Αν είσαι σε Windows, ο client πρέπει να τρέχει σαν administratior (γιατί διαφορέτικα θα κάνει σύνδεση αλλά δε θα μπορέσει να ενημερώσει το routing, που πρέπει για να γίνει default gw ό ovpn server)

Αν είσαι σε Windows, ο client πρέπει να τρέχει σαν administratior (γιατί διαφορέτικα θα κάνει σύνδεση αλλά δε θα μπορέσει να ενημερώσει το routing, που πρέπει για να γίνει default gw ό ovpn server)
Μπαίνω από κινητό Android

H 6.40 έχει κάποιο Bug με το Ovpn. Οπότε μην παλεύετε τσάμπα. Κάτι γίνεται με τα routes που δημιουργεί όταν συνδεέται. Επίσης στον openvpn server, το πεδίο netmask λαμβάνεται υπόψη. Οπότε νομίζω ότι θα πρέπει να εχει τιμή 32. Όταν όμως γίνει αυτό τότε δεν συνδεεται από την εφαρμογή.

H 6.40 έχει κάποιο Bug με το Ovpn. Οπότε μην παλεύετε τσάμπα. Κάτι γίνεται με τα routes που δημιουργεί όταν συνδεέται. Επίσης στον openvpn server, το πεδίο netmask λαμβάνεται υπόψη. Οπότε νομίζω ότι θα πρέπει να εχει τιμή 32. Όταν όμως γίνει αυτό τότε δεν συνδεεται από την εφαρμογή.
Δεν το ήξερα αυτό για την 6.40 και πρόκειται για νέο update ...οπότε εν αναμονή για το fix

H 6.40 έχει κάποιο Bug με το Ovpn. Οπότε μην παλεύετε τσάμπα. Κάτι γίνεται με τα routes που δημιουργεί όταν συνδεέται. Επίσης στον openvpn server, το πεδίο netmask λαμβάνεται υπόψη. Οπότε νομίζω ότι θα πρέπει να εχει τιμή 32. Όταν όμως γίνει αυτό τότε δεν συνδεεται από την εφαρμογή.

Καλημερα, εχω περασει την 6.40 απο την 2η μερα που εμφανιστηκε, εχω και ovpn server για να δινει σε Mikrotik, ο ιδιος με αλλο ΝΑΤ δινει σε κινητα, ταμπλετς καθως και σε ενα αλλο 951 και δεν εχω πουθενα απολυτως κανενα προβλημα...
αν εχετε προβληματα ισως ειναι μεμονωμενες περιπτωσεις.

Συγκεκριμενα RB109 τρεχει ovpn server και δινει ιντερνετ μεσω awmn σε ενα 951.
Απο το Rb109 ο ιδιος με αλλο ΝΑΤ δινει μεσω ιντερνετ , AWMN σε κινητα-ταμπλετ-pc δουλειας και αλλο 951 στο εξοχικο (με ιντερνετ κινητης) για backup.
Και το 951 με ιντερνετ κινητης τρεχει ovpn server που συνδεεται με client το 109 για να κανω τα κολπα μου εκτος του awmn μεσω ιντερνετ κινητης σε αυτο.
Ολα αυτα τα τσεκαρα πολλες φορες και παιζουν αψογα και με openvpn connect (android) και με Openvpn for android.

Ισως αυτα που λετε να ειναι αναλογα και το εκαστοτε σεταπ οποτε και να υπαρχει bug αν εγω το εχω αλλιως δεν με πιανει.
Αν υπαρχει αναφορα για bug παρακαλω οταν λεμε κατι τετοιο να υπαρχει το Link για το αναλογο θεμα στο επισημο forum.

Καλημερα, εχω περασει την 6.40 απο την 2η μερα που εμφανιστηκε, εχω και ovpn server για να δινει σε Mikrotik, ο ιδιος με αλλο ΝΑΤ δινει σε κινητα, ταμπλετς καθως και σε ενα αλλο 951 και δεν εχω πουθενα απολυτως κανενα προβλημα...
αν εχετε προβληματα ισως ειναι μεμονωμενες περιπτωσεις.

Συγκεκριμενα RB109 τρεχει ovpn server και δινει ιντερνετ μεσω awmn σε ενα 951.
Απο το Rb109 ο ιδιος με αλλο ΝΑΤ δινει μεσω ιντερνετ , AWMN σε κινητα-ταμπλετ-pc δουλειας και αλλο 951 στο εξοχικο (με ιντερνετ κινητης) για backup.
Και το 951 με ιντερνετ κινητης τρεχει ovpn server που συνδεεται με client το 109 για να κανω τα κολπα μου εκτος του awmn μεσω ιντερνετ κινητης σε αυτο.
Ολα αυτα τα τσεκαρα πολλες φορες και παιζουν αψογα και με openvpn connect (android) και με Openvpn for android.

Ισως αυτα που λετε να ειναι αναλογα και το εκαστοτε σεταπ οποτε και να υπαρχει bug αν εγω το εχω αλλιως δεν με πιανει.
Αν υπαρχει αναφορα για bug παρακαλω οταν λεμε κατι τετοιο να υπαρχει το Link για το αναλογο θεμα στο επισημο forum.
Nικηφόρε μπορείς να κάνεις copy paste το .ovpn αρχείο σου εδώ μέσα να το τσεκάρω?

Nικηφόρε μπορείς να κάνεις copy paste το .ovpn αρχείο σου εδώ μέσα να το τσεκάρω?



