Εδώ παρουσιάζω έναν οδηγό για εγκατάσταση OpenVPN Server στο ΜΤ και χρήση Android Client.
Ο οδηγός αυτός είναι συνέχεια του προηγούμενου βασικού οδηγού (http://www.adslgr.com/forum/threads/858116-Mikrotik-%CF%83%CE%B5-%CF%81%CF%8C%CE%BB%CE%BF-PPPoE-client-%CE%BC%CE%B5-modem-%CF%83%CE%B5-bridge-mode) εγκατάστασης.
Θα χρειαστούμε ένα ΗΥ με Linux.
Είναι εύκολο να εγκατασταθεί.
Προσωπικά χρησιμοποίησα VirtualBox με Ubuntu Server.

Δημιουργούμε τα πιστοποιητικά στο Linux (οι εντολές δίνονται με δικαιώματα root σαν su ή με sudo μπροστά):
*** Εγκατάσταση openvpv και παραμετροποίηση default τιμών (για να μην τα δίνουμε συνέχεια)

apt-get install openvpn bridge-utils
cd /etc/openvpn/
mkdir easy-rsa
cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
cd /etc/openvpn/easy-rsa/
pico vars
export KEY_COUNTRY="GR"
export KEY_PROVINCE="TH"
export KEY_CITY="Thessaloniki"
export KEY_ORG="HomeMikrotik"
export KEY_EMAIL="my@email.com"

*** Δημιουργία master Certificate Authority (CA) certificate & key

source vars
./clean-all
./build-ca
Common Name: HomeMikrotikCA

*** Δημιουργία certificate & key for server

./build-key-server server
Common Name: server
Sign the certificate: y
1 out of 1 certificate requests certified, commit: y

*** Δημιουργία certificates & key για 1 client

./build-key client1
Common Name: client1
Sign the certificate: y
1 out of 1 certificate requests certified, commit: y

Αντιγράφουμε στον ΗΥ τα αρχεία:

ca.crt
server.crt
server.key
client1.crt
client1.key
Η διαδικασία μπορεί να γίνει με έναν ftp server που εύκολα μπορούμε να εγκαταστήσουμε.

Στο ΜΤ κάνουμε τα παρακάτω:
*** Αντιγράφουμε στο ΜΤ μέσω winbox τα αρχεία (στο files του winbox):

ca.crt
server.crt
server.key
*** Εγκαθιστούμε τα πιστοποιητικά:

System > Certificates > Certificates > Import
ca.crt
ca.key
server.crt
server.key
*** Δημιουργούμε περιοχή διευθύνσεων τις οποίες θα δίνουμε στους openvpn client

IP > Pool > (+)
Name: openvpnpool1
Address: 192.168.5.110-192.168.5.111
*** Δημιουργία profile (στο .36 έχω DNS server εξωτερικό με ads block)

PPP > Profiles > (+)
Name: openvpnprofile
Local Address: openvpnpool1
Remote Address: openvpnpool1
DNS Server: 192.168.5.36
*** Δημιουργία χρήστη για σύνδεση (usr/psw)

PPP > Secrets > (+)
Name: myusr
Password: mypsw
Service: ovpn
Profile: openvpnprofile
*** Ενεργοποίηση OpenVPN Server

PPP > Interface > OVPN Server (button)
Enabled
Mode: ethernet
Default Profile: openvpnprofile
Certificate: cert_2 (server.crt/key)
Require Client Certificate
Auth: sha1
Cipher: aes256
*** Ενεργοποίηση Dynamic DNS για πρόσβαση από έξω

IP > Cloud
Enabled

Παραμετροποιούμε το παρακάτω αρχείο (client.ovpn) βάζοντας την διεύθυνση από το cloud στη θέση του remote:

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
# #
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files. #
# #
# On Windows, you might want to rename this #
# file so it has a .ovpn extension #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Windows adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto tcp
;proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote 000000000000.sn.mynetname.net 1194
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
;resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
;persist-key
;persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert client1.crt
key client1.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
;ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
tls-client

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher AES-256-CBC
auth SHA1
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
;comp-lzo

# Set log file verbosity.
;verb 3

# Silence repeating messages
;mute 20

auth-user-pass
redirect-gateway

Πάμε στο Android.
Αντιγράφουμε τα αρχεία στον root κατάλογο:

ca.crt
client1.crt
client1.key
Στο ίδιο σημείο αντιγράφουμε και το αρχείο client.ovpn που φτιάξαμε παραπάνω.
Εγκαθιστούμε την εφαρμογή OpenVPN Connect και κάνουμε τα παρακάτω:

*** Ρυθμίσεις για OpenVPN Connect
Preferences:
Battery Saver (X)
Seamless Tunnel (X)
Reconnect on reboot (X)
Auto Keyboard
VPN Protocol: TCP
Connection Timeout: 1 min
Compression: No
Force AES-CBC ciphersuites (X)
DNS Fallback (X)
Shortcut Minimize
Notifications
Import: Import Profile from SD card
client.ovpn

