Mikrotik OpenVPN Cl...
 

Mikrotik OpenVPN Client и OpenVPN Server

5 Записи
3 Пользователи
1 Reactions
7,026 Просмотры
(@uj2062)
New Member
Присоединился: 5 лет назад
Записи: 2
Создатель темы  

Добрый день. Прошу прощения за оффтоп, вопрос скорее про настройку ovpn-сервера для подключения mikrotik-клиента.

Есть mikrotik в качестве граничного устройства небольшой сети с несколькими сегментами.

Есть VPS (Debian 9) с установленным OpenVPN сервером.

Есть несколько клиентов в интернете, которым необходимо обеспечить доступ к одному из сегментов за микротиком.

Возникла проблема при настройке сервера, не могу отключить TLS, который mikrotik не понимает, и получаю ошибку сервера "TLS Error: cannot locate HMAC in incoming packet from "

Буду признателен за помощь.

server.conf :

port 1194
proto tcp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA1
#tls-auth ta.key 0
#tls-server
#tls-auth none
key-direction 0
topology subnet
server 192.168.8.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 217.12.200.200"
push "route 192.168.8.0 255.255.255.0"
keepalive 10 120
cipher BF-CBC
user nobody
group nogroup
persist-key
persist-tun
;status openvpn-status.log
client-config-dir ccd
verb 5
crl-verify crl.pem
client-to-client
push "route 0.0.0.0 0.0.0.0 vpn_gateway 512"
status openvpn-status.log
log openvpn.log


   
ОтветитьЦитата
Метки темы
(@zerox)
Prominent Member Admin
Присоединился: 11 лет назад
Записи: 926
 

Я для микротиков поднимаю отдельный туннель. Вот пример конфига с работающего сервера vpn.

port 1195
proto tcp
dev tun2

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/router.crt
key /etc/openvpn/keys/router.key
dh /etc/openvpn/keys/dh1024.pem
crl-verify /etc/openvpn/crl.pem

server 10.10.110.0 255.255.255.0

push "dhcp-option DNS 10.1.3.21"

push "route 10.1.3.0 255.255.255.0"
push "route 10.1.4.0 255.255.255.0"
push "route 10.1.5.0 255.255.255.0"
push "route 10.10.100.0 255.255.255.0"
push "route 10.10.101.0 255.255.255.0"
push "route 10.10.102.0 255.255.255.0"
push "route 10.10.103.0 255.255.255.0"
push "route 10.10.104.0 255.255.255.0"
push "route 10.10.110.0 255.255.255.0"

client-config-dir ccd-mikrotik-tcp
ifconfig-pool-persist mikrotik-tcp.txt
route 10.1.5.0 255.255.255.0
route 10.10.110.0 255.255.255.0
client-to-client
auth SHA1
cipher BF-CBC
keepalive 10 30
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/status-mikrotik-tcp.log
log /var/log/openvpn/log-mikrotik-tcp.log
verb 3
push "ping 10"
push "ping-restart 20"

   
STALKER_SLX reacted
ОтветитьЦитата
(@uj2062)
New Member
Присоединился: 5 лет назад
Записи: 2
Создатель темы  

@zerox

Спасибо, помогло. Смущает скорость соединения, пинги между клиентами прыгают иногда до 800 мс. Средние 150-200 мс. Говорят в микротике гораздо удачней реализован sstp-client. Не было опыта установки связки softether - mikrotik sstp client ?


   
ОтветитьЦитата
(@zerox)
Prominent Member Admin
Присоединился: 11 лет назад
Записи: 926
 

@uj2062

В общем случае, у меня проблем на каналах до 50-ти мегабит с микротиком и openvpn нет. Пинги не скачат, скорости нормальные. Обращаю только внимание на cipher BF-CBC Сейчас это считается не безопасным. Нужно использовать другие алгоритмы, если нужна 100% защита. Мне это чаще всего не нужно, поэтому я жертвую защитой в пользу быстродействия.


   
ОтветитьЦитата
(@farrukhg84)
Estimable Member
Присоединился: 5 лет назад
Записи: 110
 

А как прописать в настройках клиента ip address DNS серверов ( у нас их две). VPN-server настроен на микротике


   
ОтветитьЦитата
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar