Duplicate packet dropping mikrotik openvpn

Duplicate packet dropping mikrotik openvpn

Привет. Сегодня хочу показать вам как на Mikrotik можно поднять OpenVPN Сервер. На микротике он не совсем полноценный, но бывают ситуации когда его использовать гораздо удобнее чем другие типы VPN соединений.

В сети есть много инструкций, как поднять OpenVPN сервере на маршрутизаторе Mikrotik, генерируя ключи при помощи openssl, мы же обойдемся без этой утилиты и всю настройку будем производить исключительно средсвами микротика.

Ниже я приведу список команд, которые нужно ввести в термнале:

1) Генерируем корневой сертификат:

2) Создаем сертификат сервера:

3) Создаем клиентский шаблон сертификата:

4) Создаем сертификат для клиента:

В этих командах common-name в первой команде, должен соответствовать name во второй команде. Т.е. для добавления следующего сертификата клиента команды должны быть, например такими:

5) Настраиваем собственно OpenVPN:

Добавляем pool адресов для наших клиентов:

Создаем профиль для OpenVPN:

Это имя пользователя и пароль будут нужны при покдключении.

Включаем OpenVPN сервер:

6) Выполним экспорт сертификатов:

Соответственно во второй команде имя сертификата должно соответсвовать имени клиентского сертификата. В этой команде — запомните passphrase — она будет нужна при подключении.

7) Дальше нужно скопировать с микротика экспортированные сертификаты, например через winbox — пункт меню files.

8) Последний пункт — нужно создать 2 файла на компьютере:

1 — файл конфигруации OpenVPN, для клиентов client.ovpn. Выглядеть он должен так:

client
dev tap
proto tcp
remote 1.2.3.4 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca cert_export_OVPN-CA.crt
cert cert_export_client-ovpn-1.crt
key cert_export_client-ovpn-1.key
—auth-user-pass user-pwd.txt
remote-cert-tls server
verb 3
route-delay 5
;Это маршрут до сети за микротиком (0.0 — сеть за микротиком, 100.1 — адрес микротика в ovpn)
;route 192.168.0.0 255.255.255.0 192.168.100.1
;это если нужно будет, что бы микротик был шлюзом по умолчанию
redirect-gateway def1

Тут измените поле remote, 1.2.3.4 — измените на адрес вашего микротика.

Что бы микротик не был шлюзом по умолчанию закомментируйте последнюю строчку и раскомментируйте предпоследнюю (;route 192.168.0.0 255.255.255.0 192.168.100.1) — за местро 192.168.0.0 впишите нужную вам сеть.

И второй файл — с логином и паролем user-pwd.txt:

Вот и все, поместите скачанные сертфикаты и созданные файлы в одну папку. Теперь с помощью файла client.ovpn можно подключиться.

Для того что бы отозвать сертификат используется команда:

Видеоуроки по настройке MikroTik

Нет возможности пройти очный тренинг MTCNA? Ему есть альтернатива. Минус – не будет официального сертификата. Плюсов гораздо больше. Во-первых, не надо никуда ехать, смотрите и пересматривайте видеоуроки тогда, когда вам удобно и столько раз, сколько нужно. Во-вторых, в курсе упор на практику, ее примерно в 4 раза больше, чем на очном обучении. Подробнее о курсе на странице « ]]> Настройка оборудования MikroTik ]]> », там же можно заказать бесплатно ]]> первые 25 уроков ]]> .

Поделитесь статьей с друзьями в соц. сетях, возможно, она будет им полезна.

Похожие записи:

Комментарии

сб, 23/12/2017 — 23:24

Приветствую! Вы включаете ovpn-сервер с параметром mode=ip, а в файле конфигурации OpenVPN задаете dev tap, что соответствует значению mode=ethernet в свойствах сервера.Длина ключа в 4096 это уже перебор, 2048, если не 1024 для генерации на самом микротике было бы в самый раз, мой не самый слабый hAP ac не выдержал и ругнулся при подписи корневого сертификата, хоть и подписал в итоге. Однако при этом cipher вы задаете всего blowfish128, не включая поддержку aes ни в сервере, ни в настройках клиента.Время жизни сертификатов у вас везде разный — 10, 3 и 1 год соответственно, через год неожиданно клиент не сможет подключить, придется вспоминать и ломать голову, что же произошло.Спасибо за мануал, по нему впервые занялся настройкой ovpn, генерация и экспорт клиентских сертификатов средствами микротика "не отходя от кассы" привлекает, конечно.Не претендую на полную правоту, но мануал нужно все же допилить, чтобы меньше спотыкаться при знакомстве с OVPN.

  • Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Читайте также:  Openwrt не сохраняет настройки

пт, 15/06/2018 — 04:53

с данными настройками роутер RB3011UiAS работает на ура, хотя длинну ключа можно и снизить при копирование мелких файлов замечен не большой провал в скорости

Бывают случаи, когда необходимо настроить удалённый доступ на mikrotik или даже на несколько.
Особенно это актуально, если вы обслуживаете несколько объектов и нет возможности физически постоянно присутствовать возле оборудования.
В этом статье мы разберём, как настроить OpenVPN сервер на mikrotik, а также клиенты на mikrotik и компьютере под управлением Windows.

Для работы нам понадобится Белый IP адрес (он и будет адресом сервера в наших настройках) для доступа к серверу из интернета и сертификаты безопасности.

Краткий план данной статьи:

Создание сертификатов и ключей OpenVPN

1) Скачаем программу OpenVPN с официального сайта.

2) Устанавливаем, выбрав все галочки.

EasyRSA Certificate Management Scripts нам обязательно понадобится для генерации ключей и сертификатов.

3) Указываем путь. В дальнейшем он нам понадобится. В нашем случае используем стандартный C:Program FilesOpenVPN

4) После установки заходим в C:Program filesOpenVPNeasy-rsa

Открываем vars.bat (если его нет, то vars.bat.sample) блокнотом или NotePad++ и редактируем его.

set KEY_COUNTRY=RU
set KEY_PROVINCE=MoscowRegion
set KEY_CITY=MOSCOW
set KEY_ORG=OpenVPN
set KEY_EMAIL=mail@mail.com
set KEY_CN=server
set KEY_NAME=server
set KEY_OU=OU
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234

В строках set KEY_CN и set KEY_NAME указываем server
Последние 2 строки — параметры по умолчанию. Остальное можете редактировать под себя.

Сохраняем файл как vars.bat на рабочий стол, а затем копируем в папку C:Program filesOpenVPNeasy-rsa
Чаще всего сохранить напрямую в исходную папку не получится — не хватает прав.

5) Отредактируем файл openssl-1.0.0.cnf
Так же открываем с помощью блокнота или notepad++

Нас интересует строка:
default_days = 3650 # how long to certify for
Она отвечает за время жизни сертификата. Если значение отличается — то указываем 3650 (10 лет).
Сохраняем.

6) Запускаем командную строку от имени администратора:
Пуск — Все программы — Стандартные
Правой кнопкой мыши на «Командная строка» и в меню — Запустить от имени администратора.
Командную строку не закрываем до конца процесса генерации сертификатов.

7) Поочередно выполняем следующие три команды:
cd C:Program filesOpenVPNeasy-rsa
vars
clean-all

В итоге мы должны увидеть сообщение «Скопировано файлов: 1» дважды.

В папке C:Program filesOpenVPNeasy-rsa появится папка keys с двумя файлами index.txt и serial.

8) Генерируем ключ Диффи Хельмана — команда build-dh
Генерация займёт некоторое время. Дождитесь окончания.

9) Генерируем ключ центра сертификации (CA) — build-ca

Нажимаем Enter, пока не закончатся вопросы.
Вы увидите в командной строке путь C:Program filesOpenVPNeasy-rsa

Нет смысла менять заданные значения. Вы ранее прописали эти параметры в файле vars.bat

10) Генерируем сертификат сервера — команда build-key-server server
Нажимаем Enter (оставляем параметры по умолчанию, прописанные в vars.bat), пока не дойдём до вопросов.
Sign the certificate? (Создание сертификата на 3650 дней)
1 out of 1 certificate requests certified, commit? (Запись сертификата в базу)
На вопросы отвечаем нажатием Y

11) Генерируем сертификат клиента build-key client
Нажимаем Enter (оставляем параметры по умолчанию, прописанные в vars.bat), пока не дойдём до вопросов Common Name и Name.
На эти вопросы отвечаем client — это название создаваемого сертификата.

