PDA

Επιστροφή στο Forum : Mikrotik OpenVPN Server με Android Client



Σελίδες : 1 [2] 3 4 5 6 7 8

Nikiforos
12-03-15, 09:19
ΚΑλημερα, εχω το παρακατω firewall rule σχετικα με το openvpn και δεν θυμαμαι σε τι χρειαζεται, εχει κανεις καμια ιδεα?
δεν το βρηκα στα γνωστα tutorials.



/ip firewall filter
add chain=input comment=OPENVPN dst-port=1722 protocol=tcp

deniSun
12-03-15, 10:03
ΚΑλημερα, εχω το παρακατω firewall rule σχετικα με το openvpn και δεν θυμαμαι σε τι χρειαζεται, εχει κανεις καμια ιδεα?
δεν το βρηκα στα γνωστα tutorials.



/ip firewall filter
add chain=input comment=OPENVPN dst-port=1722 protocol=tcp


Στο action τι έχεις;
Γιατί έτσι όπως είναι γραμμένο δεν κάνει απολύτως τίποτε.

Nikiforos
12-03-15, 10:43
Στο action τι έχεις;
Γιατί έτσι όπως είναι γραμμένο δεν κάνει απολύτως τίποτε.

accept έχει στο action, καλά δεν έχω ιδέα πως έχει προκύψει αυτό το rule για το openvpn. Kαι έχω βαλει openvpn και σαν σχόλιο μάλιστα.

deniSun
12-03-15, 10:52
accept έχει στο action, καλά δεν έχω ιδέα πως έχει προκύψει αυτό το rule για το openvpn. Kαι έχω βαλει openvpn και σαν σχόλιο μάλιστα.

Αυτό σημαίνει ότι θα δέχεται το ΜΤ κλήσεις στην συγκεκριμένη πόρτα με tcp.
Αν δεν μαζεύει τίποτε από πακέτα δεν το χρειάζεσαι.
Γενικά υπάρχουν πολλά tutorial για fw.
Κάθε ένα χρησιμοποιεί διαφορετικές λογικές.
πχ Αν ακολούθησες κάποιον οδηγό που έκλεινε τα πάντα στο ΜΤ τότε θα χρειαζόταν την συγκεκριμένη δήλωση για να λειτουργήσει το openvpn.
Με το στήσιμο που έχω στο fw δεν μου δημιουργεί κάποιο πρόβλημα άρα μπορεί να παραληφθεί στην δική μου περίπτωση.

Nikiforos
12-03-15, 11:05
εχει πολλες μετρησεις αυτο οποτε προφανως κατι κανει, να το αφησω καλυτερα ε?

deniSun
12-03-15, 16:15
Να σου πω την αλήθεια... πιστεύω ότι δεν χρειάζεται.
Ίσως σε κάποιο παλιότερο ROS να ήταν απαραίτητο.
Το OpenVPN με το που δηλώνεις την πόρτα που θέλεις να ακούει και ενεργοποιώντας το, αυτόματα σου ανοίγει την πόρτα που δήλωσες και στο ΜΤ.
Δεν χρειάζεται να κάνεις κάποια άλλη δήλωση στο fw.
Αυτή την στιγμή μάλλον σαν καταγραφικό πακέτων μου κάνει παρά σε κάτι άλλο χρήσιμο.

Nikiforos
13-03-15, 11:01
Καλημέρα! τελικά το είχα αναφέρει στο ποστ μου νούμερο #32.

http://wiki.mikrotik.com/wiki/OpenVPN
εδω μας τα λενε αλλιως, ειδικα στο firewall που εχει και rule.


Firewall
If you have a firewall defined, that denies access, you would want to allow access to OpenVPN:
/ip firewall filter
add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp

Εφόσον το έχει και στο επίσημο wiki και έχω άπειρα filter rules θα προτιμούσα να υπάρχει. Μάλλον όμως είχε μείνει από όταν ήταν o openvpn server στο 433ΑΗ (awmn router) γιατί εκεί είναι τα φίλτρα που κόβουν το δίκτυο από κάποια δικά μου μηχανήματα που δεν θέλω να είναι "κοινόχρηστα", καθώς όλα τα μηχανήματα του εσωτερικού μου δικτύου έχουν awmn ip's, τώρα που είναι στο 711 (internet router) πιθανώς και να μην χρειάζεται αλλά δεν πειράζει σε κάτι και να υπάρχει. Φυσικά για όλον τον άλλον κόσμο να πούμε ότι δεν είναι αναγκαίο όπως εξηγεί και το wiki στα bolt γράμματα.

deniSun
13-03-15, 16:41
Καλημέρα! τελικά το είχα αναφέρει στο ποστ μου νούμερο #32.



Firewall
If you have a firewall defined, that denies access, you would want to allow access to OpenVPN:
/ip firewall filter
add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp

Εφόσον το έχει και στο επίσημο wiki και έχω άπειρα filter rules θα προτιμούσα να υπάρχει. Μάλλον όμως είχε μείνει από όταν ήταν o openvpn server στο 433ΑΗ (awmn router) γιατί εκεί είναι τα φίλτρα που κόβουν το δίκτυο από κάποια δικά μου μηχανήματα που δεν θέλω να είναι "κοινόχρηστα", καθώς όλα τα μηχανήματα του εσωτερικού μου δικτύου έχουν awmn ip's, τώρα που είναι στο 711 (internet router) πιθανώς και να μην χρειάζεται αλλά δεν πειράζει σε κάτι και να υπάρχει. Φυσικά για όλον τον άλλον κόσμο να πούμε ότι δεν είναι αναγκαίο όπως εξηγεί και το wiki στα bolt γράμματα.

Προσωπικά πιστεύω ότι θα πρέπει να δοκιμάσεις να το απενεργοποιήσεις και αν είναι όλα οκ να το καταργήσεις.
Επιβαρύνεις το ΜΤ με έναν ακόμα έλεγχο που δεν έχει κανένα νόημα.
πχ όταν του έρχεται ένα πακέτο στην πόρτα 1194 το οποίο με τον έναν ή άλλο τρόπο το δέχεται, γιατί να του πεις να ελέγξει ξανά το ίδιο πακέτο και ώστε να το δεχτεί εκ νέου.
Μου ακούγεται κάτι σαν: κόβω όλες τις πόρτες από 1000-2000 και μετά απαριθμώ μία-μία με κανόνα deny.

Nikiforos
13-03-15, 18:58
Ναι το εκλεισα αυτο και ας πουμε το openvpn client σε ROS στο 951 που δινω στο εξοχικο δεν εχει προβλημα, δεν επαθε τιποτα. Ομως απο android δεν συνδεομαι, ασχετα με τον κανονα αυτον οτι και να κανω δεν συνδεεται δεν ξερω τι το επιασε, καλα που εχω και pptp vpn και κάνω την δουλεια μου.
Νομιζω επειδη εγινε αναβαθμιση το πακετο στο android προεκυψε αυτο, εσβησα το profile το ξαναπερασα παλι τα ιδια, ενω με τον ιδιο ovpn server παιζει στο εξοχικο στο 951 ovpn client και δουλευει κανονικα, αρα δεν φταιει ο ovpn server αλλα στο android.

deniSun
13-03-15, 19:30
Εγώ χρησιμοποιώ το OpenVPN Connect και παρ όλες τις αναβαθμίσεις δεν έχω κάποιο πρόβλημα.

Nikiforos
13-03-15, 19:40
Μολις το εβαλα και δεν μπαινει και αυτο λεει τα ιδια με την προηγουμενη φορα https://forums.openvpn.net/topic12069.html αυτα που εδειχνα δλδ και στο ποστ #14, γιαυτο και ειχα βαλει το openvpn for android και επαιζε αψογα μεχρι μια προσφατη αναβαθμιση, δεν ετυχε να το δουλεψω και σημερα βλεπω οτι δεν παιζει, ετσι υποθετω οτι φταιει αυτο, εφοσον του 951 o client στο εξοχικο δουλευει χωρις προβλημα.
Δοκιμασα τωρα και στο tablet και κανει τα ιδια! τι να πω! δεν καταλαβαινω.....γραφει WORNING...no server certificate verification method has been enabled, δοκιμασα τα παντα, εψαξα σε forums και δεν εγινε τπτ. Και το openvpn vpn connect βγαζει αλλο error αυτο που ειπαμε και παλια και επισης δεν παιζει. Ελεος! προς το παρον τωρα με pptp vpn client (το μαμα των android συσκευων) μεχρι να βρεθει λυση, υπαρχει και το παλιο openvpn settings https://play.google.com/store/apps/details?id=de.schaeuffelhut.android.openvpn&hl=el που δουλευα παλια, αλλα το αποφευγω γιατι θελει διαφορετικα πραγματα απο τα αλλα 2, πχ τα αρχεια του πρεπει να ειναι μεσα σε φακελο οχι χυμα στην καρτα, ειναι με αλλη επεκταση το αρχειο ρυθμισεων, θελει εγκατασταση το binary με αυτο https://play.google.com/store/apps/details?id=de.schaeuffelhut.android.openvpn.installer&hl=el και πρεπει χειροκινητα να μπει στην καρτα και το module TUN.

teodor_ch
15-06-15, 16:29
Γ@μήθηκα να το φτιάξω αλλά το έφτιαξα.

έφταιγε η ρύθμιση


I found solution and now iOS openvpn client v. (1.0.4 build 140) connects to mikrotik routeros v 6.18.
IOS settings->openvpn->advanced settings->Force AES-CBC ciphersuites (disabled this option).
http://forum.mikrotik.com/viewtopic.php?f=2&t=86739

Επιτέλους!!!!!!!

deniSun
15-06-15, 20:01
Μπράβο...

teodor_ch
16-06-15, 09:55
Μπράβο...

Δεν κατάλαβα το ύφος σου αλλά μάλλον ούτε και εσύ το δικό μου.
Προφανώς και δεν το ανέφερα για να μου πείτε μπράβο.

Αλλά για να μήν χάσει και άλλος το χρόνο που έχασα εφαρμόζοντας τις ρυθμίσεις του οδηγού σου :p

Nikiforos
16-06-15, 10:59
Λες να είναι το ίδιο πρόβλημα και σε εμένα από android συσκευές? γιατί και εμένα αυτό με το TLS λέει. Και έγινε μετά από αναβαθμίσεις στα πακέτα των android συσκευών μου, σε όσες δοκίμασα κάνει τα ίδια. Το έχω παρατήσει και δουλεύω με pptp vpn, ενώ από Mikrotik όλα καλά.

teodor_ch
16-06-15, 11:33
Τί να σου πώ.
Μου είχε βγάλει την πίστη.
Νόμιζα ότι δεν πέρναγα σωστά τα certificates γιατί δεν είχα παλαιότερη εμπειρία με δαύτα.
Κάτι για Polarssl είδα σε μία φάση το έψαξα και πέτυχα το λινκ.

Και συνδέομαι πλέον με το openvpn connect

deniSun
16-06-15, 14:31
Δεν κατάλαβα το ύφος σου αλλά μάλλον ούτε και εσύ το δικό μου.
Προφανώς και δεν το ανέφερα για να μου πείτε μπράβο.

Αλλά για να μήν χάσει και άλλος το χρόνο που έχασα εφαρμόζοντας τις ρυθμίσεις του οδηγού σου :p

Απλά σου έδωσα συγχαρητήρια για τον κόπο που έκανες και την λύση που βρήκες.
Σου το είπα με όλη την καλή διάθεση και χωρίς κανένα ίχνος ειρωνείας ή οτιδήποτε άλλο.
Όσο για τους οδηγούς μου, ποτέ δεν είπα ότι είμαι αλάνθαστος.
Αν δεις τους έχω αλλάξει πολλές φορές και μάλιστα κατόπιν επισημάνσεων άλλων.
Τώρα αν δε γουστάρεις τα μπράβο και το πείρες προσβλητικά ή δεν ξέρω εγώ πως... το παίρνω πίσω.
Έτσι για να μην χαλάμε και τις καρδιές μας.

teodor_ch
16-06-15, 15:28
Απλά ένα σκέτο μπράβο με 3 τελείτσες θα μπορούσε να είναι και ειρωνικό.
Δεν παρεξήγησα, για αυτό έβαλα και τη φατσούλα στο τέλος :)

Με έχεις βοηθήσει ήδη πολύ και το εκτιμώ :oneup:

gfdimopo
30-12-15, 16:40
Παιδιά καλησπέρα!

Επιτέλους το Mikrotik στήνεται χάρι στην δική σας πολίτιμη βοήθεια και εγώ αρχίζω να μπαίνω λίγο στο κλίμα.

Για να σετάρω το VPn επειδή διαβασα στις τόσες σελίδες διάφορες εκδοχές σε ποια έχετε καταλήξει ότι παίζει?

deniSun
30-12-15, 16:45
Παιδιά καλησπέρα!

