OpenVPN client na Mikrotiku

[Jezinka]

Zdravím,
mam na jednom VPS Debian spuštěn OpenVPN server, který funguje a s Win10 se normálně připojím. Nyní chci dostat toto spojení na router Mikrotik, ale nějak to nefunguje. Návody které jsem viděl na youtube ukazují vždy něco, co mě prostě nejde. Na Debianu používám OpenVPN s webovým rozhraním konfigurace. Porty jsou 443 TCP a 1194 UDP. Dočetl jsem se, že Mikrotik UDP na OpenVPN nepodporuje. Pokud je použit, tak Mikrotik má neustále jako status "connecting" a pokud použiji TCP 443 tak status terminating .. peer disconnect. Přesměrování portů na DSL modemu jsou nastavené. Nejsem žádný odborník na Mikrotik a vše se postupně učím, ale toto mi přijde nějaké složité. Nepoužívám příkazový řádek v Mikrotiku. Certifikáty mám naimportované ze souboru .ovpn a zdají se být v pořádku v Mikrotiku. Je zadané jméno a heslo v nastavení Interface OVPN client a certifikát vložen. Dále sha1 a aes256. Mohl by prosím někdo poradit, případně pomoci online s nastavením? Jedná se o spojení ČR - Německo (server - client). Díky, snad jsem to popsal srozumitelně.

[Dacesilian]

Ahoj,
použít musíš opravdu jen TCP a ověřování pomocí jména a hesla, jak se píše na https://wiki.mikrotik.com/wiki/Manual:Interface/OVPN .

Až si vygeneruješ klientský certifikát na OpenVPN serveru, pojmenuj si soubory následovně viz níže a nakopíruj je přes Winbox do routeru. Potom nakonfiguruj VPN pomocí příkazů:
Pokud už tam nějaké certifikáty máš, tak pak ten client nebude cert_2 a musíš ten parametr v hlavním příkazu upravit, to už je jednoduché.

/certificate import file-name=ca.crt
/certificate import file-name=client.crt
/certificate import file-name=client.key
/certificate print
/interface ovpn-client add name="ovpn-nazev" connect-to=vpn.server.cz port=1194 mode=ip user="jmenovpn" password="heslovpn" profile=default-encryption certificate=cert_2 cipher=aes256 add-default-route=no

[Jezinka]

Nemůže být ještě problém v tom, že nemam nastavený žádný profil PPP nebo tak něco tam?

[Dacesilian]

V PPP/Profiles mám jen ty (asi) defaultní default a default-encryption. V PPP/Interface se ti vytvoří spojení právě pomocí toho příkazu.

[Dacesilian]

-

[Jezinka]

V logu Mikrotiku vidím, že dojde k inicializaci, spojování, terminating peer disconnect a disconnected. Na serveru OVPN v Linugu v logu nevidím ani náznak že by něco přišlo. Ping z Mikrotiku i na port 443 projde. Port je na hlavním routeru před Mikrotikem směrován na Mikrotika. Jiný port než 443 ale nepíše v logu takový výpis, ale jen connecting, could not connect a disconnect. Jakoby měl Mikrotik někde nastaven port 443 na něco předem nebo co. Certifikáty se importovali automaticky ze souboru .ovpn a je u něj příznak "K" takže by to mělo být ok. Chová se to jinak stejně při jakémkoliv nastavení na kartě Dial out, včetně falešné Ip adresy, bez certifikátu atpod. Pouze port 443 a nebo pak jakýkoliv jiný (ať už směrovaný nebo ne) píší ty dvě rozdílné hlášky. Nějaké nápady ještě?

[Dacesilian]

Na linuxu se podívej, zda tam při připojování něco přichází - tcpdump
Podívej se tam také na firewall - iptables -L
Poslouchá OpenVPN na správném portu/interfacu? netstat -tulpN

[Jezinka]

Trochu jsem pokročil. nejspíš byl problém v tom že port 443 server už na něco používal, takže jsem změnil na 1443 a již Mikrotik píše link established a pak zase terminating a perr disconnect... V logu na mikrotiku je vidět pokus o spojení a v logu na serveru Linux vidím již pokus o připojení, respektive krátké spojení.. ale hned odpojuje. Netuším proč.

[Jezinka]

Tak abych ještě upřesnil problematiku... Nejspíš neexistuje pouze jedno openvpn ale více a to co používám je toto https://docs.openvpn.net/
Nejspíš ji nepodporuje Mikrotik. Nebo někdo ví oč jde a věděl by to rozběhat? Pokud ne, jaké openvpn nebo i jiný protokol doporučit na spojení?