Перейти до змісту

MikroTik + FreeBSD OpenVPN тунель.


Рекомендовані повідомлення

  • Адміністратори
Опубліковано

В мікротіках добре реалізовано eoip. Як завгодно можна свої точки між собою злінкувати в L2 рівень з допомогою eoip а трафік цих тунелів шифрувати ipsec.

Опубліковано

Тунель тільки між 2а точками.

Кожне підключення саме по собі точка-точка.

Просто на серверній частині тих точок багато і або бріджувати, або розрулювати без бріджа.

В мікротіках добре реалізовано eoip. Як завгодно можна свої точки між собою злінкувати в L2 рівень з допомогою eoip а трафік цих тунелів шифрувати ipsec.

Ходить така штука у мене поверх l2tp вже більше року.

4 тунеля приходять на центральний мікротік, де всі збріджовані.

Задач по розмежуванню не стояло, тому на 5-ти офісах маємо спільну велику локалку, win7 навіть карту промальовує.

ovpn на мікротіку дуже любить ресурс cpu, l2tp трохи меньше, але все ж не мало, тому при великих швидкостях треба відповідні борди

Опубліковано

До речі, а як у мікротіків з IPSEC?

IPSEC переініціалізовується швидше і з роутами там цікавіше буде.

Підняв IPSec VPN тунель між своїм домашнім Mikrotik і корпоративним шлюзом ZyWall.

Проблема в тому, що VPN піднімається тільки якщо його ініціювати (натиснути кнопку Connect VPN з'єднання на веб морді, telnet, etc...) на ZyWall, або пінгувати ip з віддаленої мережі.

Така сама ситуація при побудові ipsec VPN з роутерами Linksys і Mikrotik.

http://wiki.mikrotik...Linksys_BEFVP41

5.Keep alive for Linksys router

/system scheduler

add disabled=no interval=30s name="Ping remote" on-event=\

"ping 10.10.3.254 src-address=10.10.2.254 count=1" policy=\

ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \

start-date=nov/25/2011 start-time=00:00:00

When the tunnel is dropped on Mikrotik side, Linksys is unable to bring it up again even if the "keep alive" check box is properly checked. To circumvent this bug, the simplest way is to send a single ping from Mikrotik every 30 seconds. If the tunnel was droped in the meantime, this ping will bring it up again.

Be carefull what you are pinging and from which IP. Ping must be sourced from local private interface to remote private interface which can communicate only if the tunnel is established, and if it isn't, this ping will initiate it. Better way would be to engage NetWatch for this task, but problem is that you cannot specify ping source (AFAIK).

Між двома мікротіками або мікротіком і цискою пишуть, що працює нормально.

  • Адміністратори
Опубліковано

Грабля знайдена! Дякую Торіку за підказку, куди копати :)

Грабля виникла виключно із за моєї неуважності та -->

--> Оскільки тунель будувався на кроликах, деякі як казалось не дуже важливі нюанси опускались :)

Основне це генерація сертифікатів.

serial повинно починатись з 1 якщо файла serial нема, значить все ок. При генерації ключа для сервера він створиться з індексом 01

Далі сама грабелька.

Маємо два рутера з зовнішніми адресами 1.1.1.1(сервер ) і 2.2.2.2 (клієнт) Вони обслуговують мережі

192.168.20.1/24 (Сервер) і 192.168.30.1.24 (Клієнт)

(192.168.20.1/24 LAN --- WAN 1.1.1.1 -- (192.168.10.1 --- сам тунель --- 192.168.10.2) --- 2.2.2.2 WAN ---- LAN 192.168.30.1/24)

При генерації ключів в CN (common name) Потрібно вказати адресу для якої генерується ключ. Або ip або FQDN якщо у вас описані внутрішні зони.

enter common name. for ssl web servers this must be the fully qualified domain

name (FQDN) of the server that will use this certificate (like www.someverysecuresitename.com) . this is checked by browsers. common name: ovpnserver.mydomain.com [iMPORTANT}

для сервера

C=UA

ST=Volyn

L=Lutsk

O=A

OU=IT

CN=192.168.20.1

Клієнт.

C=UA

ST=Volyn

L=Lutsk

O=B

OU=IT

CN=192.168.30.1

Далі усе в принципі просто.

Сервер

post-1-0-88587600-1363166923_thumb.jpg

Клієнт на FreeBSD

Без логіна і проля не паше.

dev tun

proto tcp

client

remote superovpn.server.com

ca /usr/local/etc/openvpn/keys/ca.crt

cert /usr/local/etc/openvpn/keys/client1.crt

key /usr/local/etc/openvpn/keys/client1.key

askpass /usr/local/etc/openvpn/keys/pass # тут пароль для сертифіката. Краще конвертнути в PK12 щоб не тримати паролі файлах.

auth-user-pass auth.cfg # Тут логін пароль для авторизацї на ovpn стервері. :)

tls-client

port 5050

ping 15

ping-restart 45

ping-timer-rem

persist-tun

persist-key

mute-replay-warnings

status /var/log/openvpn/openvpn-status.log

log /var/log/openvpn/openvpn.log

verb 3

cipher AES-256-CBC

auth MD5

pull

  • Адміністратори
Опубліковано

ТОже махався з сертифікатами :) але усьо палучілось. Микротик OVPN server <> Mikrotik OVPN Client усьо работает.

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.



×
×
  • Створити...