OVPN Mikrotik

[maetoo]

Na Mikrotiku som si vytvoril OVPN Server.
Spojenie medzi dvomi Mikrotik routrami sa naviaže.
Prečo sa nenaviaže spojenie keď sa niekto pripaja na Moj OVPN Server cez program OpenVPN?
Mate niekto skusenosti, ako čo nastaviť?

[mirek.k]

Na googlu je spousta návodů - např.: http://wiki.mikrotik.com/wiki/OpenVPN_C ... ep_by_Step, nebo http://joazif.applet.cz/2013/03/27/ahoj-vsichni/
Jen nedoporučuju je kombinovat.
Mirek

[maetoo]

Skusil som to podla druhej stranke. Posunul som sa o niečo ďalej.
Po zadani mena a hesla do programu OpenVPN mi vypiše chýbu:
Connecting to client has failed.
V logoch vyzera byť všetko v poriadku, ale sa mi nezda par poslednych riadkov.

Kód: Vybrat vše

Enter Management Password:
Wed Dec 23 18:37:22 2015 us=171689 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Dec 23 18:37:22 2015 us=171689 Need hold release from management interface, waiting...
Wed Dec 23 18:37:22 2015 us=630715 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Dec 23 18:37:22 2015 us=733721 MANAGEMENT: CMD 'state on'
Wed Dec 23 18:37:22 2015 us=733721 MANAGEMENT: CMD 'log all on'
Wed Dec 23 18:37:22 2015 us=899730 MANAGEMENT: CMD 'hold off'
Wed Dec 23 18:37:22 2015 us=902731 MANAGEMENT: CMD 'hold release'
Wed Dec 23 18:37:37 2015 us=770581 MANAGEMENT: CMD 'username "Auth" "omaetoo"'
Wed Dec 23 18:37:37 2015 us=780582 MANAGEMENT: CMD 'password [...]'
Wed Dec 23 18:37:37 2015 us=781582 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Dec 23 18:37:38 2015 us=84599 MANAGEMENT: Client disconnected
Wed Dec 23 18:37:38 2015 us=84599 Cannot load certificate file client.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Wed Dec 23 18:37:38 2015 us=84599 Exiting due to fatal error


Čo s tym ďalej? Už mi neprichadza na rozum.

[jakub.zak]

Hrál jsem si s tím v minulosti delší dobu, dokonce se mi podařilo připojit Androidí zařízení vestavěným klientem, ale Windows klient s OpenVPN se nikdy nepřipojil a házel různý hlášky o všem možným, dle kterých nebylo možný se posunout...

[maetoo]

Vdaka za odpoved.
Ano, aj mne sa podarilo prihlasit do OVPN cez android zariadenia. Ale cez program OpenVPN nie. To bude pravdepodobne tym, ze program komunikuje cez UDP protokol a Mikrotik router vie komunikovat iba cez TCP protokol, cez UDP protokol nie.

[jakub.zak]

Kód: Vybrat vše

proto tcp

by mělo přepnout na TCP, ovšem taky nepomohlo.


Některý chyby to psalo s certifikáty, jindy zase třeba timeout a tak... Nedokázal jsem určit příčinu, ale nějaká komunikace většinou mezi serverem a klientem proběhla, takže na protokol bych to neviděl.

Tak mě ještě napadá, pozor na přesný čas, to by taky možná mohlo dělat problém.

[maetoo]

Kód: Vybrat vše

proto tcp

by mělo přepnout na TCP, ovšem taky nepomohlo.


Některý chyby to psalo s certifikáty, jindy zase třeba timeout a tak... Nedokázal jsem určit příčinu, ale nějaká komunikace většinou mezi serverem a klientem proběhla, takže na protokol bych to neviděl.

Tak mě ještě napadá, pozor na přesný čas, to by taky možná mohlo dělat problém.

Skušal som zmeniť aj protokol, ale vysledok taky istý ako u vás.
Nepomohlo to. Nedalo sa mi prihlasiť do MK na OPVN cez program OpenVPN.

[SpajkH]

Kód: Vybrat vše

proto tcp

by mělo přepnout na TCP, ovšem taky nepomohlo.


Některý chyby to psalo s certifikáty, jindy zase třeba timeout a tak... Nedokázal jsem určit příčinu, ale nějaká komunikace většinou mezi serverem a klientem proběhla, takže na protokol bych to neviděl.

Tak mě ještě napadá, pozor na přesný čas, to by taky možná mohlo dělat problém.

Skušal som zmeniť aj protokol, ale vysledok taky istý ako u vás.
Nepomohlo to. Nedalo sa mi prihlasiť do MK na OPVN cez program OpenVPN.

Ja som mal ties problem to rozchodit pod windows s aplikaciou openvpn,ale nakoniec sa mi to podarilo.
Prikladam moj konfig pre klienta,funkcny.

Kód: Vybrat vše

remote X.X.X.X 1194 tcp-client

persist-key
persist-tun
tls-client
dev tun
nobind
pull
mute 20

ca ca.crt
cert xxx.crt
key xxx.key

cipher AES-256-CBC
auth SHA1
auth-user-pass

route 192.168.x.x 255.255.255.0 192.168.x.x

[maetoo]

Ďakujem za funkčný vzor.
Predpokladam, že certifikát a key ste si vygenerovali cez konzolovy program v OpenVPN.
Ak si dobre spominam, program vygeneruje dva certifikaty. Jeden pre server a druhy pre klienta.
Ktorý certifikát a klúč ste vy použili do konfiguračneho suboru? Serverovy, alebo klientsky?

[SpajkH]

!!!POZOR!!! ja som robil chybu ked som si cez ubuntu generoval certifikaty tak som pre klienta pouzil rovnaky certifikat ako pre server.
Na linuxe treba vygenerovat certifikacnu autoritu CA.crt potom napr.miktrotik.crt(certifikat) a mikrotik.key(kluc) tieto 3 vsetky skopirovat do mikrotiku a naimportovat.
Pre klienta treba zasa zvlast na linuxe vygenerovat napr. klient.crt a klient.key, autoritu uz negenerujem ale skopirujem tu co som vytvoril na zaciatku.
Ja som postupoval podla tohto navodu,treba pozorne citat.

Kód: Vybrat vše

https://rbgeek.wordpress.com/2014/09/10/openvpn-server-setup-on-mikrotik-routeros/