» »

OpenVPN odjemalec na Mikrotiku?

OpenVPN odjemalec na Mikrotiku?

poweroff ::

Iz Mikrotika bi se rad povezal na OpenVPN strežnik, in sicer preko 443 TCP (!) porta ter s certifikati. Na netu je sicer nekaj vodičev na to temo, vendar nihče ne omenja ta.key certifikata (samo ca.crt, user.crt/key).

A je to sploh mogoče na Mikrotiku?
sudo poweroff

SeMiNeSanja ::

Sicer ti ne vem povedat konkretno za Mikrotik-a, ampak če je klient za OVPN na Mikrotiku kolikor tolikor kompatibilen z Windows in Android klientom, lahko vse skupaj natlačiš kar v *.ovpn konfig datoteko in ne potrebuješ ločenih datotek za certifikate.

Pri meni tako *.ovpn datoteka izgleda tako:

dev tun
client
proto tcp
<ca>
-----BEGIN CERTIFICATE-----
*** CERT Brisan ***
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
*** CERT Brisan ***
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
*** KEY Brisan ***
-----END PRIVATE KEY-----
</key>
remote-cert-eku "TLS Web Server Authentication"
remote xxx.xxx.xxx.xxx 443
redirect-gateway def1
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
;remember_connection 1
;auto_reconnect 1

poweroff ::

Hmnja... zdaj sem ugotovil, da so to nepodprte funkcije na Mikrotiku (TLS-AUTH s static keyem in TCP povezave)...

Drugače znam nastavit OpenVPN tako na server kot client strani na vseh glavnih OS-ih...

Meh, bo treba ipsec postavit...
sudo poweroff

SeMiNeSanja ::

Dokler nisi za kakšnim zoprnim firewall-om, vsaj meni IPSec bolje deluje kot SSL VPN.

Problem pa je, če si nekje v kakem hotelu....potem pa najdi nekoga, da ti bo odprl porte za IPSec, če ga po defaultu blokirajo... Tu je potem SSL VPN preko 443/tcp res lifesaver...

AC_DC ::

Če prav razumem
https://openvpn.net/index.php/open-sour...
tls-auth -> ta.key

oz dodaš v config.ovpn iz ta.key
<tls-auth>
..
...
.
</tls-auth>

eVro ::

Najprej je treba upoštevati še nekaj!

MikroTik ima notoriously bad implementacijo OpenVPN-ja oziroma je tako bilo ko sem ga nazadnje uporabljal pred kakimi dvemi leti. Največji problem je bil, ker je bila verzija že takrat prastara, pa tudi sicer ni delovalo vse (npr. UDP). Tako da ti svetujem da najprej preveriš malo changeloge in forume če je to sploh že za kaj, nato pa dalje. Čisto možno da se ti bo splačalo dodati en poceni OpenWrt router samo za OpenVPN, vsaj takrat je to dejansko bilo tako zanič.

poweroff ::

Hja, problem je, da nimam samo enega Mikrotika, pač pa cel kup...

Ampak ja, po moje bom postavil IPSec. Firewalli ne bodo problem, glede na to, da vsa ta omrežja jaz upravljam.

Je pa težava, ker mi IPSec ni všeč. Predvsem mi celotna kriptografija odzadaj ni povsem domača. OpenVPN imam po drugi strani precej dobro naštudiran.
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

OmegaBlue ::

Sicer mogoče ni tisto kar želiš, ampak mikrotik ima tudi implementirane SSTP tunele (SSL/TCP/cert).
Never attribute to malice that which can be adequately explained by stupidity.

SeMiNeSanja ::

poweroff je izjavil:

Hja, problem je, da nimam samo enega Mikrotika, pač pa cel kup...

Ampak ja, po moje bom postavil IPSec. Firewalli ne bodo problem, glede na to, da vsa ta omrežja jaz upravljam.

Je pa težava, ker mi IPSec ni všeč. Predvsem mi celotna kriptografija odzadaj ni povsem domača. OpenVPN imam po drugi strani precej dobro naštudiran.

Čim rabiš tudi interoperabilnost z drugimi routerji, na koncu spet pristaneš na IPSec-u.

Je pa res, da moraš biti bolj pazljiv pri IPSec-u - sfališ en parameter, pa zadeva noče delat, potem pa pogruntaj zakaj...

Poleg tega različni proizvajalci uporabljajo nekoliko različna imena za iste parametre, tako da moraš paziti še na to.
Ampak z nekaj malega prakse, se vse to da kar lepo obvladat, celo če drugo stran upravlja nek drug admin (si z njim izmenjaš 'vprašalnik' z parametri).

Če sam upravljaš obe strani tunela, imam jaz prakso, da si odprem konfiguracijo obeh strani eno ob drugi in potem lepo copy/paste prepisujem zadeve med njima. Še najbolj trotlziher, da bodo parametri na obeh straneh enaki. Seveda moraš pri tem zamenjati local in remote parametre.

noraguta ::

Čim rabiš tudi interoperabilnost z drugimi routerji, na koncu spet pristaneš na IPSec-u.

Amen
Pust' ot pobyedy k pobyedye vyedyot!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Domači VPN (strani: 1 2 3 )

Oddelek: Omrežja in internet
12721697 (7545) Daniel
»

Ponudniki VPN za Android množično vohunijo (strani: 1 2 )

Oddelek: Novice / Zasebnost
6118202 (15171) roli
»

Mikrotik - OpenVPN

Oddelek: Omrežja in internet
61548 (1196) mrsmoke
»

Težave z OpenVPN povezavo (strani: 1 2 )

Oddelek: Omrežja in internet
629223 (6119) čuhalev
»

Z OpenVPN-jem ven iz MPLS-ja? (strani: 1 2 )

Oddelek: Omrežja in internet
5014044 (12988) SeMiNeSanja

Več podobnih tem