##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
# #
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files. #
# #
# On Windows, you might want to rename this #
# file so it has a .ovpn extension #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Windows adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto tcp
;proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote XXXXXXX.sn.mynetname.net 1XXX
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
;resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
;persist-key
;persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert android.crt
key android.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
;ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
;tls-client

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher AES-256-CBC
auth SHA1
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
;comp-lzo

# Set log file verbosity.
;verb 3

# Silence repeating messages
;mute 20

auth-user-pass
redirect-gateway


στα ΧΧΧΧ bold οτι εχεις για ip cloud ή Noip ή κατι άλλο και διπλα την πορτα, δεν εχω την στανταρ εγω.
Το παραπανω παιζει απο windows XP-7 client, arch+debian linux client, android client (οpenvpn connect και openvpn for android) και παλιοτερα το ιδιο επαιζε απο Iphone 3Gs και 4 με το προγραμμα Gizmo VPN.

To routing το αναλαμβανει το εκαστοτε προγραμμα client αναλογα το λειτουργικο ΔΕΝ βαζω ποτε routes μεσα στο αρχειακι αυτο.


H 6.40 έχει κάποιο Bug με το Ovpn. Οπότε μην παλεύετε τσάμπα. Κάτι γίνεται με τα routes που δημιουργεί όταν συνδεέται. Επίσης στον openvpn server, το πεδίο netmask λαμβάνεται υπόψη. Οπότε νομίζω ότι θα πρέπει να εχει τιμή 32. Όταν όμως γίνει αυτό τότε δεν συνδεεται από την εφαρμογή.

το netmask ΠΑΝΤΑ 29 εχω και ποτε δεν εχω προβλημα, γιατι 32?



/interface ovpn-server server
set auth=sha1 certificate=mikrotik.crt_0 cipher=aes256 default-profile=\
ovpnprofile enabled=yes netmask=29 port=ΧΧΧΧ require-client-certificate=\
yes


Αν δεις το επισημο how to απο κονσολα επισης λεει 29, θεωρω το 32 ειναι λαθος και γιαυτο εχει θεματα.
https://wiki.mikrotik.com/wiki/OpenVPN

For a default gw to the client, usually, this is added:

push "redirect-gateway"


Αν διαβασετε το HOW TO θα δειτε οτι ολα τα εξηγει πολυ καλα και ωραια, εγω επειδη εχω το redirect-gateway δεν χρειαζεται να δηλωσω routes μεσα στο αρχειακι .ovpn.

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
# #
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files. #
# #
# On Windows, you might want to rename this #
# file so it has a .ovpn extension #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Windows adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto tcp
;proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote XXXXXXX.sn.mynetname.net 1XXX
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
;resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
;persist-key
;persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert android.crt
key android.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
;ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
;tls-client

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher AES-256-CBC
auth SHA1
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
;comp-lzo

# Set log file verbosity.
;verb 3

# Silence repeating messages
;mute 20

auth-user-pass
redirect-gateway


στα ΧΧΧΧ bold οτι εχεις για ip cloud ή Noip ή κατι άλλο και διπλα την πορτα, δεν εχω την στανταρ εγω.
Το παραπανω παιζει απο windows XP-7 client, arch+debian linux client, android client (οpenvpn connect και openvpn for android) και παλιοτερα το ιδιο επαιζε απο Iphone 3Gs και 4 με το προγραμμα Gizmo VPN.

To routing το αναλαμβανει το εκαστοτε προγραμμα client αναλογα το λειτουργικο ΔΕΝ βαζω ποτε routes μεσα στο αρχειακι αυτο.



το netmask ΠΑΝΤΑ 29 εχω και ποτε δεν εχω προβλημα, γιατι 32?



/interface ovpn-server server
set auth=sha1 certificate=mikrotik.crt_0 cipher=aes256 default-profile=\
ovpnprofile enabled=yes netmask=29 port=ΧΧΧΧ require-client-certificate=\
yes


Αν δεις το επισημο how to απο κονσολα επισης λεει 29, θεωρω το 32 ειναι λαθος και γιαυτο εχει θεματα.
https://wiki.mikrotik.com/wiki/OpenVPN

Έτσι το έχω και εγώ....το netmask το έχω στο 24...κοίτα συνδέεται κανονικά από το κινητό απλά παίρνει την ίδια ip με το wifi ή το 3G δίκτυο. Εσένα σου δείχνει διαφορετική??

Δεν ξερω τι σεταπ εχεις εσυ, εγω μπορει να εχω διαφορετικα. Εμενα δινει AWMN μεσω ιντερνετ δλδ εχω προσβαση σε ολο το AWMN οταν συνδεομαι με openvpn.
Nαι δειχνει του σπιτιου μου γιατι το εχω να κανει redirect gw οπως εδειξα απο πανω.
Αμα δειχνει την ιδια πως δουλευει τοτε? σου δουλευει τελικα?

λοιπον εψαξα και βρηκα, υπαρχει οντως BUG στην 6.40 αλλα ΜΟΝΟ αν εχουμε δηλωσει push routes, εγω δεν εχω γιαυτο και δεν εχω κανενα απολυτως προβλημα!
οριστε απο το επισημο forum https://forum.mikrotik.com/viewtopic.php?f=13&t=124005&p=610512#p610512
ηδη σε RC εχει βγει διορθωση και αναμενεται για την current.



What's new in 6.41rc7 (2017-Aug-02 09:51):

*) ovpn-client - fixed incorrect netmask usage for pushed routes;


προφανως αμα καποιος βιαζεται για την διορθωση και ειδικα αν εχει και bugfix θα πρεπει να παει στην RC....:p
ή απλα αλλαζει το setup ωστε να αποφυγει τα pushed routes!