Επιτέλους το Mikrotik στήνεται χάρι στην δική σας πολίτιμη βοήθεια και εγώ αρχίζω να μπαίνω λίγο στο κλίμα.

Για να σετάρω το VPn επειδή διαβασα στις τόσες σελίδες διάφορες εκδοχές σε ποια έχετε καταλήξει ότι παίζει?

Δεν θυμάμαι αν έχουν προταθεί κάποια άλλα πράγματα σχετικά με το openvpn πάντως στο πρώτο post έχω τον οδηγό για να στήσεις openvpn στο ΜΤ.
O Client είτε είναι android συσκευή είτε οποιαδήποτε άλλη δεν αλλάζει.
Αφού ο openvpn client σετάρεται με τον ίδιο τρόπο (ισχύουν οι ίδιες αλλαγές που πρέπει να γίνουν στο ανάλογο αρχείο).
Και φυσικά είναι δοκιμασμένο και δουλεύει άψογα.

Nikiforos
23-03-16, 10:15
καλημερα! χτες μετα απο πολυ καιρο επιασα παλι το openvpn client σε android (δοκιμες στο κινητο μου) ελέγε τα ιδια με τις αλλες φορες δλδ το WORNING...no server certificate verification method has been enabled στο προγραμμα openvpn for android που πριν δουλευε. Σημερα εβαλα το openvpn connect κατι παρομοιο παλι. Τελικα μπηκα στο αρχειο client.ovpn και τι να δω? ειχε ενεργο το παλιο mikrotik ip cloud και με ; μπροστα στο ddns, ενω μεσα στα προγραμματα εδειχνε μονο το ddns ονομα που εχω στο nas για το noip!
το διορθωσα με ενα Notepad και ως δια μαγειας παιζει κανονικα! ΛΟΛ!!!!! :oneup:
επιτελους! επισης το openvpn connect ειναι ποιο μαζεμενο και ποιο ομορφο απο το openvpn for android.
Tελος να πω πως με τον ιδιο ovpn server στο CRS109 δινω και ιντερνετ στο εξοχικο μεσω του ασυρματου δικτυου (awmn), και το αναποδο σε φορητες συσκευες μου. Απλα εχω μεγαλύτερο ευρος ip's στο ip tool στο συγκεκριμενο profil δλδ και εχω 2 καταχωρησεις NAT μια για καθε χρηση.
Αυτα τα λεω μηπως εχει κανεις προβλημα παρομοιο με το δικο μου....:)

deniSun
23-03-16, 11:36
Απροσεξία...

Nikiforos
23-03-16, 12:36
Απροσεξία...

bug μαλλον θες να πεις.....στο προγραμμα τοσο στο ενα οσο και στο αλλο ηταν κανονικα δηλωμενο το ddns γιατι στο .ovpn περνουσε το ip cloud?
εκτος αυτου το error που ειπα παραπανω δε νομιζω οτι εχει σχεση με αυτο, στα logs στο 109 εδειχνε οτι το φτανει κανονικα! ελεγε κατι για duplicate packages aborted.....
ασχετο με αυτο δλδ. Αν ηταν αυτο μονο το λαθος δεν θα εβγαινε καν τπτ μεσα στο 109 γιατι απλα δεν θα εφτανε εκει!!!!
τωρα πως δουλεψε με μονο αυτη την αλλαγη δεν ξερω. Το openvpn for android παντως συνεχιζει να μην παιζει με τα ιδια errors με πριν!!!
αυτα τα errors εχουν σχεση με καποια δηλωση πιστοποιητικου. Ενω στο openvpn connect απλα δεν συνδεοταν αλλα χωρις να βγαζει το ιδιο error.
Προφανως αλλο προβλημα ειχε το καθενα.
Οσο για την δηλωση του ip cloud τωρα δεν επαιζε επειδη αυτο ηταν στο 711 που τωρα δεν το εχω.
Πριν ομως γιατι δεν επαιζε αφου ηταν κανονικα ενεργο? :hmm: αρα σιγουρα δεν ηταν μονο αυτο το προβλημα.

εβαλα παλι το Openvpn for android να το δω παλι το ιδιο error δλδ αυτο : no server certificate verification method has been enabled
και στο 109 στα logs λεει duplicate packages, dropping και αποσυνδεεται...
ενω με το openvpn connect παιζει κανονικα!
Περιεργα πραγματα.....αλλα το αποτελεσμα μετραει! :p

deniSun
23-03-16, 21:23
καλημερα! χτες μετα απο πολυ καιρο επιασα παλι το openvpn client σε android (δοκιμες στο κινητο μου) ελέγε τα ιδια με τις αλλες φορες δλδ το WORNING...no server certificate verification method has been enabled στο προγραμμα openvpn for android που πριν δουλευε. Σημερα εβαλα το openvpn connect κατι παρομοιο παλι. Τελικα μπηκα στο αρχειο client.ovpn και τι να δω? ειχε ενεργο το παλιο mikrotik ip cloud και με ; μπροστα στο ddns, ενω μεσα στα προγραμματα εδειχνε μονο το ddns ονομα που εχω στο nas για το noip!
το διορθωσα με ενα Notepad και ως δια μαγειας παιζει κανονικα! ΛΟΛ!!!!! :oneup:
επιτελους! επισης το openvpn connect ειναι ποιο μαζεμενο και ποιο ομορφο απο το openvpn for android.
Tελος να πω πως με τον ιδιο ovpn server στο CRS109 δινω και ιντερνετ στο εξοχικο μεσω του ασυρματου δικτυου (awmn), και το αναποδο σε φορητες συσκευες μου. Απλα εχω μεγαλύτερο ευρος ip's στο ip tool στο συγκεκριμενο profil δλδ και εχω 2 καταχωρησεις NAT μια για καθε χρηση.
Αυτα τα λεω μηπως εχει κανεις προβλημα παρομοιο με το δικο μου....:)

Το client.ovpn το διαμορφώνεις εσύ.
Πώς είναι δυνατόν να είναι bug;

