Home »

Mikrotik OpenVPN Client и OpenVPN Server  

 

uj2062
(@uj2062)
Эникей
Присоединился: 1 год назад
Сообщения: 2
09.09.2019 09:51  

Добрый день. Прошу прощения за оффтоп, вопрос скорее про настройку ovpn-сервера для подключения mikrotik-клиента.

Есть mikrotik в качестве граничного устройства небольшой сети с несколькими сегментами.

Есть VPS (Debian 9) с установленным OpenVPN сервером.

Есть несколько клиентов в интернете, которым необходимо обеспечить доступ к одному из сегментов за микротиком.

Возникла проблема при настройке сервера, не могу отключить TLS, который mikrotik не понимает, и получаю ошибку сервера "TLS Error: cannot locate HMAC in incoming packet from "

Буду признателен за помощь.

server.conf :

port 1194
proto tcp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA1
#tls-auth ta.key 0
#tls-server
#tls-auth none
key-direction 0
topology subnet
server 192.168.8.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 217.12.200.200"
push "route 192.168.8.0 255.255.255.0"
keepalive 10 120
cipher BF-CBC
user nobody
group nogroup
persist-key
persist-tun
;status openvpn-status.log
client-config-dir ccd
verb 5
crl-verify crl.pem
client-to-client
push "route 0.0.0.0 0.0.0.0 vpn_gateway 512"
status openvpn-status.log
log openvpn.log


ОтветитьЦитата
Метки темы
Zerox
(@zerox)
Honorable Member Admin
Присоединился: 7 лет назад
Сообщения: 569
09.09.2019 12:46  

Я для микротиков поднимаю отдельный туннель. Вот пример конфига с работающего сервера vpn.

port 1195
proto tcp
dev tun2

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/router.crt
key /etc/openvpn/keys/router.key
dh /etc/openvpn/keys/dh1024.pem
crl-verify /etc/openvpn/crl.pem

server 10.10.110.0 255.255.255.0

push "dhcp-option DNS 10.1.3.21"

push "route 10.1.3.0 255.255.255.0"
push "route 10.1.4.0 255.255.255.0"
push "route 10.1.5.0 255.255.255.0"
push "route 10.10.100.0 255.255.255.0"
push "route 10.10.101.0 255.255.255.0"
push "route 10.10.102.0 255.255.255.0"
push "route 10.10.103.0 255.255.255.0"
push "route 10.10.104.0 255.255.255.0"
push "route 10.10.110.0 255.255.255.0"

client-config-dir ccd-mikrotik-tcp
ifconfig-pool-persist mikrotik-tcp.txt
route 10.1.5.0 255.255.255.0
route 10.10.110.0 255.255.255.0
client-to-client
auth SHA1
cipher BF-CBC
keepalive 10 30
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/status-mikrotik-tcp.log
log /var/log/openvpn/log-mikrotik-tcp.log
verb 3
push "ping 10"
push "ping-restart 20"

STALKER_SLX лайков
ОтветитьЦитата
uj2062
(@uj2062)
Эникей
Присоединился: 1 год назад
Сообщения: 2
12.09.2019 10:15  

@zerox

Спасибо, помогло. Смущает скорость соединения, пинги между клиентами прыгают иногда до 800 мс. Средние 150-200 мс. Говорят в микротике гораздо удачней реализован sstp-client. Не было опыта установки связки softether - mikrotik sstp client ?


ОтветитьЦитата
Zerox
(@zerox)
Honorable Member Admin
Присоединился: 7 лет назад
Сообщения: 569
12.09.2019 11:48  

@uj2062

В общем случае, у меня проблем на каналах до 50-ти мегабит с микротиком и openvpn нет. Пинги не скачат, скорости нормальные. Обращаю только внимание на cipher BF-CBC Сейчас это считается не безопасным. Нужно использовать другие алгоритмы, если нужна 100% защита. Мне это чаще всего не нужно, поэтому я жертвую защитой в пользу быстродействия.


ОтветитьЦитата
FarrukhG84
(@farrukhg84)
Старший сисадмин
Присоединился: 1 год назад
Сообщения: 77
21.04.2020 08:13  

А как прописать в настройках клиента ip address DNS серверов ( у нас их две). VPN-server настроен на микротике


ОтветитьЦитата