Επισης να υπενθυμισω οτι η MIKROTIK προωθει το SSTP VPN αντι το OVPN που το εχω ξαναγραψει, εχω σε ενα 951 για ιντερνετ απο γειτονα μεσω εξωτερικων δικτυων. Σε αυτο λοιπον μπορουν να μπουν αρχεια κρυπτογραφησης και πιστοποιησης σαν το OVPN αλλα υποστηριζει και αλλα πραγματα οπως πχ το UDP.
Aν θελει κανεις να δοκιμασει εχω κανει και θεμα εδω : https://www.adslgr.com/forum/threads/1001873-Mikrotik-SSTP-server

Δεν ξερω τελικα αν ειναι καλυτερο το OVPN ή το SSTP, μπορει ομως να παιξει και απλα χωρις πιστοποιητικα κατι που θυμιζει pptp vpn ή το απλό l2tp χωρίς το ipsec.

Αμα δειχνει την ιδια πως δουλευει τοτε? σου δουλευει τελικα?



Νικηφόρε συνδέεται κανονικά απο το κινητό μου και μπαίνω στις localip των συσκευών μου στο σπίτι.

OpenVPN has been implemented in some manufacturer router firmware, such as the D-Link DSR-250[35] and some MikroTik Routers.[36] MikroTik's implementation does not support the UDP protocol or LZO compression, which limits transfer speeds attainable. MikroTik said in 2010 that they would not continue developing OpenVPN in favor of SSTP.[37]

https://en.wikipedia.org/wiki/OpenVPN


Νικηφόρε συνδέεται κανονικά απο το κινητό μου και μπαίνω στις localip των συσκευών μου στο σπίτι.

δεν ξερω τι ρυθμισεις εχεις εμενα δεν γινεται αυτο ποτε!
δοκιμασα τωρα μαλιστα.
Οταν συνδεθω εφοσον εχει gw το 109 στο σπιτι λεει την ip που εχει εκει το ιντερνετ.
Αν ξεσυνδεθω λεει την ip απο το ιντερνετ που εχει το wifi vdsl router εδω που ειμαι.
αυτο γινεται παντα στα δικα μου. Ποτε δεν λέει την ιδια στο showmyip με συνδεδεμενο το vpn-αποσυνδετο.
το ιδιο ισχυει με ολα τα vpn που εχω δουλεψει και με pptp και με l2tp+ipsec.
και απο android και απο pcs.

OpenVPN has been implemented in some manufacturer router firmware, such as the D-Link DSR-250[35] and some MikroTik Routers.[36] MikroTik's implementation does not support the UDP protocol or LZO compression, which limits transfer speeds attainable. MikroTik said in 2010 that they would not continue developing OpenVPN in favor of SSTP.[37]

https://en.wikipedia.org/wiki/OpenVPN



δεν ξερω τι ρυθμισεις εχεις εμενα δεν γινεται αυτο ποτε!
δοκιμασα τωρα μαλιστα.
Οταν συνδεθω εφοσον εχει gw το 109 στο σπιτι λεει την ip που εχει εκει το ιντερνετ.
Αν ξεσυνδεθω λεει την ip απο το ιντερνετ που εχει το wifi vdsl router εδω που ειμαι.
αυτο γινεται παντα στα δικα μου. Ποτε δεν λέει την ιδια στο showmyip με συνδεδεμενο το vpn-αποσυνδετο.
το ιδιο ισχυει με ολα τα vpn που εχω δουλεψει και με pptp και με l2tp+ipsec.
και απο android και απο pcs.

Περίεργα πράγματα!!!Πως γίνεται αυτό με μένα??έπρεπε να βλέπω όταν συνδέομαι με το ovpn την Ip adress (ιντερνετική) του mikrotik σωστά?. Μήπως επειδή το έχω στήσει το ΜΤ σαν PPOE client??

- - - Updated - - -

gw στο ovpn server του mikrotik έχεις την 109? Δηλ. είναι η IP του MT σου σωστά?

- - - Updated - - -

gw στο ovpn server του mikrotik (στο profil σου) έχεις την 109? Δηλ. είναι η IP του MT σου σωστά?

έχω πολλά rbs, το 109 είναι αυτό που έχει ppoe client για ιντερνέτ και τον openvpn server που έδειξα πριν. Ο καθε πελάτης έχει αυτό το rb σαν gw γι'αυτό δείχνει την δικιά του ιντερνετική ip και γι'αυτό δεν χρειάζομαι push routes. Επίσης μέσα από winbox έχω τικ add default route στο ovpn server window.
Το 109 είναι ρουτερμποντ όχι ip! Είναι το ιντερνέτ ρούτερ μου .

έχω πολλά rbs, το 109 είναι αυτό που έχει ppoe client για ιντερνέτ και τον openvpn server που έδειξα πριν. Ο καθε πελάτης έχει αυτό το rb σαν gw γι'αυτό δείχνει την δικιά του ιντερνετική ip και γι'αυτό δεν χρειάζομαι push routes. Επίσης μέσα από winbox έχω τικ add default route στο ovpn server window.

Το 109 είναι ρουτερμποντ όχι ip! Είναι το ιντερνέτ ρούτερ μου .

Που βρίσκεται αυτή η επιλογή (add default route στο ovpn server window)?
Σορρυ δεν το κατάλαβα για το 109.