Nikiforos
23-03-16, 22:28
και πως γινεται να λεει μεσα στο γραφικο περιβαλλον το ddns οτι παει να συνδεθει σε αυτο ενω στο client.ovpn να το εχει ανενεργο και ενεργο το ip cloud!!???? για εξηγησε μου πως γινεται αυτο!
το ξερω οτι το .οvpn το εχω φτιαξει εγω! προφανως τοτε δουλευα με το cloud αλλα γιατι δεν αλλαζει στο γραφικο? αυτο ειπα πριν οτι ισως να ηταν bug.
Eκτος αυτου οπως ειπα και πριν να υποθεσω οτι εγινε λαθος, οταν δεν επαιζε πριν παρω το 109 το ip cloud αυτο ηταν του 711 και ηταν κανονικα ενεργο! αρα παλι θα επρεπε να παιζει!
και επισης αν τελικα αυτο εφταιγε στο openvpn connect τοτε ΔΕΝ θα εφτανε στο 109 απλα γιατι ειχα κατι που δεν ισχυε! αρα πως ακριβως θα το εφτανε???
επισης παλια (την τελευταια δλδ δλδ φορα πριν το παρατησω που χαλασε μετα απο update), ειχα δοκιμασει και με το openvpn connect και εκανε τα ιδια, ενω με το openvpn for android εβγαζε και τοτε τα ιδια λαθη που βγαζει και τωρα ακομα και μετα την διορθωση! και αυτο παλι δεν δουλευει φυσικα!
Anyway δεν βγαζω καποιο νοημα με ολα αυτα το τελικο αποτελεσμα ειναι οτι παιζει μονο το openvpn connect ενω το openvpn for android βγαζει τα ιδια λαθη οπως παλια.....με το ιδιο αρχειο .ovpn και τα ιδια αρχεια παντα.
Yπενθυμιζω οτι παλιοτερα κοντα στην αρχη αυτου του οδηγου οταν εκανα τις δοκιμες, επαιζε ΜΟΝΟ το openvpn for android.....:lol:
και πολυ παλιοτερα οταν ειχα openwrt openvpn server τοτε δουλευα στο παλιο μου κινητο με το openvpn settings προγραμμα. https://play.google.com/store/apps/details?id=de.schaeuffelhut.android.openvpn&hl=el που πλεον τo εχουν παρατησει απο το 2012!

Εχει καταφερει κανεις με τον ΙΔΙΟ OVPN server σε Mikrotik ROS να δινει και σε android συσκευες αλλα και σε windows PC? πχ σε XP?
και αυτο το λεω γιατι πχ ο δικος μου ειναι σε TUN (mode ip ή αλλιως routed server) περισσοτερα εδω : http://wiki.mikrotik.com/wiki/OpenVPN#RouterOS_3
και φυσικα μονο TCP γιατι δεν υποστηριζει UDP ενω τα windows θελουν υποχρεωτικα TAP δλδ (mode ethernet ή αλλιως bridged server) και ετσι δεν μου παιζει.
Παλια που ειχα και σε windows xp (στης δουλειας openvpn) ειχα ομως και routerstation pro της ubiquinti με openwrt και ειχε 3 openvpn servers, ενας σε TCP και ΤUN (ip mode στο mikrotik) για να δινει στο 433ΑΗ στο εξοχικο ιντερνετ, ενας για φορητες συσκευες σε UDP για android με ΤUN δλδ και ενας για windows σε TAP αλλα UDP.
Oπως ειχα δοκιμασει στα win xp ειχα θεματα με το TCP και θελει και TAP.
Εχει καταφερει κανεις να παιζει με τον ιδιο server να δινει και σε win? δλδ TCP και ΤUN interface?
διαφορετικα θελει αλλον και δεν ασχολουμε, εχω βολευτει με pptp vpn εκει.

teodor_ch
29-03-16, 12:10
Να αναφέρω ένα πρόβλημα που είχα μετά απο το αναθεωρημένο firewall που είναι και πιο "σφιχτό".

Στο firewall έχω allow forward from lan στο bridge-local.
Όμως ο pppserverbinding του χρήστη openvpn πχ. teodor_ch δεν ήταν μέσα στο bridge local και έτσι μου έκοβε την κίνηση προς το ίντερνετ.

Είτε χαλαρώνουμε τον κανόνα allow forward είτε φτιάχνουμε νέο κανόνα για in-interface το dynamic (ή καλύτερα να το κάνουμε στατικό) pppserverbinding όνομα
είτε αυτό που έκανα,
έκανα στατικό το pppserverbinding πχ. openvpn-servernewyork
και τον πρόσθεσα στις θύρες του bridge-local

Nikiforos
29-03-16, 18:48
καλησπέρα εγω εχω αυτο και δεν εχω ποτέ κανενα απολυτως προβλημα :



0 ;;; OPENVPN
chain=input action=accept protocol=tcp dst-port=1722 log=no log-prefix=""


ειναι απο το επισημο wiki της mikrotik
http://wiki.mikrotik.com/wiki/OpenVPN

Firewall

If you have a firewall defined, that denies access, you would want to allow access to OpenVPN:
/ip firewall filter
add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp

asimako
22-09-16, 19:01
Έχω στήσει OpenVPN και χρησιμοποιώ το OpenVPN GUI σε Windows για πρόσβαση στο εσωτερικό δίκτυο του MT.
Ενώ δούλευε κανονικά τώρα μου βγάζει το παρακάτω error στον client



ERROR: There is a clash between the --ifconfig local address and the internal DHCP server address -- both are set to 192.168.4.254 -- please use the --ip-win32 dynamic option to choose a different free address from the --ifconfig subnet for the internal DHCP server
Exiting due to fatal error


