Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: BigSandy 13. 01. 2022, 19:00:46
-
Zdravím.
Lama si koupila Mikrotik hAP ac3 a snaží se marně zprovoznít OpenVPN.
Port 1194 mám otevřeny a postupoval jsem podle tohoto.
https://www.youtube.com/watch?v=pv10UCgG0yQ
5 díl 4:33 min.
To proxy ARP, v čem to mám spravně nastavit u tohoto routru?
V bridge?
V openvpn pod win mam v logu.
us=812000 Cipher negotiation is disabled since neither P2MP client nor server mode is enabled
Options error: On Windows, --ifconfig is required when --dev tun is used
Jsem v praci, tak pokud budou nějake chybové hlašky v logu na mikrotiku, dam zitra.
-
Proč nerozjedeš WG, což je nesrovnatelně snazší?
PS: zapezpečení domácí sítě podle YT.
-
Proč nerozjedeš WG, což je nesrovnatelně snazší?
PS: zapezpečení domácí sítě podle YT.
Tak zas tak hrozný nastavit OVPN není...
@BigSandy
Co máte v .ovpn souboru?
Máte správně vygenerované certifikáty (a optimálně zalinkované v .ovpn souboru)?
Jestli je potřeba proxy ARP, tak to znamená, že OVPN klient má adresu z LAN? Na to bych se vykašlal a udělal to routovaně.
V zápiscích mám tohle (starší 2 let, za funkčnost na aktuálním ROS neručím):
- OvpnPort = 443
- LAN = 192.168.1.0/24
- OvpnPool = 192.168.2.0/24
ROS:
/ip pool
add name=openvpn-pool ranges=192.168.2.2-192.168.2.10
/ppp profile
add bridge=bridge1 local-address=192.168.2.1 name=openvpn remote-address=openvpn-pool
/interface bridge port
add bridge=bridge1 interface=ether3-slave-local
add bridge=bridge1 interface=ether4-slave-local
add bridge=bridge1 interface=ether5-slave-local
add bridge=bridge1 interface=ether2-master-local
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface ovpn-server server
set auth=sha1 certificate=OPENVPN-SERVER cipher=aes256 default-profile=openvpn enabled=yes port=443
/ip address
add address=192.168.1.1/24 comment="default configuration" interface=bridge1 network=192.168.1.0
add address={FirmaIP}/27 interface=ether1-gateway network={FirmaGW}
/ip firewall filter
add action=accept chain=input comment=OpenVPN dst-port=443 log=yes protocol=tcp
/ppp secret
add name=user password=**** profile=openvpn service=ovpn
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Prague
/system identity
set name=FIRMA
.ovpn soubor:
client
route-nopull
float
route 192.168.1.0 255.255.255.0
route-metric 1
dev tun
proto tcp
remote {FirmaIP} 443
remote-cert-tls server
auth SHA128
cipher AES-256-CBC
auth SHA1
auth-user-pass
auth-nocache
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
<ca>
{Obsah souboru certifikátu CA; ca.crt}
</ca>
<cert>
{Obsah klientského certifikátu; client.crt}
</cert>
<key>
{Obsah key souboru klientského certifikátu; client.key}
</key>
-
Ten .ovpn je pod tým videem na youtube a i odkaz na drive.google pro stahnuti.
dev tun
proto tcp-client
remote xxx.xxx.xxx.xxx (moje veřejna IP)
port 1194
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
ca CA.crt
cert client.crt
key client.key
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
auth-user-pass secret
auth-nocache
Změníl jsem jen IP a nazvý vygenerovaných certifikatu (3 soubor), tak jak je to na tom videu.
Dotaz.
Když mám otevřený port 1194, a chci se přes VPN připojít, neměl bých vidět v logu, nějake info že se na ten port něco připojuje?
-
Ten .ovpn je pod tým videem na youtube a i odkaz na drive.google pro stahnuti.
Pardon, ale sledovat celé video a zkoumat popisky nebudu.
IMHO tento setup je dle mě blbost. Udělal bych to s rozdílnými subnety (LAN a OVPN).
Když si zapnete logování OVPN, tak byste v logu určitě něco vidět měl (System - Logging) nebo na pravidle ve firewallu uvidíte/neuvidíte hitcounty.
Ty certifikáty (CA, client cert a client key) máte ve svém PC ve správné cestě (dle konfigu, myslím, stejný adresář jako .ovpn)?
us=812000 Cipher negotiation is disabled since neither P2MP client nor server mode is enabled
Options error: On Windows, --ifconfig is required when --dev tun is used
V konfiguraci ROS přidělujete klientům IP adresu v /ppp profile nebo /ppp secret?
-
No a že to "není zas tak hrozný" je důvod, neudělat to snáz a s rychlejší technologií? :)
Proč nerozjedeš WG, což je nesrovnatelně snazší?
PS: zapezpečení domácí sítě podle YT.
Tak zas tak hrozný nastavit OVPN není...
@BigSandy
Co máte v .ovpn souboru?
Máte správně vygenerované certifikáty (a optimálně zalinkované v .ovpn souboru)?
Jestli je potřeba proxy ARP, tak to znamená, že OVPN klient má adresu z LAN? Na to bych se vykašlal a udělal to routovaně.