- - - Updated - - -

Πάντως με το PPTP πρωτόκολλο όταν συνδέομαι παίρνει την IP κανονικά του ΜΤ.

https://mikrotik.com/product/CRS109-8G-1S-2HnD-IN

αυτο ειναι το 109 που εχω για ιντερνετ ρουτερ και τρεχει και τον OVPN server που ανεφερα πριν και εδειξα και τις ρυθμισεις του.
Aυτο στο σπιτι στην Αθηνα γιατι στο εξοχικο εχω 2 951 https://mikrotik.com/product/RB951G-2HnD εσωτερικα, το ενα ειναι awmn router (gigabit εκδοση) και εχει ovpn client για να παιρνει ιντερνετ απο το 109 μεσω AWMN και ρουταρει 2 εξωτερικα RBs (ενα 911 και ενα 411) με ασυρματες ζευξεις, και το 2ο 951 (το απλο 100αρι) εχει στικ κινητης 4G και τρεχει εναν ovpn server και εναν ovpn client.
Ο σερβερ δινει ips απο το subnet εκει στο 109 στην Αθηνα, ειναι για να περναω μεσω ιντερνετ ΑΝ πεσει το AWMN.
Aλλα μονιμα περναω VOIP για μεγιστη αξιοπιστια.
Ο client το ιδιο αλλα απο την αναποδη πλευρα.
Ο σερβερ χρειαστηκε γιατι αλλιως το voip πηγαινε μεσω κινητης και ιντερνετ και ερχοταν απο το AWMN!!!
ενω ετσι στο 109 εβαλα μια ρουτα και του λεω οταν πας να δεις το pap2 στο αλλο σημειο θα πας μεσω του OVPN αυτου και παει παντα μεσω ιντερνετ και κινητη τελικα εκει.

Το add default route ειναι στους client.
Αν δεν ειναι mikrotik τοτε ισχυει αυτο στο αρχειο conf που εδειξα πριν redirect default gateway πως το λεγε.
Στους client στο mikrotik η επιλογη δεν ειναι μονο στον client του OVPN απο τα PPP αλλα υπαρχει και για ΚΑΘΕ αλλο ειδος VPN.

Σχετικα με την κινητη εχω θεμα εδω αν θες να δεις : https://www.adslgr.com/forum/threads/877556-%CE%A4%CF%81%CF%8C%CF%80%CE%BF%CE%B9-%CE%B3%CE%B9%CE%B1-internet-%CE%BA%CE%B9%CE%BD%CE%B7%CF%84%CE%AE%CF%82-%CF%83%CE%B5-Mikrotik-Routerboard/page12

Κατι με τις ρυθμισεις εχει να κανει αυτο που λες, εμενα παντως παντα παιρνει την ip απο το ιντερνετ που τρεχει ο ovpn server.

Server certificate validation κάνει κανένας? Γιατί παίζει τρελό mitm attack.

Λοιπόν όταν συνδέομαι δείχνει μέσα την IP του MT..... το παρατήρησα αργά γιατί κάθετο το κινητό την έκοβε και δεν φαινότανε...όμως στο showmyip δείχνει την ip του δικτύου....κουφό? Παίζω όλη την ημέρα με τις ρυθμίσεις του αλλά δεν βρήκα κάτι.

185122

- - - Updated - - -


Server certificate validation κάνει κανένας? Γιατί παίζει τρελό mitm attack.

Τι ακριβώς εννοείς;

O server πιστοποιεί τον client από το πιστοποιητικό. Ό client όμως για να ελέγξει ότι όντος μιλά με τον server πρέπει να έχει στο config remote-cert-tls server (https://openvpn.net/index.php/open-source/documentation/howto.html#mitm) το οποίο όμως δε λειτουργεί στο mtik

O server πιστοποιεί τον client από το πιστοποιητικό. Ό client όμως για να ελέγξει ότι όντος μιλά με τον server πρέπει να έχει στο config remote-cert-tls server (https://openvpn.net/index.php/open-source/documentation/howto.html#mitm) το οποίο όμως δε λειτουργεί στο mtik
Άρα που καταλήγουμε λοιπόν? Ξεχνάμε το Ovpn στο ΜΤ και στήνουμε PPTP? το οποίο και αυτό έχει θέματα ασφαλείας.

- - - Updated - - -

Μόλις βγήκε και η νέα ver στο Mikrotik που φτιάχνει κάτι στο ovpn.

185126

Άρα που καταλήγουμε λοιπόν? Ξεχνάμε το Ovpn στο ΜΤ και στήνουμε PPTP? το οποίο και αυτό έχει θέματα ασφαλείας.

- - - Updated - - -

Μόλις βγήκε και η νέα ver στο Mikrotik που φτιάχνει κάτι στο ovpn.

185126

Δεν βγήκε (https://www.adslgr.com/forum/threads/999728-%CE%A0%CE%B5%CF%81%CE%AF-ROS-%CE%BF-%CE%BB%CF%8C%CE%B3%CE%BF%CF%82?p=6219874#post6219874)... μόλις.

αυτο ειναι για οσους χρησιμοποιουν push routes στο οποιο ειχε bug η 6.40 και δεν δουλευε σωστα το netmask, προσωπικα δεν δουλευω με push routes και ετσι δεν ειχα προβλημα, εχουν αναφερθει ολα σε προηγουμενα ποστς.


