reklama

Konfigurace OpenVPN v MikroTiku

crown

Konfigurace OpenVPN v MikroTiku
« kdy: 13. 08. 2018, 22:31:23 »
Poridil jsem si na pokusy maleho mikrotika a chci se zeptat, zda jde nakonfigurovat:
virtualni wifi sit - to uz se mi povedlo
open vpn klient - ted nastavuju a bojuju s tim. Zrejme budu muset na serveru vypnout lzo kompresi, tohle umim.

Takhle vypada client konfigurace v linuxu. Tady zatim nevim, jak to napsat do router os. Treba router os trva na username/password. To nepouzivam, mam misto toho certifikat.

Kód: [Vybrat]
client
tls-client
dev tap
proto tcp
remote xx.xx.xx.xx yyyy # zde vlozte jmeno nebo IP adresu Vašeho serveru
resolv-retry infinite
nobind
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client.crt
key /etc/openvpn/client.key
mute-replay-warnings
comp-lzo
verb 3
keepalive 2 30
persist-key
persist-tun

Poradili byste mi prosim, zda to jde a postrcili me spravnym smerem?

Tohle vidim jako moznost v router os.
« Poslední změna: 14. 08. 2018, 00:03:47 od Petr Krčmář »

reklama


PeteB Lazar

Re:mikrotik ovpn
« Odpověď #1 kdy: 13. 08. 2018, 22:51:17 »
Zde je to podano vcelku vycerpavajicim zpusobem
https://wiki.mikrotik.com/wiki/OpenVPN

Username/password jsou snad povinne, pozadovani klientskeho certifikatu je volitene.

Madmucho

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #2 kdy: 14. 08. 2018, 09:44:50 »
Hola,
to heslo můžeš obejit tím že jej podstrčíš v plain text souboru jako referenci.

Klient v konfigu má pak následující řádek

Kód: [Vybrat]
auth-user-pass pass.txt
A v tom pass.txt souboru ve stejné složce uděláš dva řádky první je username a druhý je heslo.

crown

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #3 kdy: 14. 08. 2018, 14:18:16 »
to znamena, ze musim openvpn server upravit, aby krome certifikatu vyzadoval i jmeno/heslo. Dekuju

crown

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #4 kdy: 14. 08. 2018, 15:13:35 »
Poridil jsem si na pokusy maleho mikrotika

Za litr to nastavim a rozbeham.

umis to rozbehat tak, jak to je server nastaven, tedy bez jmena a hesla a s lzo kompresi?
Muzu ti dat treba litr piva, kdyz me to naucis (tj. ne jenom nastavis, ale i vysvetlis).
Mam to jen pro sve pokusy, k nicemu to vlastne nepotrebuju. Rozhodne neposkytuju nikomu internet, ani nejsem firma.

reklama


Mikrotik

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #5 kdy: 14. 08. 2018, 15:47:09 »
Skoleni na Mikrotik bude stat 5000,-

crown

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #6 kdy: 14. 08. 2018, 16:32:09 »
fajn, az budu chtit pracovat u ISP, tak si ho zaplatim. Ted mam mikrotik na hrani misto obyc routeru. Zakladni veci fungujou a zbytek si budu zkouset podle zdarma pristupnych navodu jako treba tento https://www.youtube.com/watch?v=76nK1LXyPMA a dalsi.
Ano, osobni skoleni funguje lepe, ale kdyz me to nezivi...

Dokonce si myslim ze tyto nabidky skoleni sem na forum vubec nepatri.

akcni_stravenky

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #7 kdy: 14. 08. 2018, 19:38:35 »
S lzo kompresiou ti to nikto nerozbeha, mikrotik nepodporuje ani kompresiu, ani udp. Iba tcp bez kompresie. Podpora by mala prist az s prichodom RouterOS v7, o ktorej nikto netusi kedy a ci vobec bude existovat, ale roky sa o tom na mikrotik foru pise. Podpora openvpn v mikrotiku je velmi obmedzena, preto aj ja som radsej pouzil l2tp/ipsec, ktorej zapnutie je v novych verziach RouterOS pomerne komfortne, v podstate ti staci spustit v ppp l2tp server a zaskrtnut ze chces pouzivat ipsec a zadat tam heslo a nasledne este vytvorit secrety (mena a hesla pre l2tp uzivatelov) a mozes pripojit klienta. Openvpn ale lepsie prelezie cez restriktivne firewally a tiez s l2tp je obmedzenie ze nemoze byt viacero klientov za jednou natovanou adresou. Niektore nove verzie mikrotikov dokonca podporuju aj harwareove sifrovanie ipsecu, takze ani vykonnostne by to nemal byt problem.


umis to rozbehat tak, jak to je server nastaven, tedy bez jmena a hesla a s lzo kompresi?


Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #8 kdy: 15. 08. 2018, 07:40:39 »
... tiez s l2tp je obmedzenie ze nemoze byt viacero klientov za jednou natovanou adresou.
PPTP/GRE nelze použít z více klientů za jednou natovanou adresou, L2TP tento problém nemá. Ten problém způsobuje protokol GRE (č. 47), který má jen zdrojovou a cílovou IP adresu (žádné porty), proto u paketů nelze určit, který z klientů za NATem patří ke kterému paketu.
U Windows L2TP klientů (a asi i serveru), pokud se jede přes NAT, je nutné nastavit v registry:
reg add HKLM\System\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2

crown

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #9 kdy: 15. 08. 2018, 10:51:37 »
bez lzo komprese a jen tcp mi nevadi, to se jednoduse nastavi na serveru. Spis me prekvapilo, ze musi byt vyplnene jmeno a heslo a nejde jen certifikatem.
Me uz bezi doma na turrisu openvpn server a funguje to fajn. Muzu tam rozbehnout i l2tp/ipsec, ale jednodussi by bylo upravit openvpn tak, aby se tam mikrotik umel pripojit.

na serveru by to melo vypadat ted takto. Jak to mam upravit, aby se s tim bavil mikrotik.

client
tls-client
dev tap
proto tcp
remote xx.xx.xx.xx yyyy # zde vlozte jmeno nebo IP adresu Vašeho serveru
resolv-retry infinite
nobind
ca ca.crt
cert client.crt
key client.key
mute-replay-warnings
comp-lzo <-- toto vyhodim
verb 3
keepalive 10 120
persist-key
persist-tun


taky mi neni jasne policko cipher na mikrotiku. Z nastaveni na serveru netusim, co je pouzito.

Diky

crown

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #10 kdy: 15. 08. 2018, 10:55:33 »

root@turris:/tmp/etc# cat openvpn-lan.conf
client-to-client
persist-key
persist-tun
tls-server
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
comp-lzo yes
dev tap0
dh /etc/openvpn/dh1024.pem
keepalive 10 120
key /etc/openvpn/server.key
mute 20
port 1194
proto tcp
server-bridge 10.0.0.138 255.255.255.0 10.0.0.10 10.0.0.50
status /tmp/openvpn_tap0.status
verb 3
push dhcp-option DNS 10.0.0.138
push redirect-gateway def1

karel

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #11 kdy: 15. 08. 2018, 11:05:37 »
Skoleni na Mikrotik bude stat 5000,-

Plus cena mikrotiku a jsem na cene omnie  nebo i min tex s Moxem a  tam rozjedu openvpn server na dve kliknuti.
Vytvoreni certifikatu pro uzivatele staci zadat jmeno a ok.

Lol Phirae

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #12 kdy: 15. 08. 2018, 14:06:57 »
bez lzo komprese a jen tcp mi nevadi, to se jednoduse nastavi na serveru.

Ano, to se jednoduše nastaví na serveru. Akorát ten výkon jde naprosto do hajzlu.

crown

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #13 kdy: 15. 08. 2018, 15:09:39 »
tcp versus udp -- udp je jednoznacne vykonnejsi, hlavne pokud jsou vypadky na siti. Pro moje domaci pouziti ale nevidim rozdil (openvpn mi bezi na udp i na tcp a zkousel jsem porovnavat. Opakuji pro moje domaci pouziti)
tcp pouzivam napriklad na hotspotech, kde me nenechaji pouzit nic jineho nez tcp na portu 80/443

lzo komprese -- tady predpokladam, ze pri malem objemu dat nebu u nekomprimovatelnych dat (videa) by nemel byt vetsi rozdil, ale nemam podlozeno

kazdopadne shrnuti, doporucujes mi radsi nahodit na serveru l2tp/ipsec navic k openvpn serveru?

Diky

akcni_stravenky

Re:Konfigurace OpenVPN v MikroTiku
« Odpověď #14 kdy: 15. 08. 2018, 18:39:38 »
Nemam chut to troubleshootovat, ale hned z fleku vidim ze na zaciatku mas definovane "dev tap" a potom dole "persist-tun". Musis sa rozhodnut ci chces routovat alebo bridgovat, t.j. ci budes pouzivat tun alebo tap. Musi to byt vsade rovnake.

Verim ze na nete najdes nejaky tutorial, napriklad na mikrotiky je dobry Greg Sowell, ma aj vyborne videa a urcite aj toto uz riesil. Len audio je hnusne, furt tak kycha, smrka, mlaska :)


na serveru by to melo vypadat ted takto. Jak to mam upravit, aby se s tim bavil mikrotik.

client
tls-client
dev tap
proto tcp
remote xx.xx.xx.xx yyyy # zde vlozte jmeno nebo IP adresu Vašeho serveru
resolv-retry infinite
nobind
ca ca.crt
cert client.crt
key client.key
mute-replay-warnings
comp-lzo <-- toto vyhodim
verb 3
keepalive 10 120
persist-key
persist-tun


taky mi neni jasne policko cipher na mikrotiku. Z nastaveni na serveru netusim, co je pouzito.

Diky

 

reklama