull

mute-replay-warnings

Log:
Kód: [Vybrat]
Fri Dec 19 22:26:58 2014 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec  1 2014
Fri Dec 19 22:26:58 2014 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Enter Management Password:
Fri Dec 19 22:26:58 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Dec 19 22:26:58 2014 Need hold release from management interface, waiting...
Fri Dec 19 22:26:58 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Dec 19 22:26:59 2014 MANAGEMENT: CMD 'state on'
Fri Dec 19 22:26:59 2014 MANAGEMENT: CMD 'log all on'
Fri Dec 19 22:26:59 2014 MANAGEMENT: CMD 'hold off'
Fri Dec 19 22:26:59 2014 MANAGEMENT: CMD 'hold release'
Fri Dec 19 22:26:59 2014 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Fri Dec 19 22:26:59 2014 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Dec 19 22:26:59 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Dec 19 22:26:59 2014 Attempting to establish TCP connection with [AF_INET]XX.mo.je.IP:1194 [nonblock]
Fri Dec 19 22:26:59 2014 MANAGEMENT: >STATE:1419024419,TCP_CONNECT,,,
Fri Dec 19 22:27:00 2014 TCP connection established with [AF_INET]XX.mo.je.IP:1194
Fri Dec 19 22:27:00 2014 TCPv4_CLIENT link local: [undef]
Fri Dec 19 22:27:00 2014 TCPv4_CLIENT link remote: [AF_INET]XX.mo.je.IP:1194
Fri Dec 19 22:27:00 2014 MANAGEMENT: >STATE:1419024420,WAIT,,,
Fri Dec 19 22:27:00 2014 MANAGEMENT: >STATE:1419024420,AUTH,,,
Fri Dec 19 22:27:00 2014 TLS: Initial packet from [AF_INET]XX.mo.je.IP:1194, sid=5ae32751 99e9af1f
Fri Dec 19 22:27:00 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Dec 19 22:27:00 2014 VERIFY OK: depth=1, C=Cs, ST=Cechy, L=Prague, O=Firma, OU=IT oddeleni, CN=XX.mo.je.IP, emailAddress=jmeno@Firma.cz
Fri Dec 19 22:27:00 2014 VERIFY OK: depth=0, C=Cs, ST=Cechy, O=Firma, OU=IT oddeleni, CN=XX.mo.je.IP, emailAddress=jmeno@Firma.cz
Fri Dec 19 22:27:01 2014 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Dec 19 22:27:01 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 19 22:27:01 2014 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Dec 19 22:27:01 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 19 22:27:01 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 AES256-SHA, 1024 bit RSA
Fri Dec 19 22:27:01 2014 [XX.mo.je.IP] Peer Connection Initiated with [AF_INET]XX.mo.je.IP:1194
Fri Dec 19 22:27:02 2014 MANAGEMENT: >STATE:1419024422,GET_CONFIG,,,
Fri Dec 19 22:27:04 2014 SENT CONTROL [XX.mo.je.IP]: 'PUSH_REQUEST' (status=1)
Fri Dec 19 22:27:09 2014 SENT CONTROL [XX.mo.je.IP]: 'PUSH_REQUEST' (status=1)
Fri Dec 19 22:27:14 2014 SENT CONTROL [XX.mo.je.IP]: 'PUSH_REQUEST' (status=1)
Fri Dec 19 22:27:14 2014 PUSH: Received control message: 'PUSH_REPLY,ping 20,ping-restart 60,route-gateway 0.0.0.0,ifconfig 0.0.0.0 255.255.255.0'
Fri Dec 19 22:27:14 2014 OPTIONS IMPORT: timers and/or timeouts modified
Fri Dec 19 22:27:14 2014 OPTIONS IMPORT: --ifconfig/up options modified
Fri Dec 19 22:27:14 2014 OPTIONS IMPORT: route-related options modified
Fri Dec 19 22:27:14 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Dec 19 22:27:14 2014 MANAGEMENT: >STATE:1419024434,ASSIGN_IP,,,
Fri Dec 19 22:27:14 2014 open_tun, tt->ipv6=0
Fri Dec 19 22:27:14 2014 TAP-WIN32 device [Připojení k místní síti 2] opened: \\.\Global\{E353E580-36C8-48D5-A381-D3264B33D8FA}.tap
Fri Dec 19 22:27:14 2014 TAP-Windows Driver Version 9.21
Fri Dec 19 22:27:14 2014 MANAGEMENT: Client disconnected
Fri Dec 19 22:27:14 2014 ERROR: There is a clash between the --ifconfig local address and the internal DHCP server address -- both are set to 0.0.0.0 -- please use the --ip-win32 dynamic option to choose a different free address from the --ifconfig subnet for the internal DHCP server
Fri Dec 19 22:27:14 2014 Exiting due to fatal error

Mart

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #23 kdy: 20. 12. 2014, 09:40:49 »
Heleť v tom logu :

ri Dec 19 22:27:04 2014 SENT CONTROL [XX.mo.je.IP]: 'PUSH_REQUEST' (status=1)

To [XX.mo.je.IP]  si přepisoval i v tom LOGU ?  nebo to tam máš pořád nastavené ?  tam by měla být veřejka (veřejná IP)  toho serveru.
Jen se hloupatě ptám. Jestli si to tam nezapomněl .

nofu

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #24 kdy: 20. 12. 2014, 10:48:49 »
Editoval jsem log, přecijen se nemusí moje veřená IP válet všude na netu. Stejně tak jsem zeditoval jméno firmy, email atd. u certifikátu.