Читайте также:  Системная ошибка 1231 сетевая папка недоступна

На вопросы Sign the certificate? и 1 out of 1 certificate requests certified, commit? отвечаем нажатием Y

12) Генерация сертификатов окончена.
В папке C:Program filesOpenVPNeasy-rsakeys можно увидеть следующие файлы:

Сертификаты для сервера и клиентов готовы.

Настройка OpenVPN сервера на Mikrotik

Подключимся к Mikrotik с помощью программы Winbox.
Загрузим 3 файла: ca.crt, server.crt, server.key
Для этого в меню нажмём Files и перетащим их из папки C:Program filesOpenVPNeasy-rsakeys

13) Далее необходимо их импортировать.
Откроем System – Certificates — Import и поочерёдно выберем сертификаты в этом порядке:
ca.crt
server.crt
server.key

После импорта появятся две записи:

14) Создадим пул адресов для VPN клиентов:

IP — Pool — add (+)
Введём название openvpn-pool
Диапазон 172.30.0.2-172.30.0.253

15) Создадим PPP профиль.

PPP — Profiles — add (+)
Введём название openvpn
Локальный адрес 172.30.0.1
Созданный Пул openvpn-pool
Остальные настройки оставляем по умолчанию.
Нажимаем ОК.

16) Создадим непосредственно сам OpenVPN сервер
PPP — Interface — OVPN Server
Включаем Enable
Указываем порт 1194
Выбираем наш профиль openvpn
Поставим галочку Require Client Certificate
Выберем наш сертификат server.crt

17) Создадим пользователя для подключения.
PPP — Secrets — add (+)
Введём имя пользователя и пароль ovpn_user1
Выбираем Сервис ovpn и профиль openvpn

Создадим 2 пользователя:

ovpn_user1 для клиента на компьютере

ovpn_mikrotik1 для клиента на Mikrotik

Рекомендуется для каждого VPN клиента создавать отдельное уникальное имя пользователя.
В дальнейшем это упростит работу и позволит отслеживать всех подключенных VPN клиентов.

18) Настроим фаервол
IP — Firewall — add(+)
Во вкладке General указываем:
Chain — input
Protocol — tcp
Порт 1194
Интерфейс — ether1 (Если интернет идёт через него)
Вкладка Action:
Action — accept
Затем ОК

Сервер настроен, теперь приступим к настройке VPN клиентов.

Настройка VPN клиента на компьютере под управлением Windows

19) Копируем в папку C:Program filesOpenVPNconfig

из C:Program filesOpenVPNeasy-rsakeys следующие файлы
ca.crt, client.crt, client.key.

из C:Program filesOpenVPNsimple-config
client.ovpn

Создадим текстовый файл pass, где укажем логин и пароль от созданного VPN клиента на сервере.
В нашем случае это ovpn_user1

20) Откроем файл client.ovpn с помощью блокнота или notepad++
Изменяем следующие строки:
#Протокол
proto tcp
#Адрес и порт сервера
remote ваш.ip.адрес.сервера 1194

#Проверяем правильность названия ключей
ca ca.crt
cert client.crt
key client.key

И в самом конце добавим строчку
auth-user-pass «C:\Program files\OpenVPN\config\pass.txt»
В итоге у нас получатся следующие настройки в этом файле:
client
dev tun
proto tcp
remote адрес_сервера 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user.crt
key user.key
remote-cert-tls server
cipher AES-128-CBC
verb 3
auth-user-pass «c:\Program Files\OpenVPN\config\pass.txt»

Остальные настройки закомментированы решеткой «#» или точкой с запятой «;»

21) Сохраняем файл. Если сохранить в папку не получается — сохраняем на рабочий стол, а затем копируем с заменой.

Запускаем OpenVPN и подключаемся.

После подключения можем увидеть, что нам назначен IP из диапазона, который ранее указали на сервере.

Настройка VPN клиента на Mikrotik

Имея настроенный OpenVPN сервер, можно настроить доступ на Mikrotik даже там, где нет белого IP адреса.

