PDA

Επιστροφή στο Forum : Mikrotik OpenVPN Server με Android Client



Σελίδες : 1 2 3 4 5 6 [7] 8

ios46
11-03-19, 13:19
Με την προϋπόθεση πως στην πλευρά του vpn server ή και του δικτύου, υπάρχει routing για το σχετικό openvpn subnet, όπως και ΝΑΤ (είτε σε openvpn server είτε σε modem/router πχ), θες απλά ένα default route στον openvpn client (και ίσως να χρειαστεί και dns).
Στον client πας στο profile της σύνδεσης, κάνεις edit πατώντας το εικονίδιο στα δεξιά που μοιάζει με μολύβι, και κάνεις τις αλλαγές στα σχετικά tabs (routing, IP and DNS).

Nikiforos
11-03-19, 13:55
οπως ειπα τα εχω δοκιμασει ολα τα σχετικα απο ρυθμισεις μονο, dns δεν εχω αλλαξει αλλα ετσι κι αλλιως εχει dns που βλεπει ιντερνετ ο σερβερ οποτε δεν αποτελει προβλημα αυτο. Αλλα και routes δεν δοκιμασα κατι δεν καταλαβαινω και πως να τα δηλωσω κιολας.
Πιστευω οτι πρεπει να ειναι κανονας nat στον server γιατι τοτε γινοταν καταλαθος, δλδ ενα λαθος σε καποιον κανονα το εκανε αυτο.
Κανονικα επρεπε να περναει δλδ απο το vpn μονο ολα τα 10.0.0.0/8 (δλδ ολο τo awmn) και οχι και τα 0.0.0.0/0 (ιντερνετ).
Δλδ τωρα περναω το δικο μου subnet που ανηκει στο awmn εχω και ολο το awmn αλλα δεν περνανε τα 0.0.0.0/0 και τα βλεπει τοπικα απο το ιντερνετ που ειμαι συνδεδεμενος δλδ ειτε απο το wifi, ειτε απο το δικτυο κινητης.

- - - Updated - - -

Δοκιμασα ολους τους πιθανους συνδυασμους απο το προγραμμα client στο android και dns δικα μου και διαφορα αλλα που εχει τιποτα δεν γινεται.
Δε νομιζω οτι ειναι απο τον πελατη γιατι εκεινο που ειπα πριν γινοταν και απο πελατη σε windows xp οποτε κατι απο τον ovpn server ηταν, δεν ειναι καμια ειδικη ρυθμιση απο πελατη.
Εχει καποιος καμια ιδεα τι θελει στον server σε mikrotik ?

- - - Updated - - -

Βρηκα αυτο το how to https://www.micu.eu/ovpn-server/
και εγω ενα παρομομοιο κανονα ΝΑΤ εχω που λεει ενας κατω κατω, δεν το λεει στο how too ομως.



Cesar Lopez

congratulations, great job! I need to add a rule to access my lan servers
/ip firewall> nat add chain=srcnat src-address=192.168.87.0/24 action=masquerade log=yes log-prefix=”OVPN”


- - - Updated - - -

Βρηκα κατι σχετικο εδω https://openvpn.net/community-resources/how-to/#redirect δυστυχως αυτα που λεει ειναι για linux server και δεν εχω ιδεα αν γινονται και πως σε mikrotik ΟVPN.
ξεχασα να πω οτι στα παλια vpn που ανεφερα οτι γινοταν ηταν τυπου PPTP οχι Openvpn.

ios46
11-03-19, 14:04
Συνδέεται ένας client στον vpn server, τι παίρνει απ' τον Server ?
- IPv4 τουλάχιστον (απαραίτητα)
- routing (optional), είτε για κάποια subnet είτε default
- DNS optional
Αν λοιπόν δεν στέλνει optional routing (specific or default) ή και DNS, μπορείς να κάνεις override τα παραπάνω όπως σου ανέφερα πρίν.
Τώρα για να βγαίνεις μέσω της openvpn σύνδεσης σου προς το internet, τι θέλει να ξέρει ο client ?
- routing, θα ψάχνει default gw για να ξέρει που να προωθήσει ότι δεν ξέρει
- DNS
Τώρα για να παίζουν τα παραπάνω και να έχεις τον client να βγαίνει μέσω openvpn σύνδεσης προς το internet, δες Nat/routing στον openvpn server.

Nikiforos
11-03-19, 14:32
Αμα διαβασεις απο πανω θα δεις οτι με το openvpn δεν γινεται αυτο που λεω....
θελει συγκεκριμενες εντολες στον server που τα λεει οταν ειναι σε linux!!!
Παλια που ειπα οτι γινοταν ηταν σε PPTP VPN οχι σε Openvpn! (ΟVPN).
Ισως επειδη τα εγραψα μετα και εκανε update το ποστ δεν τα ειδες υποθετω.
ΔΕΝ εχει να κανει με τον client.

- - - Updated - - -

Μαλλον για να κανω αυτο που θελω πρεπει να στησω αλλου ειδους VPN (σιγουρα δεν θελω PPTP για ευνοητους λογους) ή να μπει openvpn σε linux server που δεν εχω κατι εκει.

- - - Updated - - -

Εγω θελω απλα να συνδεομαι με openvpn στο εξοχικο και να εχω στο ιντερνετ την ip που εχω εκει απο OTE σταθερη, αυτο δεν γινεται γιατι το openvpn απο default περναει μονο εσωτερικη κινηση οχι ολη την κινηση μεσω αυτου.
https://openvpn.net/community-resources/how-to/#redirect
Τα λεει στο κεφάλαιο Routing all client traffic (including web-traffic) through the VPN

- - - Updated - - -

Καποιος αν το εχει πετυχει ME OVPN SERVER ας γραψει....θελω να δω αν καποιος το εχει πετυχει μονο, να μην ψαχνομαι με αλλους τροπους....

- - - Updated - - -

οπως βλεπω και αλλοι ψαχνονται....https://forum.mikrotik.com/viewtopic.php?t=73775

ios46
11-03-19, 15:01
Από τέτοια σύνδεση σου γράφω ...

Nikiforos
11-03-19, 15:14
Από τέτοια σύνδεση σου γράφω ...

Ωραια δωσε παραπανω πληροφοριες πως το εχεις κανει τοτε.
Γιατι μου μιλας θεωρητικα τοση ωρα.
Για να δουμε ρυθμισεις.

Δλδ εχεις openvpn vpn server σε mikrotik?
εισαι με πελατη σε κινητο και εχεις ip στο ιντερνετ απο το server που βρισκεται σε αλλο ιντερνετ?
γιατι ποση ωρα ψαχνω και λενε οτι δεν γινεται και στο επισημο forum εχει ποσα θεματα σχετικα και κανενα με λυση.

- - - Updated - - -

Κοιταξα στο παλιο pptp server που μου εδινε, τελικα δεν εχει κατι διαφορετικο σε κανενα κανονα απο τα γνωστα και τα ιδια του ovpn server, ισως το pptp by default να περναει ολη την κινηση μεσω του VPN αντιθετως με το openvpn.

- - - Updated - - -

Kαι ναι με μερικη αναζητηση στο google βρηκα αρκετα θεματακια να το αναφερουν οποτε οντως ετσι ειναι....αυτο εξηγει πως παλια οποιος μου εδινε awmn μεσω ιντερνετ (με pptp vpn δλδ) ειχα και την ιντερνετικη ip του...

ios46
11-03-19, 15:52
Ωραια δωσε παραπανω πληροφοριες πως το εχεις κανει τοτε.
Γιατι μου μιλας θεωρητικα τοση ωρα.
Για να δουμε ρυθμισεις.

Δλδ εχεις openvpn vpn server σε mikrotik?
εισαι με πελατη σε κινητο και εχεις ip στο ιντερνετ απο το server που βρισκεται σε αλλο ιντερνετ?
γιατι ποση ωρα ψαχνω και λενε οτι δεν γινεται και στο επισημο forum εχει ποσα θεματα σχετικα και κανενα με λυση.

- - - Updated - - -

Κοιταξα στο παλιο pptp server που μου εδινε, τελικα δεν εχει κατι διαφορετικο σε κανενα κανονα απο τα γνωστα και τα ιδια του ovpn server, ισως το pptp by default να περναει ολη την κινηση μεσω του VPN αντιθετως με το openvpn.

- - - Updated - - -

Kαι ναι με μερικη αναζητηση στο google βρηκα αρκετα θεματακια να το αναφερουν οποτε οντως ετσι ειναι....αυτο εξηγει πως παλια οποιος μου εδινε awmn μεσω ιντερνετ (με pptp vpn δλδ) ειχα και την ιντερνετικη ip του...

Απο wind και βγαίνω με vodafone public ipv4, όπως είπα και στο αρχικό post μου (για το θέμα του NAT το οποίο έσβησα όμως), το ΝΑΤ γίνετε σε άλλο σημείο του δικτύου όπου έχω routing προς το συγκερκιμένο subnet (φυσικά μπορεί να γίνει και με άλλους τρόπους μιας και το mikrotik έχει lame openvpn υλοποίηση). Στον openvpn client κάνω manual default + dns.

Nikiforos
11-03-19, 16:06
Απο wind και βγαίνω με vodafone public ipv4, όπως είπα και στο αρχικό post μου (για το θέμα του NAT το οποίο έσβησα όμως), το ΝΑΤ γίνετε σε άλλο σημείο του δικτύου όπου έχω routing προς το συγκερκιμένο subnet (φυσικά μπορεί να γίνει και με άλλους τρόπους μιας και το mikrotik έχει lame openvpn υλοποίηση). Στον openvpn client κάνω manual default + dns.

sorry αλλα επειδη δεν καταλαβα τιποτα μπορεις να πεις κατι ποιο συγκεκριμενο?
δυστυχως οντως το openvpn στο mikrotik ειναι ρημαγμενο....για σωστο θες linux!
σε linux εχω βρει πως γινεται αλλα τι να κανω τωρα να βαλω εκει ενα raspi για αυτη την δουλεια? ΕΛΕΟΣ δλδ....
μηπως εσενα παιζει επειδη το ΝΑΤ γινεται αλλου τοτε?
εγω μιλαω ΟΛΑ να ειναι επανω σε mikrotik openvpn server ΤΙΠΟΤΑ αλλου.
Αυτο με το να ειναι αλλου το NAT και κατι τετοια τα διαβασα και στο επισημο forum δεν μου κανει ομως.

Επισης σε καποια σημεια στο επισημο παλι forum μιλανε για mangle rules, prerouting και πως τα λενε, πολυ ιστορια δεν καταλαβαινω τιποτα.
Δεν ξερω κιολας θα εχει νοημα ή η ταχυτητα που θα εχω θα ειναι tragic απλα?
γιατι παλια που ειπα με το awmn, ενω το awmn ηταν οκ, το ιντερνετ μεσω του vpn ειναι για κλαματα, πολυ αργες ταχυτητες! μην ξεχναμε δεν παιζει UDP στο Mikrotik openvpn!