O server πιστοποιεί τον client από το πιστοποιητικό. Ό client όμως για να ελέγξει ότι όντος μιλά με τον server πρέπει να έχει στο config remote-cert-tls server (https://openvpn.net/index.php/open-source/documentation/howto.html#mitm) το οποίο όμως δε λειτουργεί στο mtik

απο οσο ξερω δεν υπαρχει καποιο προβλημα ασφαλειας, αν εχουμε αμφιβολιες ομως μπορουμε να βαλουμε προστασια για brute force attack, εχει αναφερθει στο θεμα του firewall για αλλες πορτες και το εχω κανει για αλλες υπηρεσιες.
Επισης δεν χρησιμοποιουμε την default port 1194 και μπλοκαρουμε τα πορτ σκανερς ωστε να μην μας σκαναρουν.
Και εγω σε αυτα που ειναι απο το awmn εχω δηλωσει ποια subnets θα εχουν προσβαση δλδ μονο τα δικα μου.

Αν εχετε παλι αμφιβολιες για την ασφαλεια τοτε προτεινω να πατε σε SSTP που παιζει και αυτο με πιστοποιητικα αν θελουμε, αρχεια κτλ που θυμιζει openvpn, υποστηριζει TLS, αλλα και υποστηριζεται και αναπτυσεται περισσοτερο απο την Mikrotik, ενω το openvpn απο την 3.20 ή 3.22 που πρωτοεμφανιστηκε στο ROS κοντευουμε στην ROS V 7 και ακομα εχει απουσια σημαντικων πραγματων!
Exω κανει σχετικο θεμα αν θελετε τα λεμε εκει https://www.adslgr.com/forum/threads/1001873-Mikrotik-SSTP-server
Επισης επειδη η Mikrotik του εχει αλλαξει τα φωτα του ΟPENVPN, ειχα σκεφτει να τρεχω server στον nas ωστε να ειναι με τα σωστα πραγματα δλδ αυτα που λειπουν απο την Mikrotik, tls, UDP, LZO και για τα αλλα που ειναι μεταξυ των Rbs και ΜΟΝΟ να παιξω με SSTP VPN αλλα θελει πολυ δουλεια η μεταβαση και βαριεμαι.
Οταν καποτε ειχα το Ubiquinti Routerstation PRO με OPENWRT ειχα 3 openvpn servers και μονο αυτος για το mikrotik να δινει δλδ σε ενα σαν client ηταν κουτσος, στραβος και αοματος....(απουσια ΤLS, UDP, LZO).
Οι αλλοι 2 τα ειχαν αυτα κανονικα.
Παρατηρω το OVPN, βλεπω τα logs κτλ και αν δω προβληματα ασφαλειας τοτε αναγκαστικα θα κανω το παραπανω.

1. Pptp ούτε για πλάκα.
2. Θα το αφήσω να τρέχει το ovpn στο mtik για backup, και χρησιμοποιώ ovpn από το NAS.
3. Το ρισκο να φάμε εμείς man in the middle attack είναι μηδαμινό. Αν όμως φας τα logs δεν θα δείξουν τίποτα.

Πληροφοριακά ποιο NAS χρησιμοποιείς?

Synology

Θα δοκιμάσω να το στήσω και εγώ στο qnap που έχω. Λογικά παίζει και στα NAS με certificates?

- - - Updated - - -

Να ενημερώσω ότι μετά το update στο ΜΤ στην 6.40.1 τώρα στο κινητό μου δείχνει κανονικά την Ip του mikrotik.
Παραθέτω επίσης εικόνες από τις ρυθμίσεις της εφαρμογής client Openvpn for Android για να υπάρχουν εδώ:

185134185135185136185137185138185139185140185141

Ωραίος...

καλημέρα, ωραία και τα γράμματα αυτά, πέρασα και εγώ σε όλα την 6.40.1 δεν άλλαξε απολύτως τίποτα στα ovpns γιατί όπως είπα δεν χρησιμοποιώ push routes. Σχετικά με το Νας για qnap στο γραφικό πακέτο που έχει ενσωματωμένο δεν έχει ούτε επιλογή για tls ούτε και για lzo compression. Έβαλα όμως το πακέτο κονσόλας με ipkg install openvpn και στο /etc/openvpn έχει τα confs και έχει τα πάντα. Τώρα δεν ξέρω αν συνεργάζονται ή παίζουν χωριστά γιατί το πακέτο που έβαλα από κονσόλα δεν ήταν εγκατεστημένο πριν αλλά στο μενού vpn είχε και openvpn. Επίσης υπάρχει γραφικό πακέτο για l2tp+ipsec που το έβαλα για να το δω , αλλά sstp vpn πουθενά...

Νικηφόρε σχετικά με το NAS και εγώ το ξεκίνησα χθές και μπήκα με κονσόλα και είδα το conf λοιπόν επειδή μας ενδιαφέρει και αυτό το στήσιμο άνοιξα σχετικό θέμα εδώ. (https://www.adslgr.com/forum/threads/1006722-Οδηγός-QNAP-NAS-σαν-OpenVPN-server?p=6220511#post6220511)

- - - Updated - - -

Δεν ξέρω πραγματικά δεν άλλαξα κάτι στις ρυθμίσες, μετά το update μου έπαιξε κανονικά.

Synology

Εάν δεν απατώμαι, ούτε αυτό κάνει server certificate verification, εκτός εάν το πειράξεις. Δεν έχω δει σε DSM 6, αλλά σε παλαιότερες εκδόσεις έτσι ήταν.
Βρίσκεις κάποιο πλεονέκτημα να το τρέχεις στο Synology σε σχέση με Mikrotik?