Αυτό είναι όλο το log


Thu Sep 22 18:38:18 2016 us=453876 Current Parameter Settings:
Thu Sep 22 18:38:18 2016 us=454876 config = 'MTVPN_Tunnel.ovpn'
Thu Sep 22 18:38:18 2016 us=454876 mode = 0
Thu Sep 22 18:38:18 2016 us=454876 show_ciphers = DISABLED
Thu Sep 22 18:38:18 2016 us=454876 show_digests = DISABLED
Thu Sep 22 18:38:18 2016 us=454876 show_engines = DISABLED
Thu Sep 22 18:38:18 2016 us=454876 genkey = DISABLED
Thu Sep 22 18:38:18 2016 us=454876 key_pass_file = '[UNDEF]'
Thu Sep 22 18:38:18 2016 us=454876 show_tls_ciphers = DISABLED
Thu Sep 22 18:38:18 2016 us=454876 Connection profiles [default]:
Thu Sep 22 18:38:18 2016 us=454876 NOTE: --mute triggered...
Thu Sep 22 18:38:18 2016 us=455376 279 variation(s) on previous 10 message(s) suppressed by --mute
Thu Sep 22 18:38:18 2016 us=455376 OpenVPN 2.3.12 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 23 2016
Thu Sep 22 18:38:18 2016 us=455376 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Sep 22 18:38:18 2016 us=455376 library versions: OpenSSL 1.0.1t 3 May 2016, LZO 2.09
Enter Management Password:
Thu Sep 22 18:38:18 2016 us=457383 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25342
Thu Sep 22 18:38:18 2016 us=457383 Need hold release from management interface, waiting...
Thu Sep 22 18:38:18 2016 us=928932 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25342
Thu Sep 22 18:38:19 2016 us=30736 MANAGEMENT: CMD 'state on'
Thu Sep 22 18:38:19 2016 us=30736 MANAGEMENT: CMD 'log all on'
Thu Sep 22 18:38:19 2016 us=97666 MANAGEMENT: CMD 'hold off'
Thu Sep 22 18:38:19 2016 us=99670 MANAGEMENT: CMD 'hold release'
Thu Sep 22 18:38:19 2016 us=213700 Control Channel MTU parms [ L:1559 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Thu Sep 22 18:38:19 2016 us=213700 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Sep 22 18:38:19 2016 us=213700 MANAGEMENT: >STATE:1474558699,RESOLVE,,,
Thu Sep 22 18:38:19 2016 us=332551 Data Channel MTU parms [ L:1559 D:1450 EF:59 EB:12 ET:0 EL:3 ]
Thu Sep 22 18:38:19 2016 us=332551 Local Options String: 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'
Thu Sep 22 18:38:19 2016 us=332551 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_SERVER,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
Thu Sep 22 18:38:19 2016 us=332551 Local Options hash (VER=V4): '5cb3f8dc'
Thu Sep 22 18:38:19 2016 us=332551 Expected Remote Options hash (VER=V4): '898ae6c6'
Thu Sep 22 18:38:19 2016 us=332551 Attempting to establish TCP connection with [AF_INET]XX.XX.XX.XX:1194 [nonblock]
Thu Sep 22 18:38:19 2016 us=332551 MANAGEMENT: >STATE:1474558699,TCP_CONNECT,,,
Thu Sep 22 18:38:20 2016 us=334068 TCP connection established with [AF_INET]XX.XX.XX.XX:1194
Thu Sep 22 18:38:20 2016 us=334068 TCPv4_CLIENT link local: [undef]
Thu Sep 22 18:38:20 2016 us=334068 TCPv4_CLIENT link remote: [AF_INET]XX.XX.XX.XX:1194
Thu Sep 22 18:38:20 2016 us=334068 MANAGEMENT: >STATE:1474558700,WAIT,,,
Thu Sep 22 18:38:20 2016 us=335057 MANAGEMENT: >STATE:1474558700,AUTH,,,
Thu Sep 22 18:38:20 2016 us=335057 TLS: Initial packet from [AF_INET]XX.XX.XX.XX:1194, sid=99309c3e 8f919fef
Thu Sep 22 18:38:22 2016 us=453105 VERIFY OK: depth=1, C=GR, ST=Athens, L=Ilion, O=ICTDEV, OU=DV, CN=CA
Thu Sep 22 18:38:22 2016 us=454092 Validating certificate key usage
Thu Sep 22 18:38:22 2016 us=455092 ++ Certificate has key usage 00a0, expects 00a0
Thu Sep 22 18:38:22 2016 us=455092 VERIFY KU OK
Thu Sep 22 18:38:22 2016 us=455092 Validating certificate extended key usage
Thu Sep 22 18:38:22 2016 us=455092 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Thu Sep 22 18:38:22 2016 us=455092 VERIFY EKU OK
Thu Sep 22 18:38:22 2016 us=455092 VERIFY OK: depth=0, C=GR, ST=Athens, L=Ilion, O=ICTDEV, OU=DV, CN=192.168.4.1
Thu Sep 22 18:38:23 2016 us=238351 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Sep 22 18:38:23 2016 us=238351 NOTE: --mute triggered...
Thu Sep 22 18:38:23 2016 us=238351 4 variation(s) on previous 10 message(s) suppressed by --mute
Thu Sep 22 18:38:23 2016 us=238351 [192.168.4.1] Peer Connection Initiated with [AF_INET]XX.XX.XX.XX:1194
Thu Sep 22 18:38:24 2016 us=432778 MANAGEMENT: >STATE:1474558704,GET_CONFIG,,,
Thu Sep 22 18:38:25 2016 us=627424 SENT CONTROL [192.168.4.1]: 'PUSH_REQUEST' (status=1)
Thu Sep 22 18:38:30 2016 us=857761 SENT CONTROL [192.168.4.1]: 'PUSH_REQUEST' (status=1)
Thu Sep 22 18:38:36 2016 us=30302 SENT CONTROL [192.168.4.1]: 'PUSH_REQUEST' (status=1)
Thu Sep 22 18:38:36 2016 us=152754 PUSH: Received control message: 'PUSH_REPLY,ping 20,ping-restart 60,topology subnet,route-gateway 192.168.4.1,ifconfig 192.168.4.254 255.255.255.0'
Thu Sep 22 18:38:36 2016 us=152754 OPTIONS IMPORT: timers and/or timeouts modified
Thu Sep 22 18:38:36 2016 us=153773 OPTIONS IMPORT: --ifconfig/up options modified
Thu Sep 22 18:38:36 2016 us=153773 OPTIONS IMPORT: route-related options modified
Thu Sep 22 18:38:36 2016 us=162771 ROUTE_GATEWAY 10.10.10.1/255.255.255.0 I=11 HWADDR=84:4b:f5:db:a0:c1
Thu Sep 22 18:38:36 2016 us=188767 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Sep 22 18:38:36 2016 us=188767 MANAGEMENT: >STATE:1474558716,ASSIGN_IP,,192.168.4.254,
Thu Sep 22 18:38:36 2016 us=188767 open_tun, tt->ipv6=0
Thu Sep 22 18:38:36 2016 us=190767 TAP-WIN32 device [Ethernet] opened: \\.\Global\{A3B13AE5-2DB5-45BB-830D-4C34E826E783}.tap
Thu Sep 22 18:38:36 2016 us=190767 TAP-Windows Driver Version 9.21
Thu Sep 22 18:38:36 2016 us=190767 TAP-Windows MTU=1500
Thu Sep 22 18:38:36 2016 us=192767 Set TAP-Windows TUN subnet mode network/local/netmask = 192.168.4.0/192.168.4.254/255.255.255.0 [SUCCEEDED]
Thu Sep 22 18:38:36 2016 us=192767 MANAGEMENT: Client disconnected
Thu Sep 22 18:38:36 2016 us=192767 ERROR: There is a clash between the --ifconfig local address and the internal DHCP server address -- both are set to 192.168.4.254 -- please use the --ip-win32 dynamic option to choose a different free address from the --ifconfig subnet for the internal DHCP server
Thu Sep 22 18:38:36 2016 us=192767 Exiting due to fatal error

