MikroTik + FreeBSD OpenVPN тунель.

[kmd]

У когось вийшло, побудувати (робочу схему) тунель між MikroTik та FreeBSD

Бажано щоб мікротік виступав сервером.

Задача стоїть плавно вивести з обігу роутери на базі пісюків.

На місце діючого OpenVPN сервера на Free поставити Мікротік.

LZO виключив, перевів з udp на ip. Скормив мікротіку серверні сертифікати.

Тік бачить підключення від клієнта, але одразу рве підключення.

[SysR]

loglevel ?

В логах шо?

[kmd]

Зараз працює робоча схема на Free+Free логів нема.

Я включав дебаг, логлевел 6-9 нафіга там не зрозумів. Крім того що TLS хендшейк відбувся і з сертифікатами все ок.

Зараз збираю кролика на віртуалці, буде дебаг.

АЛЕ! Мене інтересує питання. Хтось побудував таку схему? Або хоча б тунель між 2м мікротіками. OpenVPN на ip рівні.

[SysR]

Мене інтересує питання. Хтось побудував таку схему?

Відповім чесно, не будував.

Але ОпенВПН він і в африці ОпенВПН, надіюсь на Мікротіку і на Фрясі версії приблизно однакові.

Логі кинь під спойлер від початку конекту і до обриву.

Додано: може бути косяк з інтерфейсами tun i tap, в залежності від того що мікротік соває в себе.

[kmd]

Wed Mar 6 16:16:13 2013 us=939987 Attempting to establish TCP connection with 193.109.80.*:1194 [nonblock]
Wed Mar 6 16:16:14 2013 us=940301 TCP connection established with 193.109.80.*:1194
Wed Mar 6 16:16:14 2013 us=940343 TCPv4_CLIENT link local: [undef]
Wed Mar 6 16:16:14 2013 us=940363 TCPv4_CLIENT link remote: 193.109.80.*:1194
Wed Mar 6 16:16:14 2013 us=940551 TCPv4_CLIENT WRITE [38] to 193.109.80.*:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA en=0
Wed Mar 6 16:16:14 2013 us=940841 Connection reset, restarting [0]
Wed Mar 6 16:16:14 2013 us=940939 TCP/UDP: Closing socket
Wed Mar 6 16:16:14 2013 us=940981 SIGUSR1[soft,connection-reset] received, process restarting
Wed Mar 6 16:16:14 2013 us=941000 Restart pause, 5 second(s)
Wed Mar 6 16:16:19 2013 us=129394 SIGTERM[hard,init_instance] received, process
exiting

[SysR]

З відключеним файрволом те ж саме?

[kmd]

На кроликах граюсь. нема фаєрів

[fog]

Маю робоче підключення з мікротіка (клієнт) на win2008 (сервер).

Мені дали для підключення ІР, користувача і сертифікат.

Нічого не шаманив, все закинув і одразу завелось.

Колись робив тунель між 2-ма мікротіками з сертфиікатами.

Заводилось, працювало.

Користувався цим.

Зараз спробую ще раз.

[kmd]

У мене так.

Можеш віндового клієнта конфіг в приват?

[fog]

Запитаю адміністратора того сервачка.

http://wiki.sirmax.noname.com.ua/index.php/Mikrotik_OpenVPN

[Єретик]

Теж завів OpenVPN в якості клієнта на Mikrotik.

Для тесту сервер поставив на вінду.

Робочий сервер на Linux але там складніше, а саме TLS авторизація (логін+пароль+сертифікати).

А ось і лог тестового віндового сервачка.

port 11195

proto tcp

dev tun

dev-node OpenVPN

ca "D:\\OpenVPN\\easy-rsa\\keys\\ca.crt"

cert "D:\\OpenVPN\\easy-rsa\\keys\\server.crt"

key "D:\\OpenVPN\\easy-rsa\\keys\\server.key"

dh "D:\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"

server 172.168.100.0 255.255.255.0

ifconfig-pool-persist "D:\\OpenVPN\\log\\ipp.txt"

client-config-dir ccd

keepalive 10 120

persist-key

persist-tun

status "D:\\OpenVPN\\log\\openvpn-status.log"

log-append "D:\\OpenVPN\\log\\openvpn.log"

verb 3

[kmd]

вот логін+пароль. як в конфізі клієнта реалізуати?

