Open VPN

[mira_mo]

Zdravím,věděl by někdo jak zprovoznit open VPN na mikrotiku?

[ok2slc]

Jo, věděl, třeba já, přesněji řečeno mě to funguje, takže předpokládám, že o tom něco vím.
Pokud se mě ale chceš zeptat na to jak se to celý nastavuje, tak se podívej raději semhle: http://wiki.mikrotik.com/wiki/OpenVPN

[mira_mo]

tak jsem se díval ale absolutně jsem to nepocopil.

[tomprof]

Zeptám se já na sestavu RouterOS Open VPN server a Win klient. Jak autentikace? Lze jinak, než zadáním jména a hesla? Potěšil by mě certifikát, ale zdá se, že to ROS nepodporuje (?)
Tom

[ok2slc]

Já mám autentifikaci přes certifikát a login (jméno+heslo). U distribuované kompilace OpenVPN pod WIN je implicitně zakázáno údajně z důvodu bezpečnosti NTFS ukládat jméno a heslo do souboru. Na webu jsem ale našel starší zkompilovanou verzi s povoleným použitím login souboru. To že by šel OVPN použít bez certifikátů se mi moc nezdá. Já standardně používám certifikáty CA, SERVER, KLIENT. Jediné co mě na OVPN pod MK vadí je to, že všichni klienti používají stejný certifikát, protože nemá moc smysl každému klientovi vytvářet vlastní certifikát když jej pod MK neumím zneplatnit. Takže každý klient který se ke mě přihlašuje na OVPN musí mít klientský certifikát, a znát heslo a jméno. Jestli je někdo paranoidní může ještě zaheslovat i klíč ke klientskému certifikátu. To je tak asi maximu co na OVPN pod MK jde.

Pokud by byl opravdu větší zájem, mohl bych udělat nějakej demo MK a včetně certifikátů jej zpřístupnit na netu tak, aby si to mohl každej vyzkoušet. Těm kterým by to nefungovalo by měli alespoň jistotu, že chyba je na osmé vrstvě OSI modelu, tj. mezi židlí a klávesnicí

[tomprof]

Díky za odpověď, to demo by nebylo špatný. Taky trochu zápasím, daří se mi zprovoznit spojení přes ip (tun), kde je však limitována velikost sítě na netmask 255.255.255.252. A když se snažím přes ethernet (tap), nedaří se mi protlačit skrz spojení ani paket... Čím to může být? Jo ještě jsem si všiml, že interface ovpn není v tomto případě běžící (ve výpisu se objevuje, ale není ve stavu running)
Tom

[ok2slc]

Ani mě se to nepodařilo zprovoznit přes TAP. Nějak jsem se tím ale více nezaobíral. Co se týká masky 255.255.255.252 (/30), tak v tom nevidím problém, stačí na serveru nastavit masku např. /16 a pak bude maska pro route přidané do PC taky /16. Jediná podmínka která musí být splněna je, že ip local a remote musí být v masce 255.255.255.252 (/30).

[tomprof]

No a v tom je problém, když chvi připojovat více uživatelů, pak musím každému dělat individuální konfiguraci jak na serveru (což zase až tak nevadí), ale hlavně na klientu (nastavit routování). Kdyby se mi podařilo mít pro všechny klienty stejnou adresu ovpn serveru, byl by život jednodušší.

[mashinepistole2]

Ja som sa v poslednej dobe hral z autentifikaciou PPPoE radiusom . Nebolo by vhodnejsie PPPoE a radius ?



http://img215.imageshack.us/img215/5607 ... iusec9.jpg

[tomprof]

No a co bezpečnost? Při profláknutí jména/hesla je problém. S Open VPN máš ještě certifikáty, které by někdo musel ukrást a to je zas o něco složitější.

[mashinepistole2]

Proflaknuti Asi si celkom nepochopil o co tam ide , kazdy uzivatel ma vlastne prihlasovacie udaje ako pri dsl, 1uzivatel= 1 PPPoE tunel

[mashinepistole2]

Este dodam ze radius server nieje sucastov MK , niekto si to zvikne pliest . MK robi len NAS network acces server .

[ok2slc]

No a v tom je problém, když chvi připojovat více uživatelů, pak musím každému dělat individuální konfiguraci jak na serveru (což zase až tak nevadí), ale hlavně na klientu (nastavit routování). Kdyby se mi podařilo mít pro všechny klienty stejnou adresu ovpn serveru, byl by život jednodušší.

To je daň za to, že používáš MK. Já přes OVPN přistupuji k několika izolovaným /24 subnet. Klientům a serverům dávám ip příslušné subnet s maskou /16 a pak je na firewallu prostě zaříznu na masku /24. Lepší způsob jsem nevymyslel. Podle mě to je maximum co se dá z OVPN na MK dostat.

Ja som sa v poslednej dobe hral z autentifikaciou PPPoE radiusom . Nebolo by vhodnejsie PPPoE a radius ?

Moc nechápu co má OVPN společnýho s PPPoE a radius. Navíc je to nešifrovanej přenos, takže pro VPN moc dobře nepoužitelnej.

[mashinepistole2]

No a v tom je problém, když chvi připojovat více uživatelů, pak musím každému dělat individuální konfiguraci jak na serveru (což zase až tak nevadí), ale hlavně na klientu (nastavit routování). Kdyby se mi podařilo mít pro všechny klienty stejnou adresu ovpn serveru, byl by život jednodušší.

To je daň za to, že používáš MK. Já přes OVPN přistupuji k několika izolovaným /24 subnet. Klientům a serverům dávám ip příslušné subnet s maskou /16 a pak je na firewallu prostě zaříznu na masku /24. Lepší způsob jsem nevymyslel. Podle mě to je maximum co se dá z OVPN na MK dostat.

Ja som sa v poslednej dobe hral z autentifikaciou PPPoE radiusom . Nebolo by vhodnejsie PPPoE a radius ?

Moc nechápu co má OVPN společnýho s PPPoE a radius. Navíc je to nešifrovanej přenos, takže pro VPN moc dobře nepoužitelnej.

Napisal som toto "Ja som sa v poslednej dobe hral z autentifikaciou PPPoE radiusom . Nebolo by vhodnejsie PPPoE a radius ? " Co na tom nechapes ? Pisem niekde ze to ma nieco spolocne z Open VPN ? Bolo to myslene tak ci by nebolo lebsie pouzit namiesto OVPN , PPPoE tunel overovany freeradiusom .

[basty]

Moc nechápu co má OVPN společnýho s PPPoE a radius. Navíc je to nešifrovanej přenos, takže pro VPN moc dobře nepoužitelnej.

PPPoE muzes nastavit aby bylo sifrovany