Αυτό είναι το configuration


# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On some systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
#dev tap
dev tun

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server. For MikroTik only TCP
proto tcp-client

# Change 'myremote' to be your remote host,
# or comment out to enter a listening
# server mode.
remote XX.XX.XX.XX

# Reconfigure this line to use a different
# port number than the default of 1194.
port 1194

# Most clients don't need to bind to
# a specific local port number.
nobind

# Try to preserve some state across restarts.
persist-key
persist-tun

# SSL/TLS client
tls-client

# Chech server serificate in key-usage
remote-cert-tls server

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca cert_export_CA.crt
cert cert_export_ASIMAKO.crt
key cert_export_ASIMAKO.key

# moderate verbosity
verb 4
mute 10

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher AES-256-CBC

# cipher algorithm
auth SHA1

# Username and password file
auth-user-pass secret

# Nocache for auth
auth-nocache

# Pushing the redirect-gateway option to clients
# will cause all IP network traffic originating
# on client machines to pass through the OpenVPN
# server.
redirect-gateway def1


Κάθε βοήθεια ευπρόσδεκτη.

deniSun
22-09-16, 19:30
Μάλλον στο τοπικό σου δίκτυο ο dhcp σου δίνει ίδιο range διευθύνσεων με αυτό του openvpn.

asimako
22-09-16, 19:40
Όχι δεν συμβαίνει αυτό. Το τοπικό μου pool είναι το 192.168.2.0/24 και του OpenVPN είναι 192.168.4.0/24.

deniSun
22-09-16, 19:42
Στο ΜΤ, στον openvpn χρησιμοποιείς διευθύνσεις από τον dhcp του τοπικού δικτύου του ΜΤ ή έχεις φτιάξει και δεύτερο range;

asimako
22-09-16, 19:48
Έχω φτιάξει δεύτερο pool και παίρνει από κει.

deniSun
22-09-16, 19:49
Έχω φτιάξει δεύτερο pool και παίρνει από κει.

Μήπως έχεις ίδιο range και στα δύο;

Nikiforos
22-09-16, 20:10
μηπως γνωριζεις απο ποτε αρχισε να μην δουλευει? θελω να πω μηπως εκανες καπου καποια αλλαγη πχ σε firewall rules, nat κτλ?
δεν μου εχει ξανατυχει τετοιο error, θα ελεγα και εγω για subnet αλλα με καλυψε ο Denis.

deniSun
22-09-16, 20:11
Δεν φαίνεται να σχετίζεται με fw.
Το πιο πιθανόν είναι conflict στις ΙΡ.

asimako
22-09-16, 22:04
Δεν νομίζω να είναι θέμα firewall γιατί βλέπω την κίνηση κανονικά να περνάει απο τα rules που έχω φτιάξει. Εξάλλου δεν έκανα κάποια αλλαγή τελευταία. Και εγώ σαν να κάνει conflict μου μοιάζει αλλά δεν καταλαβαίνω το γιατί. Το range που παίρνει ο DHCP είναι το 192.168.2.10-192.168.2.200 και το range που παίρνει ο OpenVPN είναι το 192.168.4.2-192.168.4.254.

Λες να είναι κανά θέμα επειδή έκανα update στην τελευταία current ??? :p

Nikiforos
22-09-16, 22:34
Λες να είναι κανά θέμα επειδή έκανα update στην τελευταία current ??? :p

εχω και εγω current παντα, και δεν εχω κανενα προβλημα παντως. Με openvpn και για να εχω το εσωτερικο μου δικτυο σε κινητο-ταμπλετς με android αλλα και για να δινω στο εξοχικο ιντερνετ μεσω awmn και εκει ovpn client επισης με current. Ο ιδιος server κανει και τα 2 απλα εχω αλλους κανονες στο ΝΑΤ.



ERROR: There is a clash between the --ifconfig local address and the internal DHCP server address -- both are set to 192.168.4.254 -- please use the --ip-win32 dynamic option to choose a different free address from the --ifconfig subnet for the internal DHCP server


εχεις δοκιμασει καπου αλλου αν παιζει εκτος απο windows? μηπως ειναι εκει το προβλημα στην ρυθμιση του client?
δοκιμασες static ip αντι να παρει αυτοματα απο το dhcp?
μηπως κατι γινεται και εχει σχεση και με το dhcp που δινει την κανονικη ip στα windows?
Ειχα και γω προβληματα με win xp απο την δουλεια και openvpn και αυτος ειναι ο λογος που δουλευω με pptp vpn εκει κυριως.
Δεν θυμαμαι ομως καθολου τι λαθη μου εβγαζε.

Απο android εχεις δοκιμασει? αν ναι παιζει κανονικα?
αν παιζει απο αλλες συσκευες τοτε ειναι κατι σχετικα με τα windows.

asimako
22-09-16, 22:58
Το έχω στημένο στο laptop που δουλεύω για να μπορώ να μπαίνω στο δίκτυο του σπιτιού μου όπου και να βρίσκομαι, οπότε δεν το έχω δοκιμάσει από άλλο PC. Έχω στημένο ένα VM linux, θα το δοκιμάσω και απο κεί καθώς και από άλλο δίκτυο για να δω τι παίζει. Μπορεί να ήταν και θέμα του δικτύου που ήμουν γιατί είναι εταιρικό με domain controller, firewalls και δεν συμαζεύεται, μπορεί να κόβεται τίποτα απο κει. Θα κάνω τις δοκιμές μου και θα επανέλθω.

Nikiforos
22-09-16, 23:03
αμα εχει τοσα πολλα πανω ναι μπορει γιαυτο επιμενω να δοκιμασεις και απο αλλου.
Οπως και να εχει καλη επιτυχια, καληνυχτα :)

dkouskousis
27-12-16, 18:45
Καλησπέρα παιδιά και χρόνια πολλά.

Για τον οδηγό αυτό με τον OpenVPN server μπορεί να χρησιμοποιηθεί το MikroTik CRS109 (https://www.cableworks.gr/diktyaka/switches/desktop-switches/mikrotik-crs109-8g-1s-2hnd-in-8xgigabit-1xsfp-lcd-1000mw-802.11b-g-n-600mhz-128mb-l5/) που είναι οικονομικό? Επίσης όσοι το έχετε αξίζει τα λεφτά του? Το θέλω για μικρή επιχείρηση.

