Forum » Omrežja in internet » OpenVPN odjemalec na Mikrotiku?
OpenVPN odjemalec na Mikrotiku?
poweroff ::
Iz Mikrotika bi se rad povezal na OpenVPN strežnik, in sicer preko 443 TCP (!) porta ter s certifikati. Na netu je sicer nekaj vodičev na to temo, vendar nihče ne omenja ta.key certifikata (samo ca.crt, user.crt/key).
A je to sploh mogoče na Mikrotiku?
A je to sploh mogoče na Mikrotiku?
sudo poweroff
SeMiNeSanja ::
Sicer ti ne vem povedat konkretno za Mikrotik-a, ampak če je klient za OVPN na Mikrotiku kolikor tolikor kompatibilen z Windows in Android klientom, lahko vse skupaj natlačiš kar v *.ovpn konfig datoteko in ne potrebuješ ločenih datotek za certifikate.
Pri meni tako *.ovpn datoteka izgleda tako:
Pri meni tako *.ovpn datoteka izgleda tako:
dev tun client proto tcp <ca> -----BEGIN CERTIFICATE----- *** CERT Brisan *** -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- *** CERT Brisan *** -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- *** KEY Brisan *** -----END PRIVATE KEY----- </key> remote-cert-eku "TLS Web Server Authentication" remote xxx.xxx.xxx.xxx 443 redirect-gateway def1 persist-key persist-tun verb 3 mute 20 keepalive 10 60 cipher AES-256-CBC auth SHA1 float reneg-sec 3660 nobind mute-replay-warnings auth-user-pass ;remember_connection 1 ;auto_reconnect 1
poweroff ::
Hmnja... zdaj sem ugotovil, da so to nepodprte funkcije na Mikrotiku (TLS-AUTH s static keyem in TCP povezave)...
Drugače znam nastavit OpenVPN tako na server kot client strani na vseh glavnih OS-ih...
Meh, bo treba ipsec postavit...
Drugače znam nastavit OpenVPN tako na server kot client strani na vseh glavnih OS-ih...
Meh, bo treba ipsec postavit...
sudo poweroff
SeMiNeSanja ::
Dokler nisi za kakšnim zoprnim firewall-om, vsaj meni IPSec bolje deluje kot SSL VPN.
Problem pa je, če si nekje v kakem hotelu....potem pa najdi nekoga, da ti bo odprl porte za IPSec, če ga po defaultu blokirajo... Tu je potem SSL VPN preko 443/tcp res lifesaver...
Problem pa je, če si nekje v kakem hotelu....potem pa najdi nekoga, da ti bo odprl porte za IPSec, če ga po defaultu blokirajo... Tu je potem SSL VPN preko 443/tcp res lifesaver...
AC_DC ::
Če prav razumem
https://openvpn.net/index.php/open-sour...
tls-auth -> ta.key
oz dodaš v config.ovpn iz ta.key
https://openvpn.net/index.php/open-sour...
tls-auth -> ta.key
oz dodaš v config.ovpn iz ta.key
<tls-auth> .. ... . </tls-auth>
eVro ::
Najprej je treba upoštevati še nekaj!
MikroTik ima notoriously bad implementacijo OpenVPN-ja oziroma je tako bilo ko sem ga nazadnje uporabljal pred kakimi dvemi leti. Največji problem je bil, ker je bila verzija že takrat prastara, pa tudi sicer ni delovalo vse (npr. UDP). Tako da ti svetujem da najprej preveriš malo changeloge in forume če je to sploh že za kaj, nato pa dalje. Čisto možno da se ti bo splačalo dodati en poceni OpenWrt router samo za OpenVPN, vsaj takrat je to dejansko bilo tako zanič.
MikroTik ima notoriously bad implementacijo OpenVPN-ja oziroma je tako bilo ko sem ga nazadnje uporabljal pred kakimi dvemi leti. Največji problem je bil, ker je bila verzija že takrat prastara, pa tudi sicer ni delovalo vse (npr. UDP). Tako da ti svetujem da najprej preveriš malo changeloge in forume če je to sploh že za kaj, nato pa dalje. Čisto možno da se ti bo splačalo dodati en poceni OpenWrt router samo za OpenVPN, vsaj takrat je to dejansko bilo tako zanič.
poweroff ::
Hja, problem je, da nimam samo enega Mikrotika, pač pa cel kup...
Ampak ja, po moje bom postavil IPSec. Firewalli ne bodo problem, glede na to, da vsa ta omrežja jaz upravljam.
Je pa težava, ker mi IPSec ni všeč. Predvsem mi celotna kriptografija odzadaj ni povsem domača. OpenVPN imam po drugi strani precej dobro naštudiran.
Ampak ja, po moje bom postavil IPSec. Firewalli ne bodo problem, glede na to, da vsa ta omrežja jaz upravljam.
Je pa težava, ker mi IPSec ni všeč. Predvsem mi celotna kriptografija odzadaj ni povsem domača. OpenVPN imam po drugi strani precej dobro naštudiran.
sudo poweroff
Zgodovina sprememb…
- spremenilo: poweroff ()
OmegaBlue ::
Sicer mogoče ni tisto kar želiš, ampak mikrotik ima tudi implementirane SSTP tunele (SSL/TCP/cert).
Never attribute to malice that which can be adequately explained by stupidity.
SeMiNeSanja ::
Hja, problem je, da nimam samo enega Mikrotika, pač pa cel kup...
Ampak ja, po moje bom postavil IPSec. Firewalli ne bodo problem, glede na to, da vsa ta omrežja jaz upravljam.
Je pa težava, ker mi IPSec ni všeč. Predvsem mi celotna kriptografija odzadaj ni povsem domača. OpenVPN imam po drugi strani precej dobro naštudiran.
Čim rabiš tudi interoperabilnost z drugimi routerji, na koncu spet pristaneš na IPSec-u.
Je pa res, da moraš biti bolj pazljiv pri IPSec-u - sfališ en parameter, pa zadeva noče delat, potem pa pogruntaj zakaj...
Poleg tega različni proizvajalci uporabljajo nekoliko različna imena za iste parametre, tako da moraš paziti še na to.
Ampak z nekaj malega prakse, se vse to da kar lepo obvladat, celo če drugo stran upravlja nek drug admin (si z njim izmenjaš 'vprašalnik' z parametri).
Če sam upravljaš obe strani tunela, imam jaz prakso, da si odprem konfiguracijo obeh strani eno ob drugi in potem lepo copy/paste prepisujem zadeve med njima. Še najbolj trotlziher, da bodo parametri na obeh straneh enaki. Seveda moraš pri tem zamenjati local in remote parametre.
noraguta ::
Čim rabiš tudi interoperabilnost z drugimi routerji, na koncu spet pristaneš na IPSec-u.
Amen
Pust' ot pobyedy k pobyedye vyedyot!
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Domači VPN (strani: 1 2 3 )Oddelek: Omrežja in internet | 25371 (11219) | Daniel |
| » | Ponudniki VPN za Android množično vohunijo (strani: 1 2 )Oddelek: Novice / Zasebnost | 20528 (17497) | roli |
| » | Mikrotik - OpenVPNOddelek: Omrežja in internet | 1760 (1408) | mrsmoke |
| » | Težave z OpenVPN povezavo (strani: 1 2 )Oddelek: Omrežja in internet | 10022 (6918) | čuhalev |
| » | Z OpenVPN-jem ven iz MPLS-ja? (strani: 1 2 )Oddelek: Omrežja in internet | 16090 (15034) | SeMiNeSanja |