Αν όλα πήγαν καλά θα πρέπει να συνδεόμαστε κανονικά στον OpenVPN Server και να δρομολογείται όλη η κίνηση από την ΙΡ του ΜΤ.
Για να το ελέγξουμε και να είμαστε 100% σίγουροι...
Συνδεόμαστε σε κάποιο ασύρματο δίκτυο με την android συσκευή (όχι αυτό του ΜΤ).
Συνδεόμαστε με το OpenVPN Connect.
Ανοίγουμε μία από τις παρακάτω σελίδες:
http://www.whatismyip.com/
http://whatismyipaddress.com/
http://www.showmyip.gr/
http://www.whatsmyip.org/
Θα πρέπει να βλέπουμε για διεύθυνση την ΙΡ του ΜΤ και όχι αυτή του ασύρματου δικτύου που συνδεθήκαμε.

Μπράβο πολύ καλός οδηγός :oneup:
θα κάνεις και ΜΤ ovpn client μήπως ή δεν σε ενδιαφέρει κάτι τέτοιο?

Μπράβο πολύ καλός οδηγός :oneup:
θα κάνεις και ΜΤ ovpn client μήπως ή δεν σε ενδιαφέρει κάτι τέτοιο?

Νικηφόρε δυστυχώς δεν έχω άλλο ΜΤ για να το βάλω να παίξει από την άλλη πλευρά.

Θεωρώ ότι η χρήση username/password για την σύνδεση είναι πλεονασμός.
Άσε που κάποιες φορές είναι σπαστικό, διότι αν χαθεί η επικοινωνία για οποιοδήποτε λόγο, πρέπει να τα πληκτρολογήσεις πάλι.
Μεγαλύτερη ασφάλεια (https://openvpn.net/index.php/open-source/documentation/howto.html#security) επιτυγχάνουμε με την εντολή tls-auth και τη χρήση του επιπλέον κλειδιού ta.key.

Καλημέρα, αυτά που λέει ο jkoukos είχα κάνει εγώ. Βασικά με είχε βοηθήσει ένα παλικάρι από το ασύρματο δίκτυο γιατί δεν καταλάβαινα τίποτα. Αν βρω χρόνο να το στήσω και το δικό μου μήπως να συμπληρώσουμε τον οδηγό με το MT client OVPN ή αν κάποιος άλλος το κάνει πριν από εμένα.
Μπράβο deniSun για τον οδηγό όχι μόνο αυτόν αλλά και όλους τους άλλους. Γλιτώνεις κόσμο απο ψάξιμο πολύ! :oneup:

Εβαλα τα αρχεία που είχα από τότε που είχα openvpn, στο android είχα αντί τα άλλα για κλειδιά κτλ ένα που λέει android.secret όμως δεν το παίρνει με τπτ το openvpn connect, το ovpn οκ το πηρε, τα αλλα που βαζεις στην καρτα μνημης μετά τα κάνεις import ή τα βλεπει αυτοματα?
Με το openvpn settings δεν υπάρχει προβλημα παντως, ομως με αυτο πρεπει εκτος να εχουμε root (εγω ειπαμε δεν εχω προβλημα με αυτο) να βαλουμε το openvpn installer γιατι θελει να βαλει ενα binary στο /system καπου και χρειαζεται και ενα tun module.
https://play.google.com/store/apps/details?id=de.schaeuffelhut.android.openvpn.installer&hl=el
https://play.google.com/store/apps/details?id=de.schaeuffelhut.android.openvpn&hl=el
θα προτιμήσω αυτά γιατί παίζουν με το έτοιμο setup που έχω ήδη.
Επίσης δίνω σταθερές ip's όχι δλδ μέσω DHCP server και ip pool. Δλδ το δικό μου αρχείο στο android είναι έτσι :


# openvpn configuration for Android
# phone <-- internet --> nikiforos.awmn <--> AWMN ...
dev tunAndroid
remote εδώ έχω το όνομα που έχω από το mikrotik cloud
port 1722 # default port is 1194; may already be taken
ifconfig 10.X.X.2 10.X.X.1 # .2=android .1=nikiforos.awmn
# add route for AWMN
route 10.0.0.0 255.0.0.0.0 # network netmask
# our pre-shared static key
secret android.secret
#
keepalive 10 60
verb 1

Eτσι στο κινητό ή tablet έχω πρόσβαση σε όλο το ασύρματο δίκτυο και φυσικά και στο σπίτι μου ή στο εξοχικό αφού όλα είναι συνδεδεμένα μαζί.
Πάντως όταν είχα iphone με άλλο πρόγραμμα για client gizmo vpn νομίζω, τότε το είχα με τα άλλα αρχεια αντί το .secret.

Θεωρώ ότι η χρήση username/password για την σύνδεση είναι πλεονασμός.
Άσε που κάποιες φορές είναι σπαστικό, διότι αν χαθεί η επικοινωνία για οποιοδήποτε λόγο, πρέπει να τα πληκτρολογήσεις πάλι.
Μεγαλύτερη ασφάλεια (https://openvpn.net/index.php/open-source/documentation/howto.html#security) επιτυγχάνουμε με την εντολή tls-auth και τη χρήση του επιπλέον κλειδιού ta.key.