Ευχαριστώ :)

Nikiforos
27-12-16, 19:08
Καλησπέρα παιδιά και χρόνια πολλά.

Για τον οδηγό αυτό με τον OpenVPN server μπορεί να χρησιμοποιηθεί το MikroTik CRS109 (https://www.cableworks.gr/diktyaka/switches/desktop-switches/mikrotik-crs109-8g-1s-2hnd-in-8xgigabit-1xsfp-lcd-1000mw-802.11b-g-n-600mhz-128mb-l5/) που είναι οικονομικό? Επίσης όσοι το έχετε αξίζει τα λεφτά του? Το θέλω για μικρή επιχείρηση.

Ευχαριστώ :)

καλησπέρα! χρονια πολλα! αυτο εχω και εγω εδω περα, πολυ καλο και αξιζει το καθε ευρω της τιμης του!
φυσικα και μπορει οπως ολα τα μηχανηματα που τρεχουν mikrotik router OS! δεν εχει σημασια τι ειναι.
Με οpenvpn server σε αυτο εχω κανει διπλα ΝΑΤ και κανω 2 ξεχωριστες δουλειες και σε κινητα και ιντερνετ αλλου μεσω ασυρματων δικτυων.
Οσο ποιο δυνατο ειναι το μηχανημα μπορεις να σηκωνεις περισσοτερες υπηρεσιες.

dkouskousis
27-12-16, 19:17
καλησπέρα! χρονια πολλα! αυτο εχω και εγω εδω περα, πολυ καλο και αξιζει το καθε ευρω της τιμης του!
φυσικα και μπορει οπως ολα τα μηχανηματα που τρεχουν mikrotik router OS! δεν εχει σημασια τι ειναι.
Με οpenvpn server σε αυτο εχω κανει διπλα ΝΑΤ και κανω 2 ξεχωριστες δουλειες και σε κινητα και ιντερνετ αλλου μεσω ασυρματων δικτυων.
Οσο ποιο δυνατο ειναι το μηχανημα μπορεις να σηκωνεις περισσοτερες υπηρεσιες.

Τι αμεσότητα Νικηφόρε!! Ευχαριστώ πολύ για την απάντηση και τις πληροφορίες. :)
Θα το αγοράσω και θα στείλω εντυπώσεις.


Δημήτρης

Nikiforos
27-12-16, 19:27
παρακαλω δεν κανει τιποτα, οτι θες εδω ειμαστε! αφου το θες και για επιχειρηση ειναι οτι πρεπει.

teodor_ch
27-12-16, 22:36
εγώ για επιχείρηση πήρα σήμερα ενα 951 στα 80 ευρώ
με ίδιο επεξεργαστή και μνήμη νομίζω

Nikiforos
29-12-16, 07:53
εγώ για επιχείρηση πήρα σήμερα ενα 951 στα 80 ευρώ
με ίδιο επεξεργαστή και μνήμη νομίζω

καλημερα, με γεια! ναι ιδια cpu και ram εχουν αν πηρες το ακριβοτερο 951, απλα το 109 εχει αρκετα πραγματακια παραπανω. Στο site της routerboard μπορεις να δεις αναλυτικα ποια ειναι αυτα.

puntomania
29-12-16, 19:11
Εδώ παρουσιάζω έναν οδηγό για εγκατάσταση OpenVPN Server στο ΜΤ και χρήση Android Client.
Ο οδηγός αυτός είναι συνέχεια του προηγούμενου βασικού οδηγού (http://www.adslgr.com/forum/threads/858116-Mikrotik-%CF%83%CE%B5-%CF%81%CF%8C%CE%BB%CE%BF-PPPoE-client-%CE%BC%CE%B5-modem-%CF%83%CE%B5-bridge-mode) εγκατάστασης.
Θα χρειαστούμε ένα ΗΥ με Linux.
Είναι εύκολο να εγκατασταθεί.
Προσωπικά χρησιμοποίησα VirtualBox με Ubuntu Server.

Δημιουργούμε τα πιστοποιητικά στο Linux (οι εντολές δίνονται με δικαιώματα root σαν su ή με sudo μπροστά):
*** Εγκατάσταση openvpv και παραμετροποίηση default τιμών (για να μην τα δίνουμε συνέχεια)

apt-get install openvpn bridge-utils
cd /etc/openvpn/
mkdir easy-rsa
cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
cd /etc/openvpn/easy-rsa/
pico vars
export KEY_COUNTRY="GR"
export KEY_PROVINCE="TH"
export KEY_CITY="Thessaloniki"
export KEY_ORG="HomeMikrotik"
export KEY_EMAIL="my@email.com"

*** Δημιουργία master Certificate Authority (CA) certificate & key

source vars
./clean-all
./build-ca
Common Name: HomeMikrotikCA

*** Δημιουργία certificate & key for server

./build-key-server server
Common Name: server
Sign the certificate: y
1 out of 1 certificate requests certified, commit: y

*** Δημιουργία certificates & key για 1 client

./build-key client1
Common Name: client1
Sign the certificate: y
1 out of 1 certificate requests certified, commit: y

Αντιγράφουμε στον ΗΥ τα αρχεία:

ca.crt
server.crt
server.key
client1.crt
client1.key
Η διαδικασία μπορεί να γίνει με έναν ftp server που εύκολα μπορούμε να εγκαταστήσουμε.

Στο ΜΤ κάνουμε τα παρακάτω:
*** Αντιγράφουμε στο ΜΤ μέσω winbox τα αρχεία (στο files του winbox):

ca.crt
server.crt
server.key
*** Εγκαθιστούμε τα πιστοποιητικά:

System > Certificates > Certificates > Import
ca.crt
ca.key
server.crt
server.key
*** Δημιουργούμε περιοχή διευθύνσεων τις οποίες θα δίνουμε στους openvpn client

IP > Pool > (+)
Name: openvpnpool1
Address: 192.168.5.110-192.168.5.111
*** Δημιουργία profile (στο .36 έχω DNS server εξωτερικό με ads block)

PPP > Profiles > (+)
Name: openvpnprofile
Local Address: openvpnpool1
Remote Address: openvpnpool1
DNS Server: 192.168.5.36
*** Δημιουργία χρήστη για σύνδεση (usr/psw)

PPP > Secrets > (+)
Name: myusr
Password: mypsw
Service: ovpn
Profile: openvpnprofile
*** Ενεργοποίηση OpenVPN Server