Εάν δεν απατώμαι, ούτε αυτό κάνει server certificate verification, εκτός εάν το πειράξεις. Δεν έχω δει σε DSM 6, αλλά σε παλαιότερες εκδόσεις έτσι ήταν.
Βρίσκεις κάποιο πλεονέκτημα να το τρέχεις στο Synology σε σχέση με Mikrotik?

Για το server validation. Το θεωρώ μεγάλη τρύπα να μη το έχει. Γενικά για αυτό λέω για ipsec.

Για το server validation. Το θεωρώ μεγάλη τρύπα να μη το έχει.

Μα αυτό ρωτάω. Επιβεβαίωσες ότι το κάνει το Synology, γιατί όπως είπα σε έκδοση 5 του DSM που είχα δοκιμάσει, το πακέτο OpenVPN που είχε διαθέσιμο δεν έκανε από μόνο του, χωρίς να το "πειράξεις".

Θα το κοιτάξω το απόγευμα.

Μου βγάζει στο log του Mikrotik το παρακάτω:

189850

Το έψαξα αλλά δεν βρήκα κάτι. Παρόλα αυτά δουλεύει κανονικά η υπηρεσία.
Γνωρίζει κανείς κάτι?

Μου βγάζει στο log του Mikrotik το παρακάτω:

189850

Το έψαξα αλλά δεν βρήκα κάτι. Παρόλα αυτά δουλεύει κανονικά η υπηρεσία.
Γνωρίζει κανείς κάτι?

https://forum.mikrotik.com/viewtopic.php?t=100449

https://forum.mikrotik.com/viewtopic.php?t=100449

Το είχα διαβάσει αυτό deni αλλά δεν κατάφερα κάτι. Ίσως το πρόβλημα να εστιάζεται στον client του android.

Μου βγάζει στο log του Mikrotik το παρακάτω:

189850

Το έψαξα αλλά δεν βρήκα κάτι. Παρόλα αυτά δουλεύει κανονικά η υπηρεσία.
Γνωρίζει κανείς κάτι?

καλημερα, χρονια πολλα και καλη χρονια!
μου εχει τυχει και εμενα μερικες φορες δεν υπαρχει κανενα προβλημα, για καποιο λογο καποια πακετα γινονται διπλα και καποιο το ριχνει, δεν εχω δει ομως καπου προβλημα και δεν ξερω και γιατι γινεται.

Παρατήρησα ότι όταν συνδέομαι με ovpn από το κινητό και τσεκάρω internet Και πρόσβαση στο LAN και σύνδεση με το voip μου τηλέφωνο όλα μια χαρά.
Μετά από 2-3 ημέρες, όταν ξανασυνδέομαι και μου δίνει κανονικά το Mikrotik την Ip (pool) του ovpn στο κινητό μου, χάνω την πρόσβαση από το κινητό μου στο LAN και στο internet και αναγκάζομαι να κάνω επανεκκίνηση το mikrotik
και τότε ξαναδουλεύουν όλα μια χαρά πάλι.
Σαν εφαρμογή στο κινητό μου για το voip έχω το zoiper.

Στο ΝΑΤ έχω την παρακάτω δήλωση:

;;; Access LAN for Ovpn & internet
chain=srcnat action=masquerade src-address=mysubnetovpn/29 log=no log-prefix=""

Είναι σωστή η παραπάνω δήλωση;

καλησπέρα, εγω ποσο καιρο τα δουλευω και στο 109 και σε ενα 951 αυτο της κινητης και δεν εχω κανενα απολυτως προβλημα.
Δεν μπορω να καταλαβω γιατι σου συμβαινει αυτο πολυ περιεργο μου φαινεται!
και εγω το zoiper δουλευω σε ολες τις android συσκευες μου.

Αυτος ο κανονας στο NAT στο subnet τι εχεις βαλει? αυτο που εχεις δηλωσει για το openvpn ετσι? σωστα? πχ εμενα ειναι 10.ΧΧΧ.ΧΧΧ.248/29
ναι σωστη την εχεις αν ειναι σωστο το subnet, αλλα και να ηταν λαθος δεν θα δουλευε, δεν πιστευω οτι εχει καποια σχεση αυτο με το προβλημα σου και γενικα κανονας στο ΝΑΤ.



add action=masquerade chain=srcnat comment="openvpn awmn apo internet" src-address=10.X.XXX.248/29

Ναι έτσι τον έχω ακριβώς τον κανόνα, μήπως τελικά έχει να κάνει με το firewall που έχω στήσει. Πάντως επιτρέπω το NAT να περνάει απο το firewall. Τι να πω θα το παρακολουθήσω και βλέπουμε.

Ναι έτσι τον έχω ακριβώς τον κανόνα, μήπως τελικά έχει να κάνει με το firewall που έχω στήσει. Πάντως επιτρέπω το NAT να περνάει απο το firewall. Τι να πω θα το παρακολουθήσω και βλέπουμε.

