MikroTik hAP ac3 a zprovoznění OpenVPN

MikroTik hAP ac3 a zprovoznění OpenVPN
« kdy: 13. 01. 2022, 19:00:46 »
Zdravím.
Lama si koupila Mikrotik hAP ac3 a snaží se marně zprovoznít OpenVPN.
Port 1194 mám otevřeny a postupoval jsem podle tohoto.
https://www.youtube.com/watch?v=pv10UCgG0yQ

5 díl 4:33 min.
To proxy ARP, v čem to mám spravně nastavit u tohoto routru?
V bridge?
V openvpn pod win mam v logu.
Citace
us=812000 Cipher negotiation is disabled since neither P2MP client nor server mode is enabled
Options error: On Windows, --ifconfig is required when --dev tun is used
Jsem v praci, tak pokud budou nějake chybové hlašky v logu na mikrotiku, dam zitra.



« Poslední změna: 14. 01. 2022, 08:04:28 od Petr Krčmář »


Re:Mikrotik hAP ac3 OpenVPN.
« Odpověď #1 kdy: 13. 01. 2022, 21:44:39 »
Proč nerozjedeš WG, což je nesrovnatelně snazší?

PS: zapezpečení domácí sítě podle YT.

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:Mikrotik hAP ac3 OpenVPN.
« Odpověď #2 kdy: 13. 01. 2022, 23:53:47 »
Proč nerozjedeš WG, což je nesrovnatelně snazší?

PS: zapezpečení domácí sítě podle YT.
Tak zas tak hrozný nastavit OVPN není...

@BigSandy
Co máte v .ovpn souboru?
Máte správně vygenerované certifikáty (a optimálně zalinkované v .ovpn souboru)?
Jestli je potřeba proxy ARP, tak to znamená, že OVPN klient má adresu z LAN? Na to bych se vykašlal a udělal to routovaně.

V zápiscích mám tohle (starší 2 let, za funkčnost na aktuálním ROS neručím):

  • OvpnPort = 443
  • LAN = 192.168.1.0/24
  • OvpnPool = 192.168.2.0/24

ROS:
Kód: [Vybrat]
/ip pool
add name=openvpn-pool ranges=192.168.2.2-192.168.2.10

/ppp profile
add bridge=bridge1 local-address=192.168.2.1 name=openvpn remote-address=openvpn-pool

/interface bridge port
add bridge=bridge1 interface=ether3-slave-local
add bridge=bridge1 interface=ether4-slave-local
add bridge=bridge1 interface=ether5-slave-local
add bridge=bridge1 interface=ether2-master-local

/ip neighbor discovery-settings
set discover-interface-list=discover

/interface ovpn-server server
set auth=sha1 certificate=OPENVPN-SERVER cipher=aes256 default-profile=openvpn enabled=yes port=443

/ip address
add address=192.168.1.1/24 comment="default configuration" interface=bridge1 network=192.168.1.0
add address={FirmaIP}/27 interface=ether1-gateway network={FirmaGW}

/ip firewall filter
add action=accept chain=input comment=OpenVPN dst-port=443 log=yes protocol=tcp

/ppp secret
add name=user password=**** profile=openvpn service=ovpn

/system clock
set time-zone-autodetect=no time-zone-name=Europe/Prague

/system identity
set name=FIRMA

.ovpn soubor:
Kód: [Vybrat]
client
route-nopull
float
route 192.168.1.0 255.255.255.0
route-metric 1
dev tun
proto tcp
remote {FirmaIP} 443
remote-cert-tls server
auth SHA128
cipher AES-256-CBC
auth SHA1
auth-user-pass
auth-nocache
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
<ca>
{Obsah souboru certifikátu CA; ca.crt}
</ca>

<cert>
{Obsah klientského certifikátu; client.crt}
</cert>

<key>
{Obsah key souboru klientského certifikátu; client.key}
</key>

Re:Mikrotik hAP ac3 OpenVPN.
« Odpověď #3 kdy: 14. 01. 2022, 05:29:11 »
Ten .ovpn je pod tým videem na youtube a i odkaz na drive.google pro stahnuti.
Citace
dev tun
proto tcp-client
remote xxx.xxx.xxx.xxx (moje veřejna IP)
port 1194
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
ca CA.crt
cert client.crt
key client.key
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
auth-user-pass secret
auth-nocache

Změníl jsem jen IP a nazvý  vygenerovaných certifikatu (3 soubor), tak jak je to na tom videu.