- - - Updated - - -

Εν συντομια απο αυτα που εχω διαβασει μεχρι στιγμης, το openvpn γενικα δεν περναει ολη την κινηση μεσω του vpn, περναει μονο εσωτερικη κινηση οχι και του ιντερνετ αντιθετως με το pptp vpn που το κανει by default αυτο.
Μετα σε linux openvpn server μπορεις να κανεις με καποιες εντολες το default gateway redirect ενω στο mikrotik για να δινει θελει πολυ μανουρα, πρεπει να γινει με mangle κτλ κατι παρομοιο ή να γινει ΝΑΤ σε αλλο μηχανημα κατι τετοιο καταλαβα οπως τα λενε.
Ολα σε ενα ΔΕΝ γινεται οπου βρηκα αναφορες ΠΑΝΤΟΥ λενε οτι δεν μπορει να περασει ολη την κινηση μεσω του VPN.
Επισης στο Mikrotik λογως απουσιας του UDP εχει θεμα με πακετα-ταχυτητες κτλ κτλ.
Το τελικο συμπερασμα ειναι ειτε πρεπει να βαλω linux server για openvpn της προκοπης πχ raspi, ειτε καποιο αλλο ειδος vpn (εκτος το pptp δεν ξερω αν σε αλλα γινεται).

ios46
11-03-19, 16:20
Όταν είχα δοκιμάσει πριν λίγο καιρό την υλοποίηση του openvpn στο mikrotik, είχα δει και παρέθεσα διάφορες ελλείψεις που συνάντησα (δεν κάνει push routes πχ). Έχω άλλο setup απ' το δικό σου, δεν κάνει τα πάντα το mikrotik δλδ. Εδώ και χρόνια χρησιμοποιώ raspberry pi's που κάνουν και άλλες δουλειές. Έτσι το openvpn που έχω στήσει στο mikrotik είναι αρχικά μόνο για remote-access (και αυτό σαν backup). Αν θέλω να βγαίνει και με την public IPv4 και να έχω και internet access κάνω αυτό που έγραψα.
Δεν έχω ψάξει αν έχει και άλλο σχετικό περιορισμό (ΝΑΤ πχ) η openvpn υλοποίηση του mikrotik (θα μπορούσε πιθανώς...). Λύσεις τύπου mangle και policy based routing θα μπορούσε επίσης να δουλεύουν εκτός του ΝΑΤ σε άλλο σημείο. Κάνε κάποια δοκιμή επίσης με ssh tunneling αν έχεις το ssh ανοιχτό.

Nikiforos
11-03-19, 16:28
Ναι εχει πολλες ελλειψεις δυστυχως, εχω ανοιχτο SSH αλλα δεν το βγαζω ΠΟΤΕ απο το ιντερνετ, οποτε για να μπω θελω παλι openvpn.
Moνο με openvpn δουλευω δεν ειχα κανενα προβλημα παρολες τις ελλειψεις εκτος απο αυτο που θελω να κανω τωρα και δεν γινεται τελικα.
Προφανως θα πρεπει να βρω αλλον τροπο.
Το κακο ειναι οτι εκει δεν εχω κατι αλλο απο μηχανημα μονο mikrotik routers εχω.
Αν ηταν εδω περα εχω και linux nas server και θα μπορουσα να το κανω.

- - - Updated - - -

Στην πραγματικοτητα δεν θελω απο το κινητο αυτη την χρηση απλα τις δοκιμες κανω με αυτο.
Στο desktop pc θελω να γινεται αλλα εχει linux αυτο.
Οποτε ο client ειτε πρεπει να γινει απευθειας στο pc, ειτε στο mikrotik 109 που εχω εδω για ρουτερ, αυτο εχει client ετσι κι αλλιως αλλα περνανε μονο τα εσωτερικα subnet.
Παντως οπως και να εχει πρεπει ο server να ειναι σε Mikrotik και οτιδηποτε αλλο εκει περα.

- - - Updated - - -

Ξεχασα να πω οτι δοκιμασα με clients openvpn και windows 7 και 10 και παλι δεν περναει και το ιντερνετ traffic, δλδ με δειχνει με την internet ip απο εκει που συνδεομαι δλδ το τοπικο wifi σπιτι.

ios46
11-03-19, 16:55
Αν έχεις άλλο ένα mikrotik θα μπορούσες να το συνδέσεις με 2 νέα L3 σημεία με το τρέχων:
- α. Το παλιό opnevpn server mikrotik τερμάτιζει όπως και τώρα το openvpn subnet. Mαρκάρει αυτή την κίνηση (mangle) και την προωθεί μέσω του νέου L3 p2p προς το νέο mikrotik.

- β. Το νέο mikrotik παίρνει την κίνηση που έρχεται από το openvpn subnet, κάνει ΝΑΤ/PAT σε μια LAN openvpn mikrotik private IP (όπου έχει default route).

Φυσικά είναι suboptimal, χρησιμοποιεί έξτρα συσκευή (αν δεν μπορεί ενα mikrotik με λογικά interfaces να το κάνει πχ), κάνεις άλλο ένα ΝΑΤ κλπ.

Σε ρώτησα και πρίν, τι στέλνει ο server προς τον κάθε client που θέλει να συνδεθεί (δες τα logs του κάθε client για routing/DNS και μέσω gui/cli κάνε confirm αν ο client παίρνει ότι του στέλνει ο server, διαφορετικά κάνε override).

Nikiforos
11-03-19, 17:56
Nαι τα ειδα αυτα, αλλα ειναι πολυ συνθετα, προς το παρον δεν μου χρειαζεται ακομα, θα μου χρειαστει μαλλον συντομα θα το δω τοτε, μην χανω αλλο χρονο τωρα.
Πρεπει να γινεται και με αλλους τροπους που δεν ειναι επι αυτου του τοπικ να αναλυσουμε ομως. Το σιγουρο ειναι πάντως οτι με εναν μονο mikrotik OVPN server δεν γινεται.
Ευχαριστω παντως που ασχοληθηκες και για τις απαντησεις και διευκρινυσεις. :)

ios46
11-03-19, 18:13
Αν και δεν είναι ίδιο setup με το δικό σου, καταλαβαίνω ότι δουλεύει το ΝΑΤ openvpn subnet-> LAN IP) στο ίδιο mikrotik που τερματίζει και το openvpn:

https://forum.mikrotik.com/viewtopic.php?t=139412

Έχε το στα υπόψιν για δοκιμή.

Nikiforos
11-03-19, 18:48
add action=masquerade chain=srcnat comment="ovpn server gia na dinw ips exoxikou" src-address=10.XX.XX.248/29


αυτος ειναι ο κανονας ΝΑΤ στον openvpn server εκει και εχω πελατη και το 109 στην Αθηνα και android-windows συσκευες.
Μπορω να εχω ip απο εκει τοπικη οποτε βλεπω ολα τα μηχανηματα μου εκει, αλλα το ιντερνετ παραμενει στην ip απο εκει που συνδεομαι, ειτε μεσω wifi, ειτε κινητης δλδ.

- - - Updated - - -

Τωρα βλεπω τον κανονα NAT στο 109 που ειχα για να δινω ιντερνετ μεσω openvpn στο εξοχικο οταν εκει βγαιναμε στο awmn γιατι εχει πεσει πλεον, ειναι καπως διαφορετικος, μηπως θελει διπλο ΝΑΤ για να το πετυχω αυτο που θελω? δες πως ειναι :



add action=masquerade chain=srcnat comment="openvpn internet exoxiko" dst-address=!10.0.0.0/8 out-interface=pppoe-out1 src-address=10.X.XXX.248/29


Το subnet ειναι απο το τοπικο κομβο awmn δλδ απο αυτο που εχω εκει, τελειωνει στα ιδια νουμερα μεν γιατι εχω κοψειο στο ιδιο ευρος αλλα τα Χ, ειναι διαφορετικα νουμερα.

- - - Updated - - -

Μπα δοκιμασα διαφορους συνδυασμους και ετσι και τα 2 μαζι τιποτα δεν αλλαζει...

ios46
11-03-19, 18:51
Με αυτό το setup σε NAT, αν πάς σε mobile client ή σε linux client:
- βάλε manual static default routing
- δημιούργησε σταθερή κίνηση (πχ στείλε 100 icmp packets πρός το 8.8.4.4 ή το 4.2.2.2)
-- βλέπεις με κάποιο capture ή στα logs να γίνετε dropped ή κάτι άλλο "περίεργο" στην κίνηση απο το ovpn subnet (μήπως γίνετε matched δλδ σε κάποιο άλλο rule πχ) ?

Δοκίμασε με NAT σε LAN ip (αντί του pppoe) την ίδια δοκιμή (manual add default route σε clients, στείλε σταθερό μέγεθος κίνησης κλπ).

Nikiforos
11-03-19, 19:56
Exω μονο android clients ή windows 7 και 10.
manual routing εχω δοκιμασει δεν αλλαζει κατι.
Στα logs δεν εχω δει γενικα κατι, ΝΑΤ κανονες οπως ειπα εχω δοκιμασει πολλες παραλλαγες στον server επισης δεν αλλαζει κατι.
Αφου ειπαμε οτι παντου λενε και στο επισημο site ακομα οτι δεν γινεται.
Θελει παντεντες οπως ειπες και εσυ ΝΑΤ σε τριτο μηχανημα, ή να ειναι σε linux ο openvpn server γιατι θελει εκει μια δηλωση στο conf για να αλλαξει το default redirect πως το λεει.
Δεν ειναι θεμα ρυθμισεων πελατη, ουτε κανονες ΝΑΤ στο mikrotik ovpn server το θεμα.

Αν το αλλο σημειο ειχε AWMN δεν θα υπηρχε προβλημα γιατι θα περνουσε μονο ιντερνετ.
Οταν περνας απο ιντερνετ σε ιντερνετ, το τοπικο σου δικτυο (εσωτερικες ips) με το openvpn δεν περναει και η ιντερνετικη ip του αλλου σημειου.

Ειναι τσαμπα κοπος με το openvpn αφου δεν γινεται με ενα μηχανημα και mikrotik πρεπει να βρω αλλον τροπο που δεν ειναι επι του θεματος εδω να αναλυσουμε, οπως ειπα και ποιο πριν με pptp vpn γινεται αυτο by default, ισως ειναι και ενας απο τους λογους που δεν ειναι ασφαλες.

- - - Updated - - -

Btw οταν μου χρειαστει, γιατι στο desktop pc θα χρειαστει και οχι σε φορητες συσκευες, απλα για αποφυγη χασιματος χρονου ειπα να το δω εκει πρωτα, οποτε θα δοκιμασω στο linux pc client openvpn, τωρα κοιταξα εχει μεσα στο συστημα του στις ρυθμισεις γραφικο πελατη για vpn και εχει και openvpn και εχει να βαλουμε και δικα μας routes, αν και δε νομιζω να αλλαξει κατι γιατι ειπαμε ειναι θεμα του server και ετσι παιζει γενικα το openvpn, αν και εδω καποιος λεει οτι ετσι κανει τουλαχιστον μεσω του γραφικου client https://ubuntuforums.org/showthread.php?t=1668165 , τωρα server σε τι εχει δεν λεει.