πρεπει να ποσταρεις καλυτερα με export τους κανονες απο το firewall-rules που εχουν σχεση με το openvpn, ισως κατι απο εκει.
απο ΝΑΤ σιγουρα δεν ειναι.

ip firewall filter
add action=accept chain=input comment="Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Accept PF All DstNat" connection-nat-state=dstnat \
connection-state=new in-interface=all-ppp
add action=accept chain=forward comment="Allow forward forward established, related connections" \
connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input \
comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input \
comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input \
comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input \
comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input \
comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input \
comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input \
comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=wb_stage1 address-list-timeout=1m chain=input comment=\
"WinBox brute forcers the first stage" connection-state=new dst-port=8291 protocol=tcp \
src-address-list=!wb_stage1
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=add-src-to-address-list address-list=wb_blacklist address-list-timeout=1w3d chain=input \
comment="WinBox brute forcers blacklisting" connection-state=new dst-port=8291 protocol=tcp \
src-address-list=wb_stage3
add action=add-src-to-address-list address-list=wb_stage3 address-list-timeout=1m chain=input comment=\
"WinBox brute forcers the third stage" connection-state=new dst-port=8291 protocol=tcp \
src-address-list=wb_stage2
add action=add-src-to-address-list address-list=wb_stage2 address-list-timeout=1m chain=input comment=\
"WinBox brute forcers the second stage" connection-state=new dst-port=8291 protocol=tcp \
src-address-list=wb_stage1
add action=accept chain=input comment="Login WinBox with right pass" dst-port=8291 protocol=tcp \
src-address-list=!wb_blacklist
add action=accept chain=input comment="Allow OVPN" dst-port=1722 in-interface=all-ppp protocol=tcp
add action=accept chain=input comment="Allow mikro winbox android" dst-port=8728 in-interface=all-ppp \
protocol=tcp
# giannis-mobile-ovpn not ready
add action=accept chain=forward comment="Allow internet-LAN from mobile Ovpn" in-interface=\
giannis-mobile-ovpn
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

Αυτό είναι όλο το firewall που έχω. Σε περίπτωση που η σύνδεση συναντήσει τον κανόνα με το static όνομα giannis-mobile-ovpn από το ppp τότε αυτό ενεργοποιείται.

καλημέρα, σωστα τα βλεπω αλλα εκτος τα forward εχεις και για input παρομοιους κανονες?
Εγω ειχα θεμα χωρις τους input, όπως εχεις το forward θελει και input.
κατι μου εκοβε και δεν δουλευε αναλογα καποιες συνθήκες χωρις αυτους.
Αυτα παρακατω ειναι απο το 109.
Αν μπορεις οταν κανεις export βαζε μονο οτι ειναι σχετικο για να διαβαζονται ποιο ευκολα.
Οι υπογραμμισμενοι κανονες δεν ειμαι σιγουρος απολυτα αν εχουν σχεση με το openvpn.



add action=accept chain=input comment=OpenVPN dst-port=1134 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.X.X.248/29
add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.X.X.248/29

Είχα και εγω το ίδιο ακριβώς πρόβλημα με τη μόνη διαφορά εμένα εκανε τελείως drop και δε μπορούσα να συνδεθώ καθόλου.

Το έλυσα αλλάζοντας
PPP > Interface > OVPN Server (button)
> Μode : IP αντί για ethernet που γράφει ο DeniSun.

Είχα και εγω το ίδιο ακριβώς πρόβλημα με τη μόνη διαφορά εμένα εκανε τελείως drop και δε μπορούσα να συνδεθώ καθόλου.

Το έλυσα αλλάζοντας
PPP > Interface > OVPN Server (button)
> Μode : IP αντί για ethernet που γράφει ο Nikiforos.


Εγω εχω ip εκει περα....αυτο που λες το λεει ο οδηγος στο 1ο ποστ #1 που ειναι του DeniSun και οχι δικο μου! https://www.adslgr.com/forum/threads/858931-Mikrotik-OpenVPN-Server-%CE%BC%CE%B5-Android-Client
και ποτε σε mikrotik δεν ειχα αυτο το mode, σε linux μονο (ΟPENWRT) και εκει δεν το λενε ετσι αλλα TAP (ETHERNET) και TUN (IP). http://www.openwrt.gr/viewtopic.php?f=17&t=297&start=10
https://forum.mikrotik.com/viewtopic.php?t=123236
και δεν ειχες το ιδιο προβλημα αφου εκανε drop αλλο το ενα και αλλο το αλλο!

anyway οποιος εχει προβλημα να δειξει το αρχειο του κινητου μηπως ειναι δηλωμενο λαθος το mode interface, γιατι το android σαν linux που ειναι θελει Tap και Τυn ενω στο mikrotik λεει ip και ethernet.
Aν στο αρχειο ειναι δηλωμενο το αντιθετο θελει αλλαγη στον server δλδ στο mikrotik ή διορθωμα στο αρχειο.
Αν ειναι λαθος επειδη το εχω παθει αρκετες φορες τοτε ΔΕΝ συνδεεται ουτε με σφαιρες.

TAP ειναι ETHERNET MODE στο Mikrotik
ΤUN ειναι IP MODE στο Mikrotik

Εγω εχω ip εκει περα....αυτο που λες το λεει ο οδηγος στο 1ο ποστ #1 που ειναι του DeniSun και οχι δικο μου! https://www.adslgr.com/forum/threads/858931-Mikrotik-OpenVPN-Server-%CE%BC%CE%B5-Android-Client
και ποτε σε mikrotik δεν ειχα αυτο το mode, σε linux μονο (ΟPENWRT) και εκει δεν το λενε ετσι αλλα TAP (ETHERNET) και TUN (IP). http://www.openwrt.gr/viewtopic.php?f=17&t=297&start=10
https://forum.mikrotik.com/viewtopic.php?t=123236
και δεν ειχες το ιδιο προβλημα αφου εκανε drop αλλο το ενα και αλλο το αλλο!

anyway οποιος εχει προβλημα να δειξει το αρχειο του κινητου μηπως ειναι δηλωμενο λαθος το mode interface, γιατι το android σαν linux που ειναι θελει Tap και Τυn ενω στο mikrotik λεει ip και ethernet.
Aν στο αρχειο ειναι δηλωμενο το αντιθετο θελει αλλαγη στον server δλδ στο mikrotik ή διορθωμα στο αρχειο.
Αν ειναι λαθος επειδη το εχω παθει αρκετες φορες τοτε ΔΕΝ συνδεεται ουτε με σφαιρες.