логін пароль + тлс.

[SysR]

mode server

dev tap0

local A.A.A.A

port 1194

proto udp

#Локалка в ВПН тунелі між серваками

server 192.168.Y.0 255.255.255.240

# Роут для клієнта (де шукати сєтку шо за серваком)

push "route 10.0.Z.0 255.255.255.0"

#Роут для сервака де шукати сєтку шо за клієнтом

route 192.168.X.0 255.255.255.0 192.168.Y.2

ca /usr/local/etc/openvpn/keys/ca.crt

cert /usr/local/etc/openvpn/keys/server.crt

key /usr/local/etc/openvpn/keys/server.key

dh /usr/local/etc/openvpn/keys/dh2048.pem

#crl-verify /usr/local/etc/openvpn/crl/crl.pem

client-config-dir /usr/local/etc/openvpn/ccd

tls-server

tls-auth keys/ta.key 0 #Має бути у всіх однаковий

ls-timeout 120

auth SHA1

cipher BF-CBC #Косяк №1 різні платформи по дефолту мають різне шифрування від того може не завязуватись

keepalive 10 120

comp-lzo

max-clients 10

tun-mtu 1500

mssfix 1450

persist-key

persist-tun

user nobody

group nogroup

log /var/log/openvpn/openvpn.log

status /var/log/openvpn/openvpn-status.log

verb 4

client

dev tap

proto udp

remote AA.AA.AA.AA

port 1194

resolv-retry infinite

ca /usr/local/etc/openvpn/ca.cert

cert /usr/local/etc/openvpn/client.cert

key /usr/local/etc/openvpn/client.key

tls-auth ta.key 1

ns-cert-type server

comp-lzo

verb 1

log /var/log/openvpn/openvpn.log

status /var/log/openvpn/openvpn-status.log

Зважай що якщо клієнтів буде більше як 1 (всі до одного) то ІР в ВПН тунелі буде змінюватись, відповідно роути будуть вже не правильними.

Знаю як це побороти

З.І. Транспорт я б все ж використовував УДП, ТСП буде тормозити, думаю не потрібно пояснювати чому.

[Єретик]

Маю робоче підключення з мікротіка (клієнт) на win2008 (сервер).

Мені дали для підключення ІР, користувача і сертифікат.

Нічого не шаманив, все закинув і одразу завелось.

В мене OpenVPN сервер пінгується тільки з термінала мікротіка. З компютера, підключеного до мікротіка через ethernet, сервер OpenVPN не пінгується.

Ти прописував додатвкого якісь маршрути? Чи може щось інше робив, крім створення інтерфейсу openvpn client і підтягування сертифікатів?

Транспорт я б все ж використовував УДП, ТСП буде тормозити, думаю не потрібно пояснювати чому.

KMD зробив правильно, тому що в мікротіка немає підтримки UDP і LZO компрессії.

[SysR]

KMD зробив правильно, тому що в мікротіка немає підтримки UDP і LZO компрессії.

Я навіть це коментувати не буду

[Єретик]

Я навіть це коментувати не буду

Давай, я не ображусь

[SysR]

Давай, я не ображусь

ВПН по ТСП це жесть

Якщо коротко: Протокол ТСП це протокол з контролем передачі (отримав - розпишись), УДП -- послав і забув.

А тепер уяви ситуацію, ВПН ходить по ТСП і в ВПН ти посилаєш ТСП, що відбувається: маєш отримати підтверження в тунелі і поверх тунелю .

ІМХО нікому не потрібний подвійний контроль передачі.

