OVPN MKT>MKT 5.12

[kompletit]

Zdravím,

narazil jsem na problém při propojení MKT ROS 5.12 jako OVPN server a MKT ROS 5.12 jako OVPN klient. Oba dva jsou RB750GL, oba mají 2 konektivity ADSL/WIFI a potřebuji zprovozit VPN na ADSL části. Oba se spojí, vidím connection, ale hned se zase odpojí a snaží se připojit znovu. Zkoušel jsem vš možné i nemožné a napadla mě jedině nějaká nekompatibilita v 5kové verzi ROS. Máte někdo zkušenost? Díky za pomoc

//UPDATE
na serveru to píše toto:
15:49:48 ovpn,info TCP connection established from 90.179.152.xx
15:49:49 ovpn,info TCP connection established from 90.179.152.xx
15:49:50 ovpn,info TCP connection established from 90.179.152.xx
15:49:54 ovpn,info TCP connection established from 90.179.152.xx
15:50:00 ovpn,info TCP connection established from 90.179.152.xx

na klientu:
14:51:45 ovpn,info ovpn-out1: initializing...
14:51:45 ovpn,info ovpn-out1: dialing...
14:51:45 ovpn,info ovpn-out1: terminating... - peer disconnected
14:51:45 ovpn,info ovpn-out1: disconnected
14:51:55 ovpn,info ovpn-out1: initializing...
14:51:55 ovpn,info ovpn-out1: dialing...
14:51:55 ovpn,info ovpn-out1: terminating... - peer disconnected
14:51:55 ovpn,info ovpn-out1: disconnected

[Maxik]

mam server 5.12 a klienty 5.7 nebo 5.11 bez problemu

[kompletit]

A jedeš přes certifikáty nebo jen username/password?

Zkoušel jsem certifikát i only password a stejný problém.

Mode:ethernet, Auth:Sha1, Cipher: AES128

[kompletit]

//UPDATE

MKT>MKT 5.13 uz funguje, zrejme bug ve verzi.

[Maxik]

na 5.12 cvertifikaty nejdou na 5.13 ano ?

[kompletit]

Jdou i na 5.12, akorat se pak musi importovat pem klic misto key. V linuxu se musi zkonvertovat.

[Maxik]

na serveru musi byt certifikat aby to fungovalo i kdyz overovani nepouzijes !

[ok2slc]

Kazdopadne na v5.13 nefunguje OVPN oproti Windows klientum. Opravdu by me zajimalo co je vede k tomu aby sahali do veci ktere funguji.

[kompletit]

No to je jasné, že tam musí být certifikát na mikrotiku, akorát jsem psal, že pokud to někdo zkouší naimportovat přímo z vygenerovaného klíče z linuxu (.key) tak to mikrouš nevezme, musí se překonvertovat na soubor (.pem) aby šel naimportovat, což se udělá příkazem openssl rsa -in XXX.key -out XXX.pem.

[ok2slc]

Nevím jak ostatní, ale já importuji certifikáty jako .crt a následně .key. Takto importovaný certifikát má pak příznak K (decrypted-private-key). Moc tedy nerozumím proč bych tam měl cpát .pem.

[Maxik]

taky nejdrive crt pak key priznak musi byt KR aby to bylo funkcni.

[Maxik]

nevite nekdo v jake posledni stable 5x chodi ovpn i s overeni klienta certifikatem ? ted mam 5.12 a tam to nejde, mam naimportovany crt a key jak klientsky tak server certifikat.

[ok2slc]

No mě chodí OVPN s certifikátama na poslední v5.16. Používám jej s Windows klientem, ale nepředpokládám, že by s Mikrotik klientem nechodil.

[Maxik]

a importujes certifikaty jak, ja mam .crt .key pro server a klienta na server oba na klienta klientskej. Na 5.12 to teda nechodi.. a take na 5.7 opravili bug kdyz mel klient ovpn delsi login+ heslo delsi nez tusim 11 znaku tak to spadlo, nedavno jsem pridaval ovpn mikrotik s verzi 5.14 a hle uz to zas nejde, spadne a cpu 100%, ti tam v tom musi mit bordel ..

[ok2slc]

Ja normálně importuji přes .crt a .key a v serveru mám zaplou kontrolu klientských certifikátů. Jak jsem psal, standardně používám Windows klienta, ale pokud by byl zájem, můžu vyzkoušet jako klienta mikrotik. S délkou hesla jsem problémy neměl, protože nemám heslo delší než osm znaků. Já "naštěstí" nepožívám wifi (nejsem ISP), takže při výběru verze nemusím brát zřetel na na chodivost wifi.