TAP ειναι ETHERNET MODE στο Mikrotik
ΤUN ειναι IP MODE στο Mikrotik

Συγγνωμη εκ παραδρομής το ονομα σου :lol: . Επειδή γράφεις συχνά στο νήμα για καποιο λόγο μου είχε μείνει στο μυαλό πως ειναι δικος σου ο οδηγός :p.

Οσον αφορά το πρόβλημα μου έβγαζε ακριβώς το ίδιο μήνυμα με duplicate packets κτλ.

Δεν έχω εκταταμένη γνωση στο RouterOS, μόλις προχθές αγόρασα ενα για πειραματισμό και εκμαθηση.

δεν πειραζει....
και εμενα οπως ειχα γραψει καμια φορα λεει για διπλα πακετα, αλλα ουτε αποσυνδεσεις εχω, ουτε χανω κατι μια χαρα ολα.
Να υπενθυμισω οτι με openvpn περναω το σταθερο μου αλλου και σε φορητες συσκευες android εχω αστερισκ και ουδεποτε εχει διακοπες αν ειναι οκ το σημα κινητης παντα.
Οποτε δεν αποτελουν κανενα απολυτως προβλημα τουλαχιστον στα δικα μου setup.

:oneup: Μόλις τσέκαρα αυτο που είπες περι TAP και TUN και είχες δίκιο.

Στο config ηταν δηλωμένο tun και στο MikroTik ethernet, γιαυτο δε συνδεόταν.

ναι τα ειχα παθει μερικες φορες και εριχνα μπινελικια και δεν εβρισκα τι φταιει, μετα το καταλαβα...χαχαχαχαχαχαχα
ειδικα οταν ειχα linux server και ειχα mikrotik clients αλλα και win και android εγινε το μπαχαλο!

Μυστήριο πράγμα όμως, ενώ τωρα το έβαλα στο Ethernet (TAP) σε συνδυασμό με το config και συνδέομαι κανονικά δε θα έπρεπε να βλέπω και τις συσκευές του δικτύου?

Χρειάζεται κάποιο επιπλέον rule?

Όσο ήμουν σε TUN και pptp είχα βαλει ενα rule να περνάει τις πορτες 80,443,8291 σε όλο το subnet του δικτύου ετσι ώστε να έχω access και στο webif και στις άλλες συσκευες.

καλημέρα, σωστα τα βλεπω αλλα εκτος τα forward εχεις και για input παρομοιους κανονες?
Εγω ειχα θεμα χωρις τους input, όπως εχεις το forward θελει και input.
κατι μου εκοβε και δεν δουλευε αναλογα καποιες συνθήκες χωρις αυτους.
Αυτα παρακατω ειναι απο το 109.
Αν μπορεις οταν κανεις export βαζε μονο οτι ειναι σχετικο για να διαβαζονται ποιο ευκολα.
Οι υπογραμμισμενοι κανονες δεν ειμαι σιγουρος απολυτα αν εχουν σχεση με το openvpn.



add action=accept chain=input comment=OpenVPN dst-port=1134 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.X.X.248/29
add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.X.X.248/29


Καλημέρα κάποια input δεν έχω όντως, θα τα δοκιμάσω.

- - - Updated - - -


Είχα και εγω το ίδιο ακριβώς πρόβλημα με τη μόνη διαφορά εμένα εκανε τελείως drop και δε μπορούσα να συνδεθώ καθόλου.

Το έλυσα αλλάζοντας
PPP > Interface > OVPN Server (button)
> Μode : IP αντί για ethernet που γράφει ο DeniSun.
Έτσι ακριβώς το έχω με ip

- - - Updated - - -


Εγω εχω ip εκει περα....αυτο που λες το λεει ο οδηγος στο 1ο ποστ #1 που ειναι του DeniSun και οχι δικο μου! https://www.adslgr.com/forum/threads/858931-Mikrotik-OpenVPN-Server-%CE%BC%CE%B5-Android-Client
και ποτε σε mikrotik δεν ειχα αυτο το mode, σε linux μονο (ΟPENWRT) και εκει δεν το λενε ετσι αλλα TAP (ETHERNET) και TUN (IP). http://www.openwrt.gr/viewtopic.php?f=17&t=297&start=10
https://forum.mikrotik.com/viewtopic.php?t=123236
και δεν ειχες το ιδιο προβλημα αφου εκανε drop αλλο το ενα και αλλο το αλλο!

anyway οποιος εχει προβλημα να δειξει το αρχειο του κινητου μηπως ειναι δηλωμενο λαθος το mode interface, γιατι το android σαν linux που ειναι θελει Tap και Τυn ενω στο mikrotik λεει ip και ethernet.
Aν στο αρχειο ειναι δηλωμενο το αντιθετο θελει αλλαγη στον server δλδ στο mikrotik ή διορθωμα στο αρχειο.
Αν ειναι λαθος επειδη το εχω παθει αρκετες φορες τοτε ΔΕΝ συνδεεται ουτε με σφαιρες.

TAP ειναι ETHERNET MODE στο Mikrotik
ΤUN ειναι IP MODE στο Mikrotik

Εάν είχα θέμα με τα TAP και TUN δεν θα με άφηνε να συνδεθώ καθόλου.