M.

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #25 kdy: 21. 12. 2014, 15:19:40 »
Nu, to vypadá dle logu skoro dobře. Hm. Zkus přidat do konfigurace Mikrotiku to:
"2. vytvořil jsem poole "ovpn-pool" 192.168.89.2-192.168.89.10
3. vytvořil jsem PPP profile "ovpn" - nejsem si jistej, jak má být v tomto případě definovaná Local address, zda tam má bejt 192.168.89.1 nebo tam má bejt ovpn-pool jako je v Remote address? Budu tam posléze, až bude vytvořen, zadávat nějakej bridge?"
Jako local address dáš to 192.168.89.1 a bridge samozřejmě bridge-local.
Pak se zkus připojit, co to bude dělat.
Pokud by se to nerozjelo, tak do konfiguračního souboru klienta přidej volbu "ifconfig-nowarn".

nofu

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #26 kdy: 21. 12. 2014, 21:04:08 »
Funguje - obrovský dík všem zúčastněným!

Nejel PING do vnitřní sítě, bylo potřeba změnit pool na 192.168.88.2-10, což je logické, také bylo třeba změnit v ovpn-profile Local Address na 192.168.88.1 (to je spíše poznámka pro mě, až to budu za rok řešit znovu / hlava děravá)

Mám tu ještě jeden dotaz, asi bude třeba přenastavit firewall, ale vůbec nemám páru co a jak. Dočetl jsem se, že pokud mám veřejnou IP a ve firewallu mám dropnutej input, tak že mi hned najdou boti a začnou mi spamovat brutal force útokama přes ssh/ftp atd. Což se mi samozřejmě děje, útoky jsou ze spousty různých IP adres. Jak se tomu bránit? Bo to prostě neřešit?

nofu

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #27 kdy: 21. 12. 2014, 22:09:50 »
Jasný, 2 hoďky googlim a nic, ono se stačí zeptat a ono se řešení hnedka samo vynoří: wiki.mikrotik

Jen se mi nedaří přidat hned první pravidlo z terminálu, když ho tam zadávám, tak napíšu:
Kód: [Vybrat]
add chain=input protocol=tcp dst-port=21Před tím "21" je to rovnáse zahnědlý (add chain=input protocol=tcp dst-port=21). Se nějak změnily pravidla zápisu? Přes terminál ten příkaz prostě nezadám (zůstane zahnědlé, i když celé pravidlo dopíši).

/nastavil sem si to ve winboxu, ale jen mi to zajímá, čim to

nofu

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #28 kdy: 21. 12. 2014, 23:03:35 »
Aaaa, sem trdlo, ty příkazy se museji zadávat do /ip firewall filter a já je zadáva do "rootu".

Je ještě něco, na co bych se měl u firewallu zaměřit?

nofu

Re:VPN na Mikrotik RB951G-2HnD
« Odpověď #29 kdy: 04. 01. 2015, 08:27:32 »
Tak jsem pořídil mikrotika i domu a přídu si jak alenka v říši divů. Nejsem schopnej rozchodit PPTP tunel. Přitom v kanclu to běhá jak z praku. Všechno mam nastavené stejně. Vyhodí to chybu 807 (viz přiloženej obrázek).

Rozdíly:
1) v kanclu je připojení přes VDSL, doma jsem na UPC - je možné, že to UPC blokuje?
2) v kanclu je v routru routerOS 6.23, doma 6.24 - podezřívám právě verzi 6.24, tady je changelog:
Citace
*) ntp - fixed vulnerabilities;
*) web proxy - fix problem when dscp was not set when ipv6 was enabled;
*) fixed problem where some of ethernet cards do not work on x86;
*) improved CCR ethernet driver (less dropped packets);
*) improved queue tree parent=global performance (especially on SMP systems and CCRs);
*) eoip/eoipv6/gre/gre6/ipip/ipipv6/6to4 tunnels have improved per core balancing on CCRs;
*) fixed tx for 6to4 tunnels with unspecified dst address;
*) fixed vrrp - could sometimes not work properly because of advertising bad set of ip addresses;
Může něco z toho ovlivnivt fci PPTP či L2TP tunelu?

Případně, je nějaká šance, jak downgradovat router na 6.23, abych vyloučil tuto možnost? Našel jsem, že to jde příkazem /system package downgrade, ale to bych někde musel stahnout "routeros-x86-6.23.1.npk", ale ten zaboha nemůžu nikde najít.