Να υπενθυμισω τελος οτι εχουμε πει οτι εδω θα λεμε για ΟΛΟΥΣ τους πελατες αλλα με server Μikrotik, ο τιτλος ομως ενω εχει ζητηθει να διορθωθει εχει μεινει ακομα ετσι....
απλα το λεω για αποφυγη παρεξηγησεων λοιπον.

ios46
11-03-19, 21:00
Βασικά δεν κάνει push routes η υλοποίηση openvpn server σε mikrotik πρός τον/τους openvpn clients.
Γιαυτό και θές (τουλάχιστον όπως είπα αυτό κάνω σε mobile openvpn client του Α.Schwabe σε Android,την σχετική ρύθμιση (use default route) για να μπορεί ο vpn client να στείλει την κίνηση βάση routing table πρός το VPN interface.
Manual static route απο κάποιο άλλο λειτουργικό δεν έχω δοκιμάσει σαν openvpn client, σε καμία περίπτωση δεν εμπιστεύομαι όμως το τί κάνουν τα windows....η δοκιμή θα ήταν με κάποιο linux flavor (άρα στο σχετικό client configuration θα το έφτιαχνα με default και αν δεν έπαιζε θα δοκίμαζα με manual static πρός το dev tun).
Απο εκεί και μετά στην πλευρά του openvpn server θα έβαζα να κάνει log την σχετική openvpn κίνηση και θα κοίταγα και με torch/remote capture τι γίνετε με σταθερού τύπου generated κίνηση με προορισμό κάτι στο internet. Στο dhcp openvpn pool επίσης θα δοκίμαζα να δίνει default gateway την LAN ip στους openvpn clients (δεν είναι και το πιό σωστό αλλά μπορεί να δοκιμαστεί) και φυσικά ΝΑΤ (openvpn subnet - > LAN ip ) σε mikrotik. Εννοείτε πως ψάχνω logs/captures για να έχω είκονα του τι συμβαίνει.
Αν δεν μπορεί να κάνει αυτή την δουλειά 1 mikrotik (να δίνει δλδ internet σε openvpn termination) θα κοίταγα άλλη openvpn λύση, δοκιμασμένη που λειτουργεί απροβλημάτιστα εδω και χρόνια σε άλλη πλάτφορμα.

Nikiforos
11-03-19, 21:45
Τον android client τον ιδιο εχουμε και ειναι ο επισημος γιατι εχει και αλλους https://play.google.com/store/apps/details?id=de.blinkt.openvpn&hl=el
δυστυχως ειναι μαπα το openvpn στο mikrotik αν υπηρχε καλυτερο vpn θα το αποφευγα αλλα δεν υπαρχει κατι καλυτερο, εχω δουλεψει ολους τους τροπους και ολα τα ειδη vpn σε mikrotik...
Το καλυτερο ειναι αν μπορουμε να το τρεχουμε σε linux server αλλα οπως ειπα απο εκει που το θελω δεν εχω αλλο μηχανημα, μονο mikrotik υπαρχουν στον χωρο.
Η αλλη λύση θα ηταν ισως metarouter openwrt επανω σε mikrotik αλλα δεν το θεωρω καλη λυση και αξιοπιστη επανω σε Mikrotik.
Αυτονομο ναι επανω σε raspi ή αλλο μηχανημα linux.

Οπως ειπα δεν με καιει ειδικα αυτη την στιγμη δεν μου χρειαζεται καν οποτε θα βρω καποια αλλη λυση, αλλα θελω επανω σε mikrotik δεν μπορω να βαλω εκει κατι αλλο και δεν αξιζει κιολας για την χρηση αυτη...

Πριν λιγο διαβασα οτι καποιος ελεγε οτι ειχε αυτη την συμπεριφορα με l2tp vpn και ηθελε να μην γινεται! δλδ αυτο που θελω εγω! θεμα εχουμε εδω https://www.adslgr.com/forum/threads/959670-Mikrotik-L2TP-vpn-server-with-Ipsec δυστυχως το εχω ξηλωσει πλεον...

ios46
11-03-19, 22:02
Μόλις έκανα και μια δοκιμή με src-nat σε mikrotik (192.168.188.0/24 - οpenvpn subnet) να κάνει NAT στην LAN ip 192.168.2.247, βλέπω hits σε counters να αυξάνουν και κάνοντας και remote capture βλέπω ότι λειτουργεί (και) το NAT στο mikrotik.
Δοκίμασε - ψάξτο.

Nikiforos
11-03-19, 22:23
τι μας λεει το παραπανω δλδ δεν καταλαβα, θελουμε δοκιμη στην πραξη αυτο δεν το καταλαβαινω που λες.
Αφου ειπαμε παντου λενε και εσυ το ειπες οτι δεν γινεται αυτο που θελω.
Δεν εχω χρονο για δοκιμες τωρα ηδη εχασα απειρο χρονο.
Ξαναλεω οτι δεν μου χρειαζεται αυτη την στιγμη οποτε δεν με καιει τωρα.
Ρωτησα αρχικα αν το εχει πετυχει καποιος. Μετα ειπα θελω με ενα μηχανημα να γινεται και να ειναι mikrotik ο server.
Aν το εχει κανει καποιος που δε νομιζω αφου δεν γινεται καλως, τωρα δοκιμες ειναι περιττες εχω κανει απειρες και δεν γινεται τιποτα.
Δε νομιζω οτι εχει μεινει κατι αλλο να δοκιμασω πανω σε ovpn server, το ποιο πιθανο ειναι να το κανω με αλλον τροπο τελικα...

ios46
11-03-19, 22:32
Απλά δείχνει ότι (και) το mikrotik μπορεί να κάνει το NAT για ένα openvpn subnet το οποίο τερματίζει σαν openvpn server, έτσι ώστε οι openvpn clients να εμφανίζονται στο internet με την δική του public ipv4.
O openvpn client για android που μιλάμε (του Α.Schwabe δλδ) ΔΕΝ είναι ο official παρεπιπτόντως και παρέχει διάφορες άλλες ρυθμίσεις που ΔΕΝ υπάρχουν στον επίσημο openvpn client (openvpn connect):

-- https://openvpn.net/vpn-server-resources/connecting-to-access-server-with-android/
-- https://play.google.com/store/apps/details?id=net.openvpn.openvpn

Nikiforos
11-03-19, 23:10
Ωπα τι εγινε.....
ημουν σιγουρος οτι το εκανε και εκει, αλλα το ξηλωσα και το ξαναβαλα και δεν το ειχα δοκιμασει, εχω μονο με το openvpn server στο 109 αλλα το δοκιμασα τωρα μεσω κινητης και ετρεξα το site whoismyip και δειχνει την ip της nova!!!
εκανα edit δεν ειχαν νοημα τα αλλα.
Αρα εχεις δικιο οτι γινεται καπως με τον server το θεμα ειναι στον client τι γινεται μαλλον. Το ψαχνω αυτο.
Τωρα ειδα οτι στα win 10 εχω βαλει το redirect που ελεγε το επισημο site https://openvpn.net/community-resources/how-to/#redirect αλλα δεν παιρνει καθολου ιντερνετ.

- - - Updated - - -

βρηκα τι γινεται....στο openvpn connect στο αρχειο .ovpn εχει στο τελος την φραση redirect-gateway αυτος ειναι ο λογος που περναει και το ιντερνετ στον πελατη και τωρα που κοιταξα στο openvpn client το αλλο δεν το εχει και το θεμα ειναι οτι δεν το παιρνει με κανεναν τροπο! anyway οκ τωρα θα το βαλω στο αλλο και θα λυθει το θεμα στο κινητο, μενουν οι αλλοι clients μετα.
Ενταξει πετυχε, το εφτιαξα με openvpn connect! επιτελους!
μενει να δω τον client σε linux pc. Ευχαριστω και καλο βραδυ! :)

puntomania
13-03-19, 01:06
...όταν κάνουμε sing το CA πχ.... στο CA CRL Host βάζουμε την public ip μας ή το ddns μας..σωστά? η μπορούμε να το αφήσουμε και κενό? δηλαδή πχ σε αυτό που έφτιαξα έβαλα πχ το puntomania.ddns.net που το έχω στην wan1 του router μου.

στον client όμως αν του πω συνδέσου στο puntomania123.ddns.net που έχω στην wan2 του router μου συνδέεται κανονικά... μου διαφεύγει κάτι... η μήπως δεν χρειάζεται καν να δηλώσουμε κάτι στο CA CRL Host?

ios46
13-03-19, 15:29
Έχεις κάνει revoke το πιστοποιητικό ? Αν ναι, έχει πάρει με κάποιο τρόπο ο client που δοκιμάζεις την πληροφορία πως έχει γίνει revoked το certificate (χρησιμοποιείς δηλαδή CRL list eg) ? Αν και απ' οτι είχα δει σε mikrotik wiki's αρχικά ήταν τελείως lame, μετά υποστήριζε IPsec && SSTP και ίσως να είναι ακόμα broken για OpenVPN αν δοκιμάσεις να κάνεις revoke....

jkarabas
17-04-19, 11:45
Καλησπέρα
Άλλαξα κινητό μετά απο ζημιά που έπαθα στο παλιό και θέλω φυσικά να δουλέψω τον client.
Επειδή τα keys δεν τα είχα backup κάνω export τα keys μέσα από το winbox αλλά για κάποιο λόγο δεν δουλεύουν.
Δεν μπορώ να καταλάβω τι κάνω λάθος.

- - - Updated - - -

Δεν ξέρω τι μπορεί να φταίει. Χρησιμοποιώ το Open Vpn for android δημιούργησα και από την αρχή τα certificates, το μόνο που άλλαξα απο τη τελευταία φορά είναι το κινητό.

sxbcl
17-04-19, 12:35
Καλησπέρα
Άλλαξα κινητό μετά απο ζημιά που έπαθα στο παλιό και θέλω φυσικά να δουλέψω τον client.
Επειδή τα keys δεν τα είχα backup κάνω export τα keys μέσα από το winbox αλλά για κάποιο λόγο δεν δουλεύουν.
Δεν μπορώ να καταλάβω τι κάνω λάθος.

- - - Updated - - -

Δεν ξέρω τι μπορεί να φταίει. Χρησιμοποιώ το Open Vpn for android δημιούργησα και από την αρχή τα certificates, το μόνο που άλλαξα απο τη τελευταία φορά είναι το κινητό.

Στα logs της εφαρμογής στο κινητό τι σου βγάζει;

jkarabas
17-04-19, 19:04
Στέλνω το log παρακάτω αλλά έσβησα την cloud και την wan ip.