22) Подключимся к Mikrotik с помощью программы Winbox.
Загрузим 2 файла: client.crt, client.key

Для этого в меню нажмём Files и перетащим их из папки C:Program filesOpenVPNeasy-rsakeys


23) Далее необходимо их импортировать.
Откроем System – Certificates — Import и поочерёдно выберем сертификаты в этом порядке:
client.crt
client.key

24) Настроим параметры сервера:
PPP — add(+) — OVPN client

Читайте также:  Почему не проводится реализация в 1с


Во вкладке General указываем имя
Name — openVPN1 (любое, на ваше усмотрение)
Вкладка Dial Out:
Connect To — Адрес сервера(Внешний IP адрес главного роутера Mikrotik)
Port 1194
Указываем пользователя и пароль, который мы создали на VPN сервере
В нашем случае это пользователь ovpn_mikrotik1
Сертификат Client.crt

Нажимаем ОК

25) В терминале набираем /interface ovpn-client monitor openVPN1
Должно появиться сообщение со статусом connected

Теперь к этому mikrotik можно подключиться через VPN по адресу, который он получил от VPN сервера


Посмотреть адрес можно:
В Mikrotik-клиенте в IP-Adresses строка с нашим интерфейсом openVPN1

В Mikrotik-сервере PPP-Active Connections

Статья посвящена настройка OpenVPN сервера на роутере Mikrotik

  1. Скачиваем на машину под управлением OS Windows программу OpenVPN(версия 2.3.4 на момент написания статьи) для генерации необходимых сертификатов.

Внимание. При установке программы выбираем все галочки.

Далее переходим в C:Program filesOpenVPNeasy-rsa, запускаем init-config.bat, появится vars.bat.sample, открываем его в блокноте и редактируем следующие строки:

Все строки кроме “Key_CN” и “Key_NAME” заполняем в произвольном порядке.

Сохраняем как vars.bat на рабочий стол, затем перемещаем в C:Program filesOpenVPNeasy-rsa

Теперь открываем openssl-1.0.0.cnf и проверяем параметр default_days=3650 (Это срок действия сертификата, 3650=10лет).

Открываем командную строку от имени администратора и пишем:

Если видим сообщение о том, что «Скопировано файлов: 1». Значит, процедура успешна.

В этом же окне набираем:

На все вопросы нажимаете Enter пока не увидите путь

На все вопросы кроме «Sign the certificate?» и «1 out of 1 certificate requests certified, commit?» жмем Enter, на эти два жмём Y.

Создадим сертификат клиента:

На вопрос Common Name (eg, your name or your server’s hostname) нужно ввести client. В конце дважды ввести Y.

Из папки C:Program FilesOpenVPNeasy-rsakeys забираем: ca.crt, server.crt, server.key

Теперь, когда подготовительная часть окончена — приступаем к части настройки OpenVPN сервера на Mikrotik

    Заходим на Mikrotik посредством утилиты winbox, переходим в раздел Files и копируем туда 3 наших сертификата ca.crt, server.crt, server.key

После этого произведём импорт сертификатов, идём в раздел System – Certificates, выбираем поочередно сертификаты из списка (ca.crt->server.crt->server.key) и жмём кнопку Import

Получится следующая картина:

Создаём пул IP адресов для наших OVPN клиентов. IP -> Pool, жмём кнопку “+”, я добавил диапазон 172.16.0.10-172.16.0.250, и назвал пул vpn_pool

Создаём PPP профиль. PPP ->Profiles-> “+”, вводим имя, локальный адрес микротика(через него клиенты будут получать доступ к остальным сетям за микротиком), который разумеется должен лежать в одной подсети с созданным ранее пулом адресов, ну и указываем сам пул, остальные настройки оставляем по умолчанию.

Далее настраиваем сам OpenVPN сервер, PPP->Interface-> кнопка OVPN Server, ставим галку Enabled, mode выставляем ip, выбираем созданный ранее профиль, а также ставим галку Require Client Certificate и выбираем сертификат микротика, остальные параметры на Ваше усмотрение

Создадим пользователя, переходим в раздел PPP -> вкладка Secrets, вводим имя пользователя, пароль, указываем сервис и профиль.

Так как мы используем сертификаты, необходимо что бы время на сервере и на клиенте совпадало, для этого настраиваем ntp клиент и временную зону на микротике в разделе- System ->Clock/NTP Client.

Адреса для NTP клиента можно взять пропинговав ru.pool.ntp.org

Осталось настроить разрешающее правило фаервола, IP -> Firewall-> вкладка Filter Rules

Созданное правило должно находиться выше запрещающих правил

Готово, теперь можно подключать к данному VPN серверу различные VPN клиенты.

Ссылка на основную публикацию
Asurion iphone что значит
А вы знаете, почему мы так называем эту категорию? ✔Телефоны от Asurion привезены из Америки. Asurion - страховая компания одного...
Adblock detector