Dotaz.
Když mám otevřený port 1194, a chci se přes VPN připojít, neměl bých vidět v logu, nějake info že se na ten port něco připojuje?

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:Mikrotik hAP ac3 OpenVPN.
« Odpověď #4 kdy: 14. 01. 2022, 09:45:46 »
Ten .ovpn je pod tým videem na youtube a i odkaz na drive.google pro stahnuti.

Pardon, ale sledovat celé video a zkoumat popisky nebudu.
IMHO tento setup je dle mě blbost. Udělal bych to s rozdílnými subnety (LAN a OVPN).

Když si zapnete logování OVPN, tak byste v logu určitě něco vidět měl (System - Logging) nebo na pravidle ve firewallu uvidíte/neuvidíte hitcounty.

Ty certifikáty (CA, client cert a client key) máte ve svém PC ve správné cestě (dle konfigu, myslím, stejný adresář jako .ovpn)?

Kód: [Vybrat]
us=812000 Cipher negotiation is disabled since neither P2MP client nor server mode is enabled
Options error: On Windows, --ifconfig is required when --dev tun is used

V konfiguraci ROS přidělujete klientům IP adresu v /ppp profile nebo /ppp secret?


Re:Mikrotik hAP ac3 OpenVPN.
« Odpověď #5 kdy: 14. 01. 2022, 13:51:37 »
No a že to "není zas tak hrozný" je důvod, neudělat to snáz a s rychlejší technologií? :)

Proč nerozjedeš WG, což je nesrovnatelně snazší?

PS: zapezpečení domácí sítě podle YT.
Tak zas tak hrozný nastavit OVPN není...

@BigSandy
Co máte v .ovpn souboru?
Máte správně vygenerované certifikáty (a optimálně zalinkované v .ovpn souboru)?
Jestli je potřeba proxy ARP, tak to znamená, že OVPN klient má adresu z LAN? Na to bych se vykašlal a udělal to routovaně.

V zápiscích mám tohle (starší 2 let, za funkčnost na aktuálním ROS neručím):

  • OvpnPort = 443
  • LAN = 192.168.1.0/24
  • OvpnPool = 192.168.2.0/24

ROS:
Kód: [Vybrat]
/ip pool
add name=openvpn-pool ranges=192.168.2.2-192.168.2.10

/ppp profile
add bridge=bridge1 local-address=192.168.2.1 name=openvpn remote-address=openvpn-pool

/interface bridge port
add bridge=bridge1 interface=ether3-slave-local
add bridge=bridge1 interface=ether4-slave-local
add bridge=bridge1 interface=ether5-slave-local
add bridge=bridge1 interface=ether2-master-local

/ip neighbor discovery-settings
set discover-interface-list=discover

/interface ovpn-server server
set auth=sha1 certificate=OPENVPN-SERVER cipher=aes256 default-profile=openvpn enabled=yes port=443

/ip address
add address=192.168.1.1/24 comment="default configuration" interface=bridge1 network=192.168.1.0
add address={FirmaIP}/27 interface=ether1-gateway network={FirmaGW}

/ip firewall filter
add action=accept chain=input comment=OpenVPN dst-port=443 log=yes protocol=tcp

/ppp secret
add name=user password=**** profile=openvpn service=ovpn

/system clock
set time-zone-autodetect=no time-zone-name=Europe/Prague

/system identity
set name=FIRMA

.ovpn soubor:
Kód: [Vybrat]
client
route-nopull
float
route 192.168.1.0 255.255.255.0
route-metric 1
dev tun
proto tcp
remote {FirmaIP} 443
remote-cert-tls server
auth SHA128
cipher AES-256-CBC
auth SHA1
auth-user-pass
auth-nocache
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
<ca>
{Obsah souboru certifikátu CA; ca.crt}
</ca>

<cert>
{Obsah klientského certifikátu; client.crt}
</cert>

<key>
{Obsah key souboru klientského certifikátu; client.key}
</key>

Re:MikroTik hAP ac3 a zprovoznění OpenVPN
« Odpověď #6 kdy: 16. 01. 2022, 10:23:23 »
Děkují, až bude čas vyzkouším  ;)

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:Mikrotik hAP ac3 OpenVPN.
« Odpověď #7 kdy: 16. 01. 2022, 13:14:04 »
Proč nerozjedeš WG, což je nesrovnatelně snazší?