2019-04-17 18:53:05 official build 0.7.8 running on xiaomi Redmi Note 7 (sdm660), Android 9 (PKQ1.180904.001) API 28, ABI arm64-v8a, (xiaomi/lavender/lavender:9/PKQ1.180904.001/V10.2.7.0.PFGMIXM:user/release-keys)
2019-04-17 18:53:05 Building configuration…
2019-04-17 18:53:06 started Socket Thread
2019-04-17 18:53:06 Network Status: CONNECTED LTE to MOBILE gint.b-online.gr
2019-04-17 18:53:06 Debug state info: CONNECTED LTE to MOBILE gint.b-online.gr, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-04-17 18:53:06 Debug state info: CONNECTED LTE to MOBILE gint.b-online.gr, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-04-17 18:53:06 Current Parameter Settings:
2019-04-17 18:53:06 config = '/data/user/0/de.blinkt.openvpn/cache/android.conf'
2019-04-17 18:53:06 mode = 0
2019-04-17 18:53:06 show_ciphers = DISABLED
2019-04-17 18:53:06 show_digests = DISABLED
2019-04-17 18:53:06 show_engines = DISABLED
2019-04-17 18:53:06 genkey = DISABLED
2019-04-17 18:53:06 key_pass_file = '[UNDEF]'
2019-04-17 18:53:06 show_tls_ciphers = DISABLED
2019-04-17 18:53:06 connect_retry_max = 0
2019-04-17 18:53:06 Connection profiles [0]:
2019-04-17 18:53:06 proto = tcp-client
2019-04-17 18:53:06 local = '[UNDEF]'
2019-04-17 18:53:06 local_port = '[UNDEF]'
2019-04-17 18:53:06 remote = 'cloud ip mikrotik'
2019-04-17 18:53:06 remote_port = '1722'
2019-04-17 18:53:06 remote_float = DISABLED
2019-04-17 18:53:06 bind_defined = DISABLED
2019-04-17 18:53:06 bind_local = DISABLED
2019-04-17 18:53:06 bind_ipv6_only = DISABLED
2019-04-17 18:53:06 connect_retry_seconds = 2
2019-04-17 18:53:06 connect_timeout = 120
2019-04-17 18:53:06 socks_proxy_server = '[UNDEF]'
2019-04-17 18:53:06 socks_proxy_port = '[UNDEF]'
2019-04-17 18:53:06 tun_mtu = 1500
2019-04-17 18:53:06 tun_mtu_defined = ENABLED
2019-04-17 18:53:06 link_mtu = 1500
2019-04-17 18:53:06 link_mtu_defined = DISABLED
2019-04-17 18:53:06 tun_mtu_extra = 0
2019-04-17 18:53:06 tun_mtu_extra_defined = DISABLED
2019-04-17 18:53:06 mtu_discover_type = -1
2019-04-17 18:53:06 Waiting 0s seconds between connection attempt
2019-04-17 18:53:06 fragment = 0
2019-04-17 18:53:06 mssfix = 1450
2019-04-17 18:53:06 explicit_exit_notification = 0
2019-04-17 18:53:06 tls_auth_file = '[UNDEF]'
2019-04-17 18:53:06 key_direction = not set
2019-04-17 18:53:06 tls_crypt_file = '[UNDEF]'
2019-04-17 18:53:06 tls_crypt_v2_file = '[UNDEF]'
2019-04-17 18:53:06 Connection profiles END
2019-04-17 18:53:06 remote_random = DISABLED
2019-04-17 18:53:06 ipchange = '[UNDEF]'
2019-04-17 18:53:06 dev = 'tun'
2019-04-17 18:53:06 dev_type = '[UNDEF]'
2019-04-17 18:53:06 dev_node = '[UNDEF]'
2019-04-17 18:53:06 lladdr = '[UNDEF]'
2019-04-17 18:53:06 topology = 1
2019-04-17 18:53:06 ifconfig_local = '[UNDEF]'
2019-04-17 18:53:06 ifconfig_remote_netmask = '[UNDEF]'
2019-04-17 18:53:06 ifconfig_noexec = DISABLED
2019-04-17 18:53:06 ifconfig_nowarn = ENABLED
2019-04-17 18:53:06 ifconfig_ipv6_local = '[UNDEF]'
2019-04-17 18:53:06 ifconfig_ipv6_netbits = 0
2019-04-17 18:53:06 ifconfig_ipv6_remote = '[UNDEF]'
2019-04-17 18:53:06 shaper = 0
2019-04-17 18:53:06 mtu_test = 0
2019-04-17 18:53:06 mlock = DISABLED
2019-04-17 18:53:06 keepalive_ping = 0
2019-04-17 18:53:06 keepalive_timeout = 0
2019-04-17 18:53:06 inactivity_timeout = 0
2019-04-17 18:53:06 ping_send_timeout = 0
2019-04-17 18:53:06 ping_rec_timeout = 0
2019-04-17 18:53:06 ping_rec_timeout_action = 0
2019-04-17 18:53:06 ping_timer_remote = DISABLED
2019-04-17 18:53:06 remap_sigusr1 = 0
2019-04-17 18:53:06 persist_tun = DISABLED
2019-04-17 18:53:06 persist_local_ip = DISABLED
2019-04-17 18:53:06 persist_remote_ip = DISABLED
2019-04-17 18:53:06 persist_key = DISABLED
2019-04-17 18:53:06 passtos = DISABLED
2019-04-17 18:53:06 resolve_retry_seconds = 60
2019-04-17 18:53:06 resolve_in_advance = DISABLED
2019-04-17 18:53:06 username = '[UNDEF]'
2019-04-17 18:53:06 groupname = '[UNDEF]'
2019-04-17 18:53:06 chroot_dir = '[UNDEF]'
2019-04-17 18:53:06 cd_dir = '[UNDEF]'
2019-04-17 18:53:06 writepid = '[UNDEF]'
2019-04-17 18:53:06 up_script = '[UNDEF]'
2019-04-17 18:53:06 down_script = '[UNDEF]'
2019-04-17 18:53:06 down_pre = DISABLED
2019-04-17 18:53:06 up_restart = DISABLED
2019-04-17 18:53:06 up_delay = DISABLED
2019-04-17 18:53:06 daemon = DISABLED
2019-04-17 18:53:06 inetd = 0
2019-04-17 18:53:06 log = DISABLED
2019-04-17 18:53:06 suppress_timestamps = DISABLED
2019-04-17 18:53:06 machine_readable_output = ENABLED
2019-04-17 18:53:06 nice = 0
2019-04-17 18:53:06 verbosity = 4
2019-04-17 18:53:06 mute = 0
2019-04-17 18:53:06 gremlin = 0
2019-04-17 18:53:06 status_file = '[UNDEF]'
2019-04-17 18:53:06 status_file_version = 1
2019-04-17 18:53:06 status_file_update_freq = 60
2019-04-17 18:53:06 occ = ENABLED
2019-04-17 18:53:06 rcvbuf = 0
2019-04-17 18:53:06 sndbuf = 0
2019-04-17 18:53:06 sockflags = 0
2019-04-17 18:53:06 fast_io = DISABLED
2019-04-17 18:53:06 comp.alg = 0
2019-04-17 18:53:06 comp.flags = 0
2019-04-17 18:53:06 route_script = '[UNDEF]'
2019-04-17 18:53:06 route_default_gateway = '[UNDEF]'
2019-04-17 18:53:06 route_default_metric = 0
2019-04-17 18:53:06 route_noexec = DISABLED
2019-04-17 18:53:06 route_delay = 0
2019-04-17 18:53:06 route_delay_window = 30
2019-04-17 18:53:06 route_delay_defined = DISABLED
2019-04-17 18:53:06 route_nopull = DISABLED
2019-04-17 18:53:06 route_gateway_via_dhcp = DISABLED
2019-04-17 18:53:06 allow_pull_fqdn = DISABLED
2019-04-17 18:53:06 route 0.0.0.0/0.0.0.0/vpn_gateway/default (not set)
2019-04-17 18:53:06 management_addr = '/data/user/0/de.blinkt.openvpn/cache/mgmtsocket'
2019-04-17 18:53:06 management_port = 'unix'
2019-04-17 18:53:06 management_user_pass = '[UNDEF]'
2019-04-17 18:53:06 management_log_history_cache = 250
2019-04-17 18:53:06 management_echo_buffer_size = 100
2019-04-17 18:53:06 management_write_peer_info_file = '[UNDEF]'
2019-04-17 18:53:06 management_client_user = '[UNDEF]'
2019-04-17 18:53:06 management_client_group = '[UNDEF]'
2019-04-17 18:53:06 management_flags = 16678
2019-04-17 18:53:06 shared_secret_file = '[UNDEF]'
2019-04-17 18:53:06 key_direction = not set
2019-04-17 18:53:06 ciphername = 'BF-CBC'
2019-04-17 18:53:06 ncp_enabled = ENABLED
2019-04-17 18:53:06 ncp_ciphers = 'AES-256-GCM:AES-128-GCM'
2019-04-17 18:53:06 authname = 'SHA1'
2019-04-17 18:53:06 prng_hash = 'SHA1'
2019-04-17 18:53:06 prng_nonce_secret_len = 16
2019-04-17 18:53:06 keysize = 0
2019-04-17 18:53:06 engine = DISABLED
2019-04-17 18:53:06 replay = ENABLED
2019-04-17 18:53:06 mute_replay_warnings = DISABLED
2019-04-17 18:53:06 replay_window = 64
2019-04-17 18:53:06 replay_time = 15
2019-04-17 18:53:06 packet_id_file = '[UNDEF]'
2019-04-17 18:53:06 test_crypto = DISABLED
2019-04-17 18:53:06 tls_server = DISABLED
2019-04-17 18:53:06 tls_client = ENABLED
2019-04-17 18:53:06 key_method = 2
2019-04-17 18:53:06 ca_file = '[]'
2019-04-17 18:53:06 ca_path = '[UNDEF]'
2019-04-17 18:53:06 dh_file = '[UNDEF]'
2019-04-17 18:53:06 cert_file = '[[INLINE]]'
2019-04-17 18:53:06 extra_certs_file = '[UNDEF]'
2019-04-17 18:53:06 priv_key_file = '[[INLINE]]'
2019-04-17 18:53:06 pkcs12_file = '[UNDEF]'
2019-04-17 18:53:06 cipher_list = '[UNDEF]'
2019-04-17 18:53:06 cipher_list_tls13 = '[UNDEF]'
2019-04-17 18:53:06 tls_cert_profile = '[UNDEF]'
2019-04-17 18:53:06 tls_verify = '[UNDEF]'
2019-04-17 18:53:06 tls_export_cert = '[UNDEF]'
2019-04-17 18:53:06 verify_x509_type = 0
2019-04-17 18:53:06 verify_x509_name = '[UNDEF]'
2019-04-17 18:53:06 crl_file = '[UNDEF]'
2019-04-17 18:53:06 ns_cert_type = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 65535
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_ku[i] = 0
2019-04-17 18:53:06 remote_cert_eku = 'TLS Web Server Authentication'
2019-04-17 18:53:06 ssl_flags = 0
2019-04-17 18:53:06 tls_timeout = 2
2019-04-17 18:53:06 renegotiate_bytes = -1
2019-04-17 18:53:06 renegotiate_packets = 0
2019-04-17 18:53:06 renegotiate_seconds = 3600
2019-04-17 18:53:06 handshake_window = 60
2019-04-17 18:53:06 transition_window = 3600
2019-04-17 18:53:06 single_session = DISABLED
2019-04-17 18:53:06 push_peer_info = DISABLED
2019-04-17 18:53:06 tls_exit = DISABLED
2019-04-17 18:53:06 tls_crypt_v2_genkey_type = '[UNDEF]'
2019-04-17 18:53:06 tls_crypt_v2_genkey_file = '[UNDEF]'
2019-04-17 18:53:06 tls_crypt_v2_metadata = '[UNDEF]'
2019-04-17 18:53:06 client = ENABLED
2019-04-17 18:53:06 pull = ENABLED
2019-04-17 18:53:06 auth_user_pass_file = 'stdin'
2019-04-17 18:53:06 OpenVPN 2.5-icsopenvpn [git:icsopenvpn/v0.7.8-0-g168367a5] arm64-v8a [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Feb 22 2019
2019-04-17 18:53:06 library versions: OpenSSL 1.1.1a 20 Nov 2018, LZO 2.10
2019-04-17 18:53:06 MANAGEMENT: Connected to management server at /data/user/0/de.blinkt.openvpn/cache/mgmtsocket
2019-04-17 18:53:06 MANAGEMENT: CMD 'version 3'
2019-04-17 18:53:06 MANAGEMENT: CMD 'hold release'
2019-04-17 18:53:06 MANAGEMENT: CMD 'username 'Auth' my user name'
2019-04-17 18:53:06 MANAGEMENT: CMD 'bytecount 2'
2019-04-17 18:53:06 MANAGEMENT: CMD 'state on'
2019-04-17 18:53:06 MANAGEMENT: CMD 'password [...]'
2019-04-17 18:53:06 MANAGEMENT: CMD 'proxy NONE'
2019-04-17 18:53:07 MANAGEMENT: CMD 'password [...]'
2019-04-17 18:53:07 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2019-04-17 18:53:07 Control Channel MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
2019-04-17 18:53:07 MANAGEMENT: >STATE:1555516387,RESOLVE,,,,,,
2019-04-17 18:53:23 Debug state info: CONNECTED LTE to MOBILE gint.b-online.gr, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-04-17 18:53:25 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
2019-04-17 18:53:25 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
2019-04-17 18:53:25 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
2019-04-17 18:53:25 TCP/UDP: Preserving recently used remote address: [AF_INET]wanip:1722
2019-04-17 18:53:25 Socket Buffers: R=[4194304->4194304] S=[524288->524288]
2019-04-17 18:53:25 Attempting to establish TCP connection with [AF_INET]wanip:1722 [nonblock]
2019-04-17 18:53:25 MANAGEMENT: >STATE:1555516405,TCP_CONNECT,,,,,,
2019-04-17 18:53:25 Could not protect VPN socket
2019-04-17 18:53:25 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2019-04-17 18:53:35 TCP connection established with [AF_INET]wanip:1722
2019-04-17 18:53:35 Could not protect VPN socket
2019-04-17 18:53:35 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2019-04-17 18:53:35 TCP_CLIENT link local: (not bound)
2019-04-17 18:53:35 TCP_CLIENT link remote: [AF_INET]wanip:1722
2019-04-17 18:53:35 MANAGEMENT: >STATE:1555516415,WAIT,,,,,,
2019-04-17 18:53:35 MANAGEMENT: >STATE:1555516415,AUTH,,,,,,
2019-04-17 18:53:35 TLS: Initial packet from [AF_INET]wanip:1722, sid=cf2fe83c 8e43bc87
2019-04-17 18:53:41 VERIFY OK: depth=1, C=GR, ST=Athens, L=KALLITHEA, O=UNIBIT, OU=UNIBIT, CN=CA
2019-04-17 18:53:41 VERIFY KU OK
2019-04-17 18:53:41 Validating certificate extended key usage
2019-04-17 18:53:41 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2019-04-17 18:53:41 VERIFY EKU OK
2019-04-17 18:53:41 VERIFY OK: depth=0, C=GR, ST=Athens, L=KALLITHEA, O=UNIBIT, OU=UNIBIT, CN=name
2019-04-17 18:53:48 Connection reset, restarting [0]
2019-04-17 18:53:48 TCP/UDP: Closing socket
2019-04-17 18:53:48 SIGUSR1[soft,connection-reset] received, process restarting
2019-04-17 18:53:48 MANAGEMENT: >STATE:1555516428,RECONNECTING,connection-reset,,,,,
2019-04-17 18:53:48 Waiting 2s seconds between connection attempt
2019-04-17 18:53:50 MANAGEMENT: CMD 'hold release'
2019-04-17 18:53:50 MANAGEMENT: CMD 'proxy NONE'
2019-04-17 18:53:50 MANAGEMENT: CMD 'bytecount 2'
2019-04-17 18:53:50 MANAGEMENT: CMD 'state on'
2019-04-17 18:53:51 Control Channel MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
2019-04-17 18:53:51 MANAGEMENT: >STATE:1555516431,RESOLVE,,,,,,
2019-04-17 18:53:51 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
2019-04-17 18:53:51 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
2019-04-17 18:53:51 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
2019-04-17 18:53:51 TCP/UDP: Preserving recently used remote address: [AF_INET]wanip:1722
2019-04-17 18:53:51 Socket Buffers: R=[4194304->4194304] S=[524288->524288]
2019-04-17 18:53:51 Attempting to establish TCP connection with [AF_INET]wanip:1722 [nonblock]
2019-04-17 18:53:51 MANAGEMENT: >STATE:1555516431,TCP_CONNECT,,,,,,
2019-04-17 18:53:51 Could not protect VPN socket
2019-04-17 18:53:51 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2019-04-17 18:53:52 TCP connection established with [AF_INET]wanip:1722
2019-04-17 18:53:52 Could not protect VPN socket
2019-04-17 18:53:52 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2019-04-17 18:53:52 TCP_CLIENT link local: (not bound)
2019-04-17 18:53:52 TCP_CLIENT link remote: [AF_INET]wanip:1722
2019-04-17 18:53:52 MANAGEMENT: >STATE:1555516432,WAIT,,,,,,
2019-04-17 18:53:52 MANAGEMENT: >STATE:1555516432,AUTH,,,,,,
2019-04-17 18:53:52 TLS: Initial packet from [AF_INET]wanip:1722, sid=f7a196e1 3593b855
2019-04-17 18:53:55 VERIFY OK: depth=1, C=GR, ST=Athens, L=KALLITHEA, O=UNIBIT, OU=UNIBIT, CN=CA
2019-04-17 18:53:55 VERIFY KU OK
2019-04-17 18:53:55 Validating certificate extended key usage
2019-04-17 18:53:55 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2019-04-17 18:53:55 VERIFY EKU OK
2019-04-17 18:53:55 VERIFY OK: depth=0, C=GR, ST=Athens, L=KALLITHEA, O=UNIBIT, OU=UNIBIT, CN=name
2019-04-17 18:54:03 Connection reset, restarting [0]
2019-04-17 18:54:03 TCP/UDP: Closing socket
2019-04-17 18:54:03 SIGUSR1[soft,connection-reset] received, process restarting
2019-04-17 18:54:03 MANAGEMENT: >STATE:1555516443,RECONNECTING,connection-reset,,,,,
2019-04-17 18:54:03 Waiting 2s seconds between connection attempt
2019-04-17 18:54:05 MANAGEMENT: CMD 'hold release'
2019-04-17 18:54:05 MANAGEMENT: CMD 'proxy NONE'
2019-04-17 18:54:05 MANAGEMENT: CMD 'bytecount 2'
2019-04-17 18:54:05 MANAGEMENT: CMD 'state on'
2019-04-17 18:54:06 Control Channel MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
2019-04-17 18:54:06 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
2019-04-17 18:54:06 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
2019-04-17 18:54:06 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
2019-04-17 18:54:06 TCP/UDP: Preserving recently used remote address: [AF_INET6]2a02:587:3f0d:b400:::1722
2019-04-17 18:54:06 Could not protect VPN socket
2019-04-17 18:54:06 Socket Buffers: R=[4194304->4194304] S=[524288->524288]
2019-04-17 18:54:06 Attempting to establish TCP connection with [AF_INET6]2a02:587:3f0d:b400:::1722 [nonblock]
2019-04-17 18:54:06 MANAGEMENT: >STATE:1555516446,TCP_CONNECT,,,,,,
2019-04-17 18:54:06 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
[I]2019-04-17 18:54:06 TCP: connect to [AF_INET6]2a02:587:3f0d:b400:::1722 failed: Network is unreachable
2019-04-17 18:54:06 SIGUSR1[connection failed(soft),init_instance] received, process restarting
2019-04-17 18:54:06 MANAGEMENT: >STATE:1555516446,RECONNECTING,init_instance,,,,,
2019-04-17 18:54:06 Waiting 2s seconds between connection attempt
2019-04-17 18:54:09 MANAGEMENT: CMD 'signal SIGINT'
2019-04-17 18:54:09 SIGINT[hard,init_instance] received, process exiting
2019-04-17 18:54:09 MANAGEMENT: >STATE:1555516449,EXITING,init_instance,,,,