[Єретик]

Давай, я не ображусь

ВПН по ТСП це жесть

Якщо коротко: Протокол ТСП це протокол з контролем передачі (отримав - розпишись), УДП -- послав і забув.

А тепер уяви ситуацію, ВПН ходить по ТСП і в ВПН ти посилаєш ТСП, що відбувається: маєш отримати підтверження в тунелі і поверх тунелю .

ІМХО нікому не потрібний подвійний контроль передачі.

Я розумію, що UDP для OpenVPN краще. В самого так налаштовано на корпоративному Linux сервері.

Але тут OpenVPN "підпиляний" для Mikrotik.

Тому я сказав що KMD правильно зробив, що налаштував OpenVPN в режимі роботи через TCP порт.

Features

OpenVPN V2.1 Features of RouterOS V4.2

Supported

TCP

bridging (tap device)

routing (tun device)

certificates

p2p mode (refer to OpenVPN V2.1 manual page)

Unsupported

UDP

LZO compression

http://wiki.mikrotik.com/wiki/OpenVPN

[fog]

В мене OpenVPN сервер пінгується тільки з термінала мікротіка. З компютера, підключеного до мікротіка через ethernet, сервер OpenVPN не пінгується.

Ти прописував додатвкого якісь маршрути? Чи може щось інше робив, крім створення інтерфейсу openvpn client і підтягування сертифікатів?

Юзери сидять в підмережі 192.168.1.0/24

ovpn мережа 172.16.1.0/24

Зробив на мікротіку masquarade (nat)

src 192.168.1.0/24

dst 172.16.1.0/24

[SysR]

Але тут OpenVPN "підпиляний" для Mikrotik.

Мдя, печально.

До речі, а як у мікротіків з IPSEC?

IPSEC переініціалізовується швидше і з роутами там цікавіше буде.

[fog]

До речі, а як у мікротіків з IPSEC?

От з цим, наскільки мені відомо, проблем нема.

[kmd]

Окай, хер з ним опенвпн, мозг болить від нього

Задача по суті елементарна.....

Маємо 4 роутери. За кожним з них по декілька мереж класу C з маскою /24 Усі ходять в інет через свій дефолт роут.

З цих 4х роутерів 1 виступає ВПН сервером. Інші підключаються як клієнти, і відповідно обмінюються маршрутами для мереж класу C. Деякі анонсують деякі ні, ібо нафік не потрібно усім усіх бачити.

Усе це успішно в розрізі декількох років працює. Але, прогресі та інші зовнішні фактори (думаю ясно які) змушують відмовлятись від схем на комп'ютерах.

Я ipsec ніоли не юзав, будуч чтати.

[SysR]

Я ipsec ніоли не юзав, будуч чтати.

По IPSEC є 2 демона які його піднімають racoon та isakmpd. Найпопулярніший racoon.

Окай, хер з ним опенвпн, мозг болить від нього

Якщо крутити IPSEC на ФРЯх з нуля то моск буде боліти ще більше

Як що що конфігі ракона можу тобі кинути ті що в мене працюють.

Маємо 4 роутери. За кожним з них по декілька мереж класу C з маскою /24 Усі ходять в інет через свій дефолт роут. З цих 4х роутерів 1 виступає ВПН сервером. Інші підключаються як клієнти, і відповідно обмінюються маршрутами для мереж класу C. Деякі анонсують деякі ні, ібо нафік не потрібно усім усіх бачити.

Задача елементарна якщо вязати однотипні платформи, коли платформи різні починаються танці з бубнами.

Давай вже ОпенВПН докрутим. Можна якимсь чином побачити текстовий конфіг на мікротіці і повний список того, що там можна правити?

[kmd]

Ок. А можна без сертифікатів? Опенвпн.

Скажем тільки на логін пароль?

[SysR]

Ок. А можна без сертифікатів?

Опенвпн. Скажем тільки на логін пароль?

Ніби теоретично можливо, на практиці не реалізовував.

Додано: по ходу юзер+пас тільки з сертифікатами, є ще через shared key але це тільки по схемі П2П