V zápiscích mám tohle (starší 2 let, za funkčnost na aktuálním ROS neručím):
- OvpnPort = 443
- LAN = 192.168.1.0/24
- OvpnPool = 192.168.2.0/24
ROS:
/ip pool
add name=openvpn-pool ranges=192.168.2.2-192.168.2.10
/ppp profile
add bridge=bridge1 local-address=192.168.2.1 name=openvpn remote-address=openvpn-pool
/interface bridge port
add bridge=bridge1 interface=ether3-slave-local
add bridge=bridge1 interface=ether4-slave-local
add bridge=bridge1 interface=ether5-slave-local
add bridge=bridge1 interface=ether2-master-local
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface ovpn-server server
set auth=sha1 certificate=OPENVPN-SERVER cipher=aes256 default-profile=openvpn enabled=yes port=443
/ip address
add address=192.168.1.1/24 comment="default configuration" interface=bridge1 network=192.168.1.0
add address={FirmaIP}/27 interface=ether1-gateway network={FirmaGW}
/ip firewall filter
add action=accept chain=input comment=OpenVPN dst-port=443 log=yes protocol=tcp
/ppp secret
add name=user password=**** profile=openvpn service=ovpn
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Prague
/system identity
set name=FIRMA
.ovpn soubor:
client
route-nopull
float
route 192.168.1.0 255.255.255.0
route-metric 1
dev tun
proto tcp
remote {FirmaIP} 443
remote-cert-tls server
auth SHA128
cipher AES-256-CBC
auth SHA1
auth-user-pass
auth-nocache
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
<ca>
{Obsah souboru certifikátu CA; ca.crt}
</ca>
<cert>
{Obsah klientského certifikátu; client.crt}
</cert>
<key>
{Obsah key souboru klientského certifikátu; client.key}
</key>
-
Děkují, až bude čas vyzkouším ;)
-
Proč nerozjedeš WG, což je nesrovnatelně snazší?
Reagoval jsem na toto. Pokud OVPN rozjedu za 20 minut, tak nevim, o kolik je WG nesrovnatelne snazsi? 5 minut?
No a že to "není zas tak hrozný" je důvod, neudělat to snáz a s rychlejší technologií? :)
Konkretni usecase neznam, ale urcite by se nejake duvody nasli:
- Pokud vim, tak WG je az v ROS 7, coz je stale beta (bez ohledu na oficialni stav).
- WG je UDP only a v nekterych (ne castych) pripadech muze byt TCP vyhodou.
- Chcete VPN v ROS vyuzivat ve stavajici infrastrukture, kde jiz mate nasazeno OVPN.
Staci?
-
Pripadne ked mas problem spravit .ovpn konfig pouzi https://ovpnconfig.com.br/
-
Tak problém byl fakt v tom openvpn.ovpn.
Už jedeme.
Děkují moooc.
Ještě jeden dotaz.
Jak to rozchodit na androidu?
Dlouho jsem měl aušusa s VPN a používaljejích OpenVPN
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=cs
Aušus nepoužíval certifikáty a měl jen openvpn.ovpn
Někde jsem čet, že na androidu je problém s dešifrovaní těch certifikatu.
-
Mužu dotaz mimo tém, abych tu moc nespamoval?
Přes wibox quick set.
Dole vlevo mám připojene klienty.
Da se u ních změnít name?
Dik
-
Ještě jeden dotaz.
Jak to rozchodit na androidu?
Dlouho jsem měl aušusa s VPN a používaljejích OpenVPN
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=cs
Aušus nepoužíval certifikáty a měl jen openvpn.ovpn
Někde jsem čet, že na androidu je problém s dešifrovaní těch certifikatu.
Používám, zatím vždy fungovalo bez problémů.
Jediné, co je potřeba, je vložit certifikáty do konfiguračních souborů (a to už teď dělám vždy):
https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage#lbAV
V podstatě všechny tři certifikáty zkopírujete do konfiguračního souboru a vložíte do odpovídajících tagů (<ca></ca>, <cert></cert>, <key></key>).
-
Mužu dotaz mimo tém, abych tu moc nespamoval?
Přes wibox quick set.
Dole vlevo mám připojene klienty.
Da se u ních změnít name?
Dik
QuickSet neznám a nikde se do něj teď nepodívám.
Předpokládám, že myslíte hostname a v tom případě ho změníte nastavením hostname na klientovi.
Případně pro statické DHCP rezervace byste mohl použít DHCP option 12 (https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml).
-
mv).[/li]
[li]WG je UDP only a v nekterych (ne castych) pripadech muze byt TCP vyhodou.[/li][/list]
Mám takovou kacířskou otázku není právě UDP lepší? aka problém. TCPinTCP
Asi jen ze 3 hledisek co mě napadají v případě TCP:
- vyšší(2x) roundtrip time
- nižší dosažitelná rychlost(propusnost)
- horší chování při kolísavé lince (rychlost se mění,jitter,ztrátovost,latence)... To v závorce myšleno jako vstupní parametry linky ale i pozorovatelné v tunelivané lince
Která jsou reálná?