Nikiforos
18-04-19, 06:16
Δεν ξέρω τι μπορεί να φταίει. Χρησιμοποιώ το Open Vpn for android δημιούργησα και από την αρχή τα certificates, το μόνο που άλλαξα απο τη τελευταία φορά είναι το κινητό.

Καλησπερα, πριν το κινητο που ειχες ηταν Xiaomi με Miui rom ?
γιατι η miui εχει πολυ ασφαλεια μηπως και κατι παιζει με τα πιστοποιητικα?
δοκιμασες απο αλλο κινητο ή αλλη android συσκευη ?

o client καταρχην εχει κατι επιλογες που μπορεις να κλεισεις το ipv6, στα logs που βλεπω κατι για ipv6 αρα λογικα ειναι ανοιχτη αυτη η ρυθμιση.

Eπισης βλεπω πολλες αναφορες στα logs για TLS, αυτο πρεπει στις επιλογες του client να ειναι disable, η Mikrotik στο OVPN δεν υποστηριζει TLS, αν αυτο ειναι ανοιχτο δεν βρισκει απο τον server και δεν παιζουν τα πιστοποιητικα.
Πιστευω το προβλημα ειναι καπου στις ρυθμισεις του client και οχι οτι φταινε τα πιστοποιητικα.

Μπορεις να δειξεις το config file?

- - - Updated - - -

Καλημερα, καπου το ειχα παθει δες τα δικαιώματα για την εσωτερικη μνημη, μπορει το app να μην πηρε τα σωστα δικαιώματα και να μην βλεπει τα αρχεια των πιστοποιητικων, ασχετως αν τα δειχνει. Το ειχα παθει αυτό με καποια εφαρμογή σε miui rom και εσπαγα το κεφαλι μου για μερες!

jkarabas
18-04-19, 10:26
Καλησπερα, πριν το κινητο που ειχες ηταν Xiaomi με Miui rom ?
γιατι η miui εχει πολυ ασφαλεια μηπως και κατι παιζει με τα πιστοποιητικα?
δοκιμασες απο αλλο κινητο ή αλλη android συσκευη ?

o client καταρχην εχει κατι επιλογες που μπορεις να κλεισεις το ipv6, στα logs που βλεπω κατι για ipv6 αρα λογικα ειναι ανοιχτη αυτη η ρυθμιση.

Eπισης βλεπω πολλες αναφορες στα logs για TLS, αυτο πρεπει στις επιλογες του client να ειναι disable, η Mikrotik στο OVPN δεν υποστηριζει TLS, αν αυτο ειναι ανοιχτο δεν βρισκει απο τον server και δεν παιζουν τα πιστοποιητικα.
Πιστευω το προβλημα ειναι καπου στις ρυθμισεις του client και οχι οτι φταινε τα πιστοποιητικα.

Μπορεις να δειξεις το config file?

- - - Updated - - -

Καλημερα, καπου το ειχα παθει δες τα δικαιώματα για την εσωτερικη μνημη, μπορει το app να μην πηρε τα σωστα δικαιώματα και να μην βλεπει τα αρχεια των πιστοποιητικων, ασχετως αν τα δειχνει. Το ειχα παθει αυτό με καποια εφαρμογή σε miui rom και εσπαγα το κεφαλι μου για μερες!