Reagoval jsem na toto. Pokud OVPN rozjedu za 20 minut, tak nevim, o kolik je WG nesrovnatelne snazsi? 5 minut?

Citace
No a že to "není zas tak hrozný" je důvod, neudělat to snáz a s rychlejší technologií? :)

Konkretni usecase neznam, ale urcite by se nejake duvody nasli:
  • Pokud vim, tak WG je az v ROS 7, coz je stale beta (bez ohledu na oficialni stav).
  • WG je UDP only a v nekterych (ne castych) pripadech muze byt TCP vyhodou.
  • Chcete VPN v ROS vyuzivat ve stavajici infrastrukture, kde jiz mate nasazeno OVPN.

Staci?

Re:MikroTik hAP ac3 a zprovoznění OpenVPN
« Odpověď #8 kdy: 18. 01. 2022, 06:39:12 »
Pripadne ked mas problem spravit .ovpn konfig pouzi https://ovpnconfig.com.br/

Re:MikroTik hAP ac3 a zprovoznění OpenVPN
« Odpověď #9 kdy: 19. 01. 2022, 07:22:03 »
Tak problém byl fakt v tom openvpn.ovpn.
Už jedeme.
Děkují moooc.

Ještě jeden dotaz.
Jak to rozchodit na androidu?
Dlouho jsem měl aušusa s VPN a používaljejích OpenVPN
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=cs
Aušus nepoužíval certifikáty a měl jen openvpn.ovpn
Někde jsem čet, že na androidu je problém s dešifrovaní těch certifikatu.

Re:MikroTik hAP ac3 a zprovoznění OpenVPN
« Odpověď #10 kdy: 08. 02. 2022, 08:47:32 »
Mužu dotaz mimo tém, abych tu moc nespamoval?
Přes wibox quick set.
Dole vlevo mám připojene klienty.
Da se u ních změnít name?
Dik

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:MikroTik hAP ac3 a zprovoznění OpenVPN
« Odpověď #11 kdy: 08. 02. 2022, 16:09:10 »
Ještě jeden dotaz.
Jak to rozchodit na androidu?
Dlouho jsem měl aušusa s VPN a používaljejích OpenVPN
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=cs
Aušus nepoužíval certifikáty a měl jen openvpn.ovpn
Někde jsem čet, že na androidu je problém s dešifrovaní těch certifikatu.
Používám, zatím vždy fungovalo bez problémů.

Jediné, co je potřeba, je vložit certifikáty do konfiguračních souborů (a to už teď dělám vždy):
https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage#lbAV

V podstatě všechny tři certifikáty zkopírujete do konfiguračního souboru a vložíte do odpovídajících tagů (<ca></ca>, <cert></cert>, <key></key>).

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:MikroTik hAP ac3 a zprovoznění OpenVPN
« Odpověď #12 kdy: 08. 02. 2022, 16:21:04 »
Mužu dotaz mimo tém, abych tu moc nespamoval?
Přes wibox quick set.
Dole vlevo mám připojene klienty.
Da se u ních změnít name?
Dik
QuickSet neznám a nikde se do něj teď nepodívám.

Předpokládám, že myslíte hostname a v tom případě ho změníte nastavením hostname na klientovi.
Případně pro statické DHCP rezervace byste mohl použít DHCP option 12 (https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml).

Re:Mikrotik hAP ac3 OpenVPN. / udp lepší?
« Odpověď #13 kdy: 05. 03. 2022, 23:20:02 »
Citace
mv).[/li]
[li]WG je UDP only a v nekterych (ne castych) pripadech muze byt TCP vyhodou.[/li][/list]
Mám takovou kacířskou otázku není právě UDP lepší? aka problém. TCPinTCP
Asi jen ze 3 hledisek co mě napadají v případě TCP: 
- vyšší(2x) roundtrip time
- nižší dosažitelná rychlost(propusnost)
- horší chování při kolísavé lince (rychlost se mění,jitter,ztrátovost,latence)... To v závorce myšleno jako vstupní parametry linky ale i pozorovatelné v tunelivané lince
Která jsou reálná?