Server Admin Авторский блог системного администратора
Добрый день. Прошу прощения за оффтоп, вопрос скорее про настройку ovpn-сервера для подключения mikrotik-клиента.
Есть mikrotik в качестве граничного устройства небольшой сети с несколькими сегментами.
Есть VPS (Debian 9) с установленным OpenVPN сервером.
Есть несколько клиентов в интернете, которым необходимо обеспечить доступ к одному из сегментов за микротиком.
Возникла проблема при настройке сервера, не могу отключить TLS, который mikrotik не понимает, и получаю ошибку сервера "TLS Error: cannot locate HMAC in incoming packet from "
Буду признателен за помощь.
server.conf :
port 1194
proto tcp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA1
#tls-auth ta.key 0
#tls-server
#tls-auth none
key-direction 0
topology subnet
server 192.168.8.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 217.12.200.200"
push "route 192.168.8.0 255.255.255.0"
keepalive 10 120
cipher BF-CBC
user nobody
group nogroup
persist-key
persist-tun
;status openvpn-status.log
client-config-dir ccd
verb 5
crl-verify crl.pem
client-to-client
push "route 0.0.0.0 0.0.0.0 vpn_gateway 512"
status openvpn-status.log
log openvpn.log
Я для микротиков поднимаю отдельный туннель. Вот пример конфига с работающего сервера vpn.
port 1195
proto tcp
dev tun2
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/router.crt
key /etc/openvpn/keys/router.key
dh /etc/openvpn/keys/dh1024.pem
crl-verify /etc/openvpn/crl.pem
server 10.10.110.0 255.255.255.0
push "dhcp-option DNS 10.1.3.21"
push "route 10.1.3.0 255.255.255.0"
push "route 10.1.4.0 255.255.255.0"
push "route 10.1.5.0 255.255.255.0"
push "route 10.10.100.0 255.255.255.0"
push "route 10.10.101.0 255.255.255.0"
push "route 10.10.102.0 255.255.255.0"
push "route 10.10.103.0 255.255.255.0"
push "route 10.10.104.0 255.255.255.0"
push "route 10.10.110.0 255.255.255.0"
client-config-dir ccd-mikrotik-tcp
ifconfig-pool-persist mikrotik-tcp.txt
route 10.1.5.0 255.255.255.0
route 10.10.110.0 255.255.255.0
client-to-client
auth SHA1
cipher BF-CBC
keepalive 10 30
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/status-mikrotik-tcp.log
log /var/log/openvpn/log-mikrotik-tcp.log
verb 3
push "ping 10"
push "ping-restart 20"
В общем случае, у меня проблем на каналах до 50-ти мегабит с микротиком и openvpn нет. Пинги не скачат, скорости нормальные. Обращаю только внимание на cipher BF-CBC Сейчас это считается не безопасным. Нужно использовать другие алгоритмы, если нужна 100% защита. Мне это чаще всего не нужно, поэтому я жертвую защитой в пользу быстродействия.
А как прописать в настройках клиента ip address DNS серверов ( у нас их две). VPN-server настроен на микротике