Νικηφόρε το παλεύω μέρες τώρα.
Σκέφτηκα να το δοκιμάσω και στο κινητό της γυναίκας μου.
Πριν από αυτό είχα το samsung το note 4
Θα το τσεκάρω με τα δικαιώματα.
Επίσης αυτά που ανέφερες για τις ρυθμίσεις τα έχω δοκιμάσει ήδη.
Αποεπιλέγω απο το routing το ipv6 και αυτό το γράφει ακόμη στα logs. τι να πω
Στο open vpn for android δεν χρησιμοποίησα confog file.
Στείλε όμως το δικό σου για νa δοκιμάσω και με άλλον client

- - - Updated - - -

Δοκίμασα να αλλάξω client έβαλα το openvpn (https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=en_US)
Έφτιαξα το config file όπως παρακάτω:

client
dev tun
proto tcp
remote ΧΧΧΧΧΧΧΧΧΧΧΧ.sn.mynetname.net
port ΧΧΧΧ
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
ca ca.crt
cert client1.crt
key client1.key
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
auth-user-pass secret
auth-nocache
;redirect-gateway def1

Αλλά και πάλι τα ίδια
Στέλνω και το log
09:50:25.409 -- Tunnel bytes per CPU second: 0

09:50:25.409 -- ----- OpenVPN Stop -----

09:50:42.106 -- ----- OpenVPN Start -----

09:50:42.107 -- EVENT: CORE_THREAD_ACTIVE

09:50:42.111 -- Frame=512/2048/512 mssfix-ctrl=1250

09:50:42.112 -- EVENT: CORE_THREAD_ERROR info='mbed TLS: error parsing config private key : PKCS5 - Requested encryption or digest alg not available'

09:50:42.117 -- EVENT: CORE_THREAD_INACTIVE

09:50:42.118 -- Tunnel bytes per CPU second: 0

09:50:42.118 -- ----- OpenVPN Stop -----

09:50:43.512 -- ----- OpenVPN Start -----

09:50:43.513 -- EVENT: CORE_THREAD_ACTIVE

09:50:43.517 -- Frame=512/2048/512 mssfix-ctrl=1250

09:50:43.518 -- EVENT: CORE_THREAD_ERROR info='mbed TLS: error parsing config private key : PKCS5 - Requested encryption or digest alg not available'

09:50:43.522 -- EVENT: CORE_THREAD_INACTIVE

09:50:43.523 -- Tunnel bytes per CPU second: 0

09:50:43.523 -- ----- OpenVPN Stop -----

09:53:01.107 -- ----- OpenVPN Start -----

09:53:01.108 -- EVENT: CORE_THREAD_ACTIVE

09:53:01.116 -- Frame=512/2048/512 mssfix-ctrl=1250

09:53:01.117 -- EVENT: CORE_THREAD_ERROR info='mbed TLS: error parsing config private key : PKCS5 - Requested encryption or digest alg not available'

09:53:01.121 -- EVENT: CORE_THREAD_INACTIVE

09:53:01.122 -- Tunnel bytes per CPU second: 0

09:53:01.123 -- ----- OpenVPN Stop -----

09:53:02.733 -- ----- OpenVPN Start -----

09:53:02.734 -- EVENT: CORE_THREAD_ACTIVE

09:53:02.737 -- Frame=512/2048/512 mssfix-ctrl=1250

09:53:02.738 -- EVENT: CORE_THREAD_ERROR info='mbed TLS: error parsing config private key : PKCS5 - Requested encryption or digest alg not available'

09:53:02.748 -- EVENT: CORE_THREAD_INACTIVE

09:53:02.749 -- Tunnel bytes per CPU second: 0

09:53:02.750 -- ----- OpenVPN Stop -----

09:53:04.419 -- ----- OpenVPN Start -----

09:53:04.419 -- EVENT: CORE_THREAD_ACTIVE

09:53:04.422 -- Frame=512/2048/512 mssfix-ctrl=1250

09:53:04.423 -- EVENT: CORE_THREAD_ERROR info='mbed TLS: error parsing config private key : PKCS5 - Requested encryption or digest alg not available'

09:53:04.429 -- EVENT: CORE_THREAD_INACTIVE

09:53:04.430 -- Tunnel bytes per CPU second: 0

09:53:04.431 -- ----- OpenVPN Stop -----

09:53:05.791 -- ----- OpenVPN Start -----

09:53:05.791 -- EVENT: CORE_THREAD_ACTIVE

09:53:05.794 -- Frame=512/2048/512 mssfix-ctrl=1250

09:53:05.794 -- EVENT: CORE_THREAD_ERROR info='mbed TLS: error parsing config private key : PKCS5 - Requested encryption or digest alg not available'

09:53:05.798 -- EVENT: CORE_THREAD_INACTIVE

09:53:05.798 -- Tunnel bytes per CPU second: 0

09:53:05.799 -- ----- OpenVPN Stop -----

09:54:32.413 -- ----- OpenVPN Start -----

09:54:32.414 -- EVENT: CORE_THREAD_ACTIVE

09:54:32.418 -- Frame=512/2048/512 mssfix-ctrl=1250

09:54:32.419 -- EVENT: CORE_THREAD_ERROR info='mbed TLS: error parsing config private key : PKCS5 - Requested encryption or digest alg not available'

09:54:32.424 -- EVENT: CORE_THREAD_INACTIVE

09:54:32.424 -- Tunnel bytes per CPU second: 0

09:54:32.425 -- ----- OpenVPN Stop -----

09:54:34.018 -- ----- OpenVPN Start -----

09:54:34.018 -- EVENT: CORE_THREAD_ACTIVE

09:54:34.021 -- Frame=512/2048/512 mssfix-ctrl=1250

09:54:34.022 -- EVENT: CORE_THREAD_ERROR info='mbed TLS: error parsing config private key : PKCS5 - Requested encryption or digest alg not available'

09:54:34.027 -- EVENT: CORE_THREAD_INACTIVE

09:54:34.028 -- Tunnel bytes per CPU second: 0

09:54:34.029 -- ----- OpenVPN Stop -----

09:54:35.009 -- ----- OpenVPN Start -----

09:54:35.009 -- EVENT: CORE_THREAD_ACTIVE

09:54:35.012 -- Frame=512/2048/512 mssfix-ctrl=1250

09:54:35.013 -- EVENT: CORE_THREAD_ERROR info='mbed TLS: error parsing config private key : PKCS5 - Requested encryption or digest alg not available'

09:54:35.019 -- EVENT: CORE_THREAD_INACTIVE

09:54:35.019 -- Tunnel bytes per CPU second: 0

09:54:35.020 -- ----- OpenVPN Stop -----

09:54:38.037 -- ----- OpenVPN Start -----

09:54:38.037 -- EVENT: CORE_THREAD_ACTIVE

09:54:38.040 -- Frame=512/2048/512 mssfix-ctrl=1250

09:54:38.041 -- EVENT: CORE_THREAD_ERROR info='mbed TLS: error parsing config private key : PKCS5 - Requested encryption or digest alg not available'

09:54:38.045 -- EVENT: CORE_THREAD_INACTIVE

09:54:38.046 -- Tunnel bytes per CPU second: 0

09:54:38.047 -- ----- OpenVPN Stop -----

Nikiforos
18-04-19, 10:33
Καλημέρα, εγω δουλευω και τα 2 προγράμματα.
Στα logs σου βλεπω να λες TLS!!! ξαναλεω παλι το Mikrotik OVPN ΔΕΝ υποστηριζει TLS! https://el.wikipedia.org/wiki/TLS
Βγαλε το από τις ρυθμισεις και από το config file, είμαι σιγουρος κατά 99.9% ότι γιαυτο δεν σου παιζει. Εχεις κανει τον πελατη να ζηταει TLS από τον server και η mikrotik δεν υποστηριζει οποτε δεν βρισκει και τρως ακυρα με τα πιστοποιητικα. Ασε που τα εχω περασει και εγω.

tls-client
remote-cert-tls server

τα 2 πανω τα πετας, και αυτό κατω κατω αν και εχει ; μπροστα και δεν παιζει, η Mikrotik επισης δεν το υποστηριζει αυτό το redirect gateway. Πριν κάμποσες μερες το εψαχνα και ηταν ενας λογος να παω σε Linux OpenVPN server.
για το αρχειο όταν παω σπιτι να το θυμηθώ μονο, φανταζομαι θες με mikrotik server, γιατι εχω με server το Linux nas που φυσικα παιζω σε udp και lzo compression και είναι κλασεις ανωτερος από των 2 mikrotik που εχω (109+951), και ακομα καλυτερος είναι αυτος του raspi (pivpn) και με TLS + LZO + UDP, δλδ εχει ότι δεν υποστηριζει η Mikrotik και τρεχει σε pi zero WH.

Eχει τελικα σημαντικη διαφορα σε ταχύτητες ειδικα σε streaming video το UDP+LZO, κριμα η Mikrotik να πετσοκοβει το τοσο καλο OpenVPN!
Επισης βρηκα τροπο για OpenVPN server σε android (θελει root) το εκανα επανω σε android tv box με μαμα root δικαιώματα και επιλογή on-off στο μενου...πολύ καλος στα επίπεδα του pivpn, στην ουσια τρεχουμε μια διανομη Linux. Linux deploit λεγεται το google app, εγω τρεχω Debian stretch με κονσολα μονο.

Τα λεω αυτά γιατι η Mikrotik δεν κανει κατι με το OVPN και είναι πετσοκομμενο αθλια εκδοση του πραγματικα και καποια στιγμη θελω να αντικαταστήσω τα ovpn της mikrotik (2 πελατες-2 servers) με linux εκδοσεις σε αντιστοιχα μηχανήματα που μπορουν να εχουν Linux.

Θα το εκανα με openwrt επανω σε Mikrotik με metarouter αλλα μια ζωη προβληματικο και με παλιοτερη εκδοση…

ΣΥΝΟΠΤΙΚΑ : Η μικροτικ στο OVPN δεν υποστηριζει :
1. UDP
2. LZO compression
3. TLS
4. Redirect gateway
Δεν θυμαμαι αν ξεχασα κατι άλλο, αν θελουμε κατι από τα παραπανω ή όλα τα παραπανω, πρεπει να παμε σε Linux OpenVPN server, στο android υποστηριζονται όλα αυτά κανονικα παντως εξαλου είναι Linux based.

jkarabas
18-04-19, 11:19
Καλημέρα, εγω δουλευω και τα 2 προγράμματα.
Στα logs σου βλεπω να λες TLS!!! ξαναλεω παλι το Mikrotik OVPN ΔΕΝ υποστηριζει TLS! https://el.wikipedia.org/wiki/TLS
Βγαλε το από τις ρυθμισεις και από το config file, είμαι σιγουρος κατά 99.9% ότι γιαυτο δεν σου παιζει. Εχεις κανει τον πελατη να ζηταει TLS από τον server και η mikrotik δεν υποστηριζει οποτε δεν βρισκει και τρως ακυρα με τα πιστοποιητικα. Ασε που τα εχω περασει και εγω.

tls-client
remote-cert-tls server

τα 2 πανω τα πετας, και αυτό κατω κατω αν και εχει ; μπροστα και δεν παιζει, η Mikrotik επισης δεν το υποστηριζει αυτό το redirect gateway. Πριν κάμποσες μερες το εψαχνα και ηταν ενας λογος να παω σε Linux OpenVPN server.
για το αρχειο όταν παω σπιτι να το θυμηθώ μονο, φανταζομαι θες με mikrotik server, γιατι εχω με server το Linux nas που φυσικα παιζω σε udp και lzo compression και είναι κλασεις ανωτερος από των 2 mikrotik που εχω (109+951), και ακομα καλυτερος είναι αυτος του raspi (pivpn) και με TLS + LZO + UDP, δλδ εχει ότι δεν υποστηριζει η Mikrotik και τρεχει σε pi zero WH.