PPP > Interface > OVPN Server (button)
Enabled
Mode: ethernet
Default Profile: openvpnprofile
Certificate: cert_2 (server.crt/key)
Require Client Certificate
Auth: sha1
Cipher: aes256
*** Ενεργοποίηση Dynamic DNS για πρόσβαση από έξω

IP > Cloud
Enabled

Παραμετροποιούμε το παρακάτω αρχείο (client.ovpn) βάζοντας την διεύθυνση από το cloud στη θέση του remote:

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
# #
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files. #
# #
# On Windows, you might want to rename this #
# file so it has a .ovpn extension #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Windows adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto tcp
;proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote 000000000000.sn.mynetname.net 1194
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
;resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
;persist-key
;persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert client1.crt
key client1.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
;ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
tls-client

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher AES-256-CBC
auth SHA1
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
;comp-lzo

# Set log file verbosity.
;verb 3

# Silence repeating messages
;mute 20

auth-user-pass
redirect-gateway

Πάμε στο Android.
Αντιγράφουμε τα αρχεία στον root κατάλογο:

ca.crt
client1.crt
client1.key
Στο ίδιο σημείο αντιγράφουμε και το αρχείο client.ovpn που φτιάξαμε παραπάνω.
Εγκαθιστούμε την εφαρμογή OpenVPN Connect και κάνουμε τα παρακάτω:

*** Ρυθμίσεις για OpenVPN Connect
Preferences:
Battery Saver (X)
Seamless Tunnel (X)
Reconnect on reboot (X)
Auto Keyboard
VPN Protocol: TCP
Connection Timeout: 1 min
Compression: No
Force AES-CBC ciphersuites (X)
DNS Fallback (X)
Shortcut Minimize
Notifications
Import: Import Profile from SD card
client.ovpn

Αν όλα πήγαν καλά θα πρέπει να συνδεόμαστε κανονικά στον OpenVPN Server και να δρομολογείται όλη η κίνηση από την ΙΡ του ΜΤ.
Για να το ελέγξουμε και να είμαστε 100% σίγουροι...
Συνδεόμαστε σε κάποιο ασύρματο δίκτυο με την android συσκευή (όχι αυτό του ΜΤ).
Συνδεόμαστε με το OpenVPN Connect.
Ανοίγουμε μία από τις παρακάτω σελίδες:
http://www.whatismyip.com/
http://whatismyipaddress.com/
http://www.showmyip.gr/
http://www.whatsmyip.org/
Θα πρέπει να βλέπουμε για διεύθυνση την ΙΡ του ΜΤ και όχι αυτή του ασύρματου δικτύου που συνδεθήκαμε.




root@raspberrypi:/# apt-get install openvpn bridge-utils
Reading package lists... Done
Building dependency tree
Reading state information... Done
bridge-utils is already the newest version.
openvpn is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
root@raspberrypi:/# cd /etc/openvpn/
root@raspberrypi:/etc/openvpn# mkdir easy-rsa
mkdir: cannot create directory ‘easy-rsa’: File exists
root@raspberrypi:/etc/openvpn# cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
cp: cannot stat ‘/usr/share/doc/openvpn/examples/easy-rsa/2.0/*’: No such file or directory
root@raspberrypi:/etc/openvpn#


στο examples μέσα δεν έχει φάκελο easy-rsa!!!

deniSun
29-12-16, 23:28
Τα rasp χρησιμοποιούν δικές τους εκδόσεις linux.
Όπως γράφω:

Προσωπικά χρησιμοποίησα VirtualBox με Ubuntu Server.

Nikiforos
30-12-16, 07:33
root@raspberrypi:/# apt-get install openvpn bridge-utils
Reading package lists... Done
Building dependency tree
Reading state information... Done
bridge-utils is already the newest version.
openvpn is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
root@raspberrypi:/# cd /etc/openvpn/
root@raspberrypi:/etc/openvpn# mkdir easy-rsa
mkdir: cannot create directory ‘easy-rsa’: File exists
root@raspberrypi:/etc/openvpn# cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
cp: cannot stat ‘/usr/share/doc/openvpn/examples/easy-rsa/2.0/*’: No such file or directory
root@raspberrypi:/etc/openvpn#
στο examples μέσα δεν έχει φάκελο easy-rsa!!!

καλημερα! κανονικα θα επρεπε να είναι οπως στο ubuntu, ομως επειδη η καθε διανομη έχει τις δικες της μετατροπες μπορει κάτι να αλλαζει εδω. Για να το δει καποιος πρεπει να το κανει σε ιδιο λειτουργικο.
εγω πχ τα αρχεια αυτα τα έφτιαξα σε archlinux desktop και ειχαν διαφορετικο τροπο https://wiki.archlinux.org/index.php/Easy-RSA
Aς δουμε λιγο το δικο σου ομως.

Οπως βλεπω εδω : root@raspberrypi:/etc/openvpn# mkdir easy-rsa
mkdir: cannot create directory ‘easy-rsa’: File exists
σου λεει οτι δεν μπορει να κανει τον φακελο επειδη υπαρχει! το τσεκαρες? μηπως τα εχει καπου αλλου?
αν υπαρχει αλλα ειναι αδειος, σβηστον τοτε μηπως και τον φτιαξει σωστα.

προτεινω να δεις αυτο που ειναι πανω σε Raspbian http://readwrite.com/2014/04/10/raspberry-pi-vpn-tutorial-server-secure-web-browsing/
ή εδω https://jacobsalmela.com/2013/08/11/setting-up-an-openvpn-server-on-the-raspberry-pi/

jkoukos
30-12-16, 15:42
στο examples μέσα δεν έχει φάκελο easy-rsa!!!
Οι οδηγίες που κυριαρχούν στο διαδίκτυο αναφέρονται σε εγκατάσταση έως OpenVPN 2.2, όπου το πακέτο easy-rsa εγκαθίσταται μαζί και δημιουργείται ο φάκελλος με τα αρχεία.
Σε OpenVPN 2.3 και μετά, το easy-rsa είναι ξεχωριστό πακέτο (apt-get install easy-rsa) και ο φάκελος με τα αρχεία σε άλλη θέση (/usr/share/easy-rsa).
Άρα η εντολή αντιγραφής θα είναι cp -R /usr/share/easy-rsa /etc/openvpn/easy-rsa

teodor_ch
30-12-16, 17:09
Εγώ τα έφτιαξα στα windows πάντως.
https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide#CertificatesandKeys

@ ADSLgr.com All rights reserved.