Eχει τελικα σημαντικη διαφορα σε ταχύτητες ειδικα σε streaming video το UDP+LZO, κριμα η Mikrotik να πετσοκοβει το τοσο καλο OpenVPN!
Επισης βρηκα τροπο για OpenVPN server σε android (θελει root) το εκανα επανω σε android tv box με μαμα root δικαιώματα και επιλογή on-off στο μενου...πολύ καλος στα επίπεδα του pivpn, στην ουσια τρεχουμε μια διανομη Linux. Linux deploit λεγεται το google app, εγω τρεχω Debian stretch με κονσολα μονο.

Τα λεω αυτά γιατι η Mikrotik δεν κανει κατι με το OVPN και είναι πετσοκομμενο αθλια εκδοση του πραγματικα και καποια στιγμη θελω να αντικαταστήσω τα ovpn της mikrotik (2 πελατες-2 servers) με linux εκδοσεις σε αντιστοιχα μηχανήματα που μπορουν να εχουν Linux.

Θα το εκανα με openwrt επανω σε Mikrotik με metarouter αλλα μια ζωη προβληματικο και με παλιοτερη εκδοση…

ΣΥΝΟΠΤΙΚΑ : Η μικροτικ στο OVPN δεν υποστηριζει :
1. UDP
2. LZO compression
3. TLS
4. Redirect gateway
Δεν θυμαμαι αν ξεχασα κατι άλλο, αν θελουμε κατι από τα παραπανω ή όλα τα παραπανω, πρεπει να παμε σε Linux OpenVPN server, στο android υποστηριζονται όλα αυτά κανονικα παντως εξαλου είναι Linux based.

Tα ίδια δεν είναι το TLS.
Το περίεργο είναι ότι στα loga πάλι το ίδιο λέει.
Επίσης στις ρυθμίσεις η ρύθμιση για το TLS το έχω να παίρνει απο το config file.

Nikiforos
18-04-19, 12:20
Tα ίδια δεν είναι το TLS.
Το περίεργο είναι ότι στα loga πάλι το ίδιο λέει.
Επίσης στις ρυθμίσεις η ρύθμιση για το TLS το έχω να παίρνει απο το config file.

Τι εννοεις "τα ιδια δεν είναι το TLS" ? δεν καταλαβαίνω...
TLS δεν υποστηριζει το Mikrotik OVPN, δεν μπορει να παιξει.
Πρεπει να τα σβησεις εντελως από το config εκεινα που εκανα bold ή να βαλεις ; μπροστά ώστε να απενεργοποιηθουν.
Μια γρηγορη ματια στο δικο μου είναι με ερωτηματικο μπροστα.
Όπως ειπα στους Linux servers που εχω (Linux nas server, pivpn και android με Linux host OpenVPN server) στον πελατη εχω και TLS και παιζουν κανονικα, σε Mikrotik τα logs είναι ιδια με τα δικα σου.

https://wiki.mikrotik.com/wiki/Manual:Interface/OVPN



Currently unsupported OpenVPN features:
UDP mode
LZO compression
TLS authentication
authentication without username/password


δες και εδώ https://forum.mikrotik.com/viewtopic.php?t=143010

jkarabas
18-04-19, 13:24
Τι εννοεις "τα ιδια δεν είναι το TLS" ? δεν καταλαβαίνω...
TLS δεν υποστηριζει το Mikrotik OVPN, δεν μπορει να παιξει.
Πρεπει να τα σβησεις εντελως από το config εκεινα που εκανα bold ή να βαλεις ; μπροστά ώστε να απενεργοποιηθουν.
Μια γρηγορη ματια στο δικο μου είναι με ερωτηματικο μπροστα.
Όπως ειπα στους Linux servers που εχω (Linux nas server, pivpn και android με Linux host OpenVPN server) στον πελατη εχω και TLS και παιζουν κανονικα, σε Mikrotik τα logs είναι ιδια με τα δικα σου.

https://wiki.mikrotik.com/wiki/Manual:Interface/OVPN



Currently unsupported OpenVPN features:
UDP mode
LZO compression
TLS authentication
authentication without username/password


δες και εδώ https://forum.mikrotik.com/viewtopic.php?t=143010

Ρε συ Νικηφόρε αυτό εννοώ...έσβησα τελείως τις καταχωρήσεις από το config και συνεχίζει στο log να βγάζει το ίδιο μήνυμα. Αυτό εννοούσα λέγοντας "τα ιδια" δεν μου δουλεύει.
Το είπαμε δεν υποστηρίζει TLS.

sxbcl
18-04-19, 13:38
Είδα το δικό μου config, που λειτουργεί, και έχω τα παρακάτω:


client
dev tun
proto tcp
remote ip_address port_nr
nobind
ca ca.crt
cert client1.crt
key client1.key
tls-client
cipher AES-256-CBC
auth SHA1
auth-user-pass
redirect-gateway

Nikiforos
18-04-19, 15:15
Για το τελευταίο δεν πειράζει αν και δεν το κάνει τελικά ο Mikrotik server, αλλά το tls? Με Mikrotik ovpn server είσαι?
Μήπως επειδή δεν έχεις το άλλο να το αγνοεί απλά γιατι το Android υποστηρίζει tls, το Mikrotik δεν υποστηρίζει.

- - - Updated - - -


Ρε συ Νικηφόρε αυτό εννοώ...έσβησα τελείως τις καταχωρήσεις από το config και συνεχίζει στο log να βγάζει το ίδιο μήνυμα. Αυτό εννοούσα λέγοντας "τα ιδια" δεν μου δουλεύει.
Το είπαμε δεν υποστηρίζει TLS.

Σορρυ δεν είχα δει το πόστ είμαι από κινητό. Κάτι κάπου κάνεις λάθος αν τα έβγαλες λέει πάλι για tls στα logs? Θα ποσταρω αργότερα το δικό μου.

- - - Updated - - -

Δεν δουλευες από αλλού το openvpn μόνο από το κινητό?

sxbcl
18-04-19, 15:22
Για το τελευταίο δεν πειράζει αν και δεν το κάνει τελικά ο Mikrotik server, αλλά το tls? Με Mikrotik ovpn server είσαι?
Μήπως επειδή δεν έχεις το άλλο να το αγνοεί απλά γιατι το Android υποστηρίζει tls, το Mikrotik δεν υποστηρίζει.



Ναι, πιθανότατα αγνοεί το tls-client και μάλλον είναι περιττό που το έχω.

jkarabas
18-04-19, 15:30
Ποιο client από τους παρακάτω δουλεύεις?

OpenVPN for Android (https://play.google.com/store/apps/details?id=de.blinkt.openvpn)

OpenVPN Connect – Fast & Safe SSL VPN Client (https://play.google.com/store/apps/details?id=net.openvpn.openvpn)

sxbcl
18-04-19, 15:42
Ποιο client από τους παρακάτω δουλεύεις?

OpenVPN for Android (https://play.google.com/store/apps/details?id=de.blinkt.openvpn)

OpenVPN Connect – Fast & Safe SSL VPN Client (https://play.google.com/store/apps/details?id=net.openvpn.openvpn)

Τον πρώτο OpenVPN for Android

ios46
18-04-19, 16:39
@jkarabas


Νομίζω είναι το ίδιο πρόβλημα που είχα αναφέρει στο #247, δες ή με άλλον vpn client για android (openvpn for android by A.Schwabe) ή δοκίμασε μέσω openssl το workaround.
Παρεπιπτόντως το LZO (όπως και άλλα options) είναι obsolete officially απο το OpenVPN.

jkarabas
18-04-19, 16:52
@jkarabas


Νομίζω είναι το ίδιο πρόβλημα που είχα αναφέρει στο #247, δες ή με άλλον vpn client για android (openvpn for android by A.Schwabe) ή δοκίμασε μέσω openssl το workaround.
Παρεπιπτόντως το LZO (όπως και άλλα options) είναι obsolete officially απο το OpenVPN.

Δεν μπορώ να καταλάβω πως αυτό προέκυψε ξαφνικά? Κινητό άλλαξα δεν έκανα κάτι άλλο.
Επειδή linux δεν έχω, τα κλειδιά τα δημιουργώ μέσα στο Mikrotik.

Nikiforos
18-04-19, 18:09
καλησπέρα, παραθετω οπως ειχα πει ποιο νωρις το δικο μου που εχω στο κινητο (παιζει και σε android tablet) και το ιδιο δοκιμασα το ΣΚ και σε android tv box.



##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
# #
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files. #
# #
# On Windows, you might want to rename this #
# file so it has a .ovpn extension #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Windows adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto tcp
;proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote XXXxxxxXXX.ddns.gr 1234
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
;resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
;persist-key
;persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert android.crt
key android.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
;ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
;tls-client

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher AES-256-CBC
auth SHA1
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
;comp-lzo

# Set log file verbosity.
;verb 3

# Silence repeating messages
;mute 20

auth-user-pass
redirect-gateway


στα bold τα εχω αλλαξει για ευνοητους λογους....
οπως βλεπουμε οτι δεν υποστηριζεται στο mikrotik ειναι με ερωτηματικο μπροστα.
Επισης στο τελος το redirect-gateway στην ουσια μετα απο ψαξιμο και δοκιμες δεν υποστηριζεται, αν το βαζουμε απλα αγνοειται δεν κανει καποιο λαθος.
Αυτο ειναι για να περναει ολη η ιντερνετικη κινηση μεσα απο το vpn. Δλδ θα εχουμε στο ιντερνετ την ip του vpn που συνδεομαστε και οχι την τοπικη μας στο ιντερνετ.
Ενω με αλλα ειδη vpn πχ pptp δουλευει στο mikrotik με το OVPN δεν γινεται ενω σε linux γινεται (και θελει και αντιστοιχη ρυθμιση και στον server επισης).

- - - Updated - - -

Σχετικα με το tls που το κοιταξα λιγο, οταν εχουμε σκετο tls-client αν δεν το ζηταει ο server το αγνοει.
Αν ομως εχουμε και την αλλη επιλογη tls-auth ta.key 1 πχ θελει το αρχειο ta.key για το tls και τοτε προσπαθει και δεν βρισκει οποτε τρωμε τρελα ακυρα.

Εγω δουλευω και τα 2 προγραμματα που ειπαμε με το ιδιο config file και δεν εχω κανενα θεμα με 2 servers mikrotik και τους αλλους που εχω αναφερει σε linux ποιο πριν.

- - - Updated - - -


Ναι, πιθανότατα αγνοεί το tls-client και μάλλον είναι περιττό που το έχω.

Τελικα ναι αυτο συμβαινει.

jkarabas
18-04-19, 19:57
Υπάρχει κάποιος από εδώ μέσα που έχει δημιουργήσει τα certificates στο mikrotik?
Θα τρελαθώ έχω σκάσει!!

- - - Updated - - -

Θέμα κινητού δεν είναι τώρα το δοκίμασα και στης γυναίκας μου.

- - - Updated - - -

Τα certificates τα έφτιαξα όπως τα περιγράφει στο βίντεο εδώ (https://www.youtube.com/watch?v=VgeUcYyNOlM)

ios46
18-04-19, 20:01
@jakarabas

Δοκίμασες με non official openvpn client ? Βάση των logs, της διαδικασίας (mikrotik certificate signing) πιθανόν άν έχεις τον official openvpn client να έχεις το πρόβλημα που ανέφερα και πρίν.

jkarabas
18-04-19, 20:16
@jakarabas

Δοκίμασες με non official openvpn client ? Βάση των logs, της διαδικασίας (mikrotik certificate signing) πιθανόν άν έχεις τον official openvpn client να έχεις το πρόβλημα που ανέφερα και πρίν.

Ποιος είναι ο Non και ποιος ο official?

Δουλεύω τους παρακάτω:

OpenVPN for Android (https://play.google.com/store/apps/details?id=de.blinkt.openvpn)

OpenVPN Connect – Fast & Safe SSL VPN Client (https://play.google.com/store/apps/details?id=net.openvpn.openvpn)

Ποιο πολύ ασχολούμαι με τον πρώτο.

Nikiforos
18-04-19, 20:17
O πρωτος ειναι ο official και εγω και τους 2 αυτους δουλευω κυριως τον 1ο ομως.
Τα logs τι λενε τωρα?

Αληθεια το mikrotik με τα τηλεφωνα εχουν την ιδια ωρα και ημερομηνια ?

jkarabas
18-04-19, 20:25
Log file από το Openvpn for android

2019-04-18 20:22:16 official build 0.7.8 running on xiaomi Redmi Note 7 (sdm660), Android 9 (PKQ1.180904.001) API 28, ABI arm64-v8a, (xiaomi/lavender/lavender:9/PKQ1.180904.001/V10.2.7.0.PFGMIXM:user/release-keys)
2019-04-18 20:22:16 Building configuration…
2019-04-18 20:22:16 started Socket Thread
2019-04-18 20:22:16 Network Status: CONNECTED EDGE to MOBILE gint.b-online.gr
2019-04-18 20:22:16 Debug state info: CONNECTED EDGE to MOBILE gint.b-online.gr, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-04-18 20:22:16 Debug state info: CONNECTED EDGE to MOBILE gint.b-online.gr, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-04-18 20:22:16 Current Parameter Settings:
2019-04-18 20:22:16 config = '/data/user/0/de.blinkt.openvpn/cache/android.conf'
2019-04-18 20:22:16 mode = 0
2019-04-18 20:22:16 show_ciphers = DISABLED
2019-04-18 20:22:16 show_digests = DISABLED
2019-04-18 20:22:16 show_engines = DISABLED
2019-04-18 20:22:16 genkey = DISABLED
2019-04-18 20:22:16 key_pass_file = '[UNDEF]'
2019-04-18 20:22:16 show_tls_ciphers = DISABLED
2019-04-18 20:22:16 connect_retry_max = 0
2019-04-18 20:22:16 NOTE: --mute triggered...
2019-04-18 20:22:16 178 variation(s) on previous 10 message(s) suppressed by --mute
2019-04-18 20:22:16 OpenVPN 2.5-icsopenvpn [git:icsopenvpn/v0.7.8-0-g168367a5] arm64-v8a [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Feb 22 2019
2019-04-18 20:22:16 library versions: OpenSSL 1.1.1a 20 Nov 2018, LZO 2.10
2019-04-18 20:22:16 MANAGEMENT: Connected to management server at /data/user/0/de.blinkt.openvpn/cache/mgmtsocket
2019-04-18 20:22:16 MANAGEMENT: CMD 'version 3'
2019-04-18 20:22:16 Waiting 0s seconds between connection attempt
2019-04-18 20:22:16 MANAGEMENT: CMD 'hold release'
2019-04-18 20:22:16 MANAGEMENT: CMD 'username 'Auth' myusername'
2019-04-18 20:22:16 MANAGEMENT: CMD 'bytecount 2'
2019-04-18 20:22:16 MANAGEMENT: CMD 'password [...]'
2019-04-18 20:22:20 MANAGEMENT: CMD 'state on'
2019-04-18 20:22:20 MANAGEMENT: CMD 'proxy NONE'
2019-04-18 20:22:21 MANAGEMENT: CMD 'password [...]'
2019-04-18 20:22:21 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2019-04-18 20:22:21 Control Channel MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
2019-04-18 20:22:21 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
2019-04-18 20:22:21 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'
2019-04-18 20:22:21 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_SERVER,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
2019-04-18 20:22:21 TCP/UDP: Preserving recently used remote address: [AF_INET]wanip:port
2019-04-18 20:22:21 Socket Buffers: R=[26280->26280] S=[16384->16384]
2019-04-18 20:22:21 Attempting to establish TCP connection with [AF_INET]wanip:port [nonblock]
2019-04-18 20:22:21 MANAGEMENT: >STATE:1555608141,TCP_CONNECT,,,,,,
2019-04-18 20:22:21 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2019-04-18 20:22:30 TCP connection established with [AF_INET]wanip:port
2019-04-18 20:22:30 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2019-04-18 20:22:30 TCP_CLIENT link local: (not bound)
2019-04-18 20:22:30 TCP_CLIENT link remote: [AF_INET]wanip:port
2019-04-18 20:22:30 MANAGEMENT: >STATE:1555608150,WAIT,,,,,,
2019-04-18 20:22:33 MANAGEMENT: >STATE:1555608153,AUTH,,,,,,
2019-04-18 20:22:33 TLS: Initial packet from [AF_INET]wanip:port, sid=1bd02568 74be7980
2019-04-18 20:22:33 Debug state info: CONNECTED EDGE to MOBILE gint.b-online.gr, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-04-18 20:22:39 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=GR, ST=Athens, L=KALLITHEA, O=UNIBIT, OU=UNIBIT, CN=CA
2019-04-18 20:22:39 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2019-04-18 20:22:39 TLS_ERROR: BIO read tls_read_plaintext error
2019-04-18 20:22:39 TLS Error: TLS object -> incoming plaintext read error
2019-04-18 20:22:39 Waiting 2s seconds between connection attempt
2019-04-18 20:22:39 TLS Error: TLS handshake failed
2019-04-18 20:22:39 Fatal TLS error (check_tls_errors_co), restarting
2019-04-18 20:22:39 TCP/UDP: Closing socket
2019-04-18 20:22:39 SIGUSR1[soft,tls-error] received, process restarting
2019-04-18 20:22:39 MANAGEMENT: >STATE:1555608159,RECONNECTING,tls-error,,,,,
2019-04-18 20:22:41 MANAGEMENT: CMD 'hold release'
2019-04-18 20:22:41 MANAGEMENT: CMD 'proxy NONE'
2019-04-18 20:22:41 MANAGEMENT: CMD 'bytecount 2'
2019-04-18 20:22:41 MANAGEMENT: CMD 'state on'
2019-04-18 20:22:42 Control Channel MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
2019-04-18 20:22:42 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
2019-04-18 20:22:42 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'
2019-04-18 20:22:42 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_SERVER,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
2019-04-18 20:22:42 TCP/UDP: Preserving recently used remote address: [AF_INET6]2a02:587:3f0a:df00:::1194
2019-04-18 20:22:42 Socket Buffers: R=[26280->26280] S=[16384->16384]
2019-04-18 20:22:42 Attempting to establish TCP connection with [AF_INET6]2a02:587:3f0a:df00:::1194 [nonblock]
2019-04-18 20:22:42 MANAGEMENT: >STATE:1555608162,TCP_CONNECT,,,,,,
2019-04-18 20:22:42 Could not protect VPN socket
2019-04-18 20:22:42 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2019-04-18 20:22:42 TCP: connect to [AF_INET6]2a02:587:3f0a:df00:::1194 failed: Network is unreachable
2019-04-18 20:22:42 SIGUSR1[connection failed(soft),init_instance] received, process restarting
2019-04-18 20:22:42 MANAGEMENT: >STATE:1555608162,RECONNECTING,init_instance,,,,,
2019-04-18 20:22:42 Waiting 2s seconds between connection attempt

Nikiforos
18-04-19, 20:34
Συνεχιζει να λεει πολλα για TLS, τι στο καλο γινεται ?
για ριξε μια ματια εδω λενε πολυ σχετικα πραγματα : https://forum.mikrotik.com/viewtopic.php?t=88372

τι να πω δεν ξερω, αν εχεις βγαλει το TLS απο τις ρυθμισεις των clients, αλλα και απο το conf file του android, τι αλλο να ειναι?
εγω τα πιστοποιητικα τα εχω κανει σε archlinux δεν κανω τετοια πραγματα στο mikrotik και δεν ξερω παραπανω να σου πω δυστυχως.
οτι λενε εκει στο επισημο forum.

jkarabas
18-04-19, 20:37
Συνεχιζει να λεει πολλα για TLS, τι στο καλο γινεται ?
για ριξε μια ματια εδω λενε πολυ σχετικα πραγματα : https://forum.mikrotik.com/viewtopic.php?t=88372

τι να πω δεν ξερω, αν εχεις βγαλει το TLS απο τις ρυθμισεις των clients, αλλα και απο το conf file του android, τι αλλο να ειναι?
εγω τα πιστοποιητικα τα εχω κανει σε archlinux δεν κανω τετοια πραγματα στο mikrotik και δεν ξερω παραπανω να σου πω δυστυχως.
οτι λενε εκει στο επισημο forum.

Έλα μου ντε? Εσύ τα έκανες μετά Import στο winbox?
Κάνω και uncheck require-client-certificate και πάλι δεν δουλεύει!!

ios46
18-04-19, 20:55
https://play.google.com/store/apps/details?id=de.blinkt.openvpn (non official Android openvpn client), απ όπου παραθέτεις και τα logs και δεν έχει θέμα με το certificate singing απ΄το mikrotik. Είσαι σίγουρος για certificates που έχεις φτιάξει (ca, server, client) και έχεις περάσει ότι χρειάζετε σε client (πχ δες και εδω: https://www.micu.eu/ovpn-server/) ?

"2019-04-18 20:22:33 Debug state info: CONNECTED EDGE to MOBILE gint.b-online.gr, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-04-18 20:22:39 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=GR, ST=Athens, L=KALLITHEA, O=UNIBIT, OU=UNIBIT, CN=CA
2019-04-18 20:22:39 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed"

Με το CA δείχνει να έχει πρόβλημα, μπορείς και με notepad++ να κάνεις ένα diff άν τα αρχεία είναι ίδια πχ ?

Nikiforos
18-04-19, 20:59
https://play.google.com/store/apps/details?id=de.blinkt.openvpn (non official Android openvpn client)

αναποδα τα ειπαμε αυτο ειναι το official https://play.google.com/store/apps/details?id=net.openvpn.openvpn οταν το ελεγα εγω οτι ειναι αυτο, καποιος ελεγε το αλλο....

- - - Updated - - -


Έλα μου ντε? Εσύ τα έκανες μετά Import στο winbox?
Κάνω και uncheck require-client-certificate και πάλι δεν δουλεύει!!

ναι μετα τα εκανα import, τι στο καλο γινεται!
δεν δουλευες το openvpn σε αλλο μηχανημα εκτος android ε?

@ ADSLgr.com All rights reserved.