Αφού υπάρχει η επιλογή για αποθήκευση του κωδικού στο Openvpn connect.
Αν χαθεί η σύνδεση, συνδέεται ξανά χωρίς να σου ζητήσει κωδικό.

Σχετικά με την σταθερότητα της σύνδεσης...
Έκανα πολλές δοκιμές και είδα ότι πολλά στοιχεία του client.ovpn δημιουργούσαν ασταθή σύνδεση.
Δηλαδή... η σύνδεση χανόταν κάθε λίγο και λιγάκι.
Κατέληξα στο παραπάνω αρχείο το οποίο φαίνεται να κρατάει την σύνδεση συνέχεια ανοικτή (μέχρι 15-20 λεπτά το δοκίμασα χωρίς κανένα πρόβλημα).

Όλα αυτά επαναλαμβάνω ισχύουν για το συγκεκριμένο στήσιμο.
Δηλαδή αν ο client είναι διαφορετικός πιθανόν να ισχύουν και οι default ρυθμίσεις του client.ovpn.

- - - Updated - - -


Καλημέρα, αυτά που λέει ο jkoukos είχα κάνει εγώ. Βασικά με είχε βοηθήσει ένα παλικάρι από το ασύρματο δίκτυο γιατί δεν καταλάβαινα τίποτα. Αν βρω χρόνο να το στήσω και το δικό μου μήπως να συμπληρώσουμε τον οδηγό με το MT client OVPN ή αν κάποιος άλλος το κάνει πριν από εμένα.
Μπράβο deniSun για τον οδηγό όχι μόνο αυτόν αλλά και όλους τους άλλους. Γλιτώνεις κόσμο απο ψάξιμο πολύ! :oneup:

Εβαλα τα αρχεία που είχα από τότε που είχα openvpn, στο android είχα αντί τα άλλα για κλειδιά κτλ ένα που λέει android.secret όμως δεν το παίρνει με τπτ το openvpn connect, το ovpn οκ το πηρε, τα αλλα που βαζεις στην καρτα μνημης μετά τα κάνεις import ή τα βλεπει αυτοματα?
Με το openvpn settings δεν υπάρχει προβλημα παντως, ομως με αυτο πρεπει εκτος να εχουμε root (εγω ειπαμε δεν εχω προβλημα με αυτο) να βαλουμε το openvpn installer γιατι θελει να βαλει ενα binary στο /system καπου και χρειαζεται και ενα tun module.
https://play.google.com/store/apps/details?id=de.schaeuffelhut.android.openvpn.installer&hl=el
https://play.google.com/store/apps/details?id=de.schaeuffelhut.android.openvpn&hl=el
θα προτιμήσω αυτά γιατί παίζουν με το έτοιμο setup που έχω ήδη.
Επίσης δίνω σταθερές ip's όχι δλδ μέσω DHCP server και ip pool. Δλδ το δικό μου αρχείο στο android είναι έτσι :


# openvpn configuration for Android
# phone <-- internet --> nikiforos.awmn <--> AWMN ...
dev tunAndroid
remote εδώ έχω το όνομα που έχω από το mikrotik cloud
port 1722 # default port is 1194; may already be taken
ifconfig 10.X.X.2 10.X.X.1 # .2=android .1=nikiforos.awmn
# add route for AWMN
route 10.0.0.0 255.0.0.0.0 # network netmask
# our pre-shared static key
secret android.secret
#
keepalive 10 60
verb 1

Eτσι στο κινητό ή tablet έχω πρόσβαση σε όλο το ασύρματο δίκτυο και φυσικά και στο σπίτι μου ή στο εξοχικό αφού όλα είναι συνδεδεμένα μαζί.
Πάντως όταν είχα iphone με άλλο πρόγραμμα για client gizmo vpn νομίζω, τότε το είχα με τα άλλα αρχεια αντί το .secret.

Αν εννοείς τα certificate που έφτιαξες για το android... αυτά δεν χρειάζεται να κάνεις install στο android.
Τα δηλώνεις με τα ονόματά τους στο client.ovpn:

ca ca.crt
cert client1.crt
key client1.key

Ναι σωστά μπερδεύτηκα με το δικό σου αρχείο, εγώ το έχω αλλιώς.
Δοκίμασα όμως το δικό μου αρχείο δλδ αυτό όπως λέω από πάνω και δεν παίζει με το openvpn connect, ενω παίζει με το openvpn settings.
Δεν θέλει με τπτ να είναι ενα αρχειο .secret δλδ. Anyway δεν με πειράζει απλά επειδή τα εχω ετοιμα ήδη.
edit : Τελικά δεν μπορώ να κάνω δουλειά με τα αρχεία που είχα, επειδή είναι από το openwrt έχει απειρα κλειδια κτλ και δεν βγαζω ακρη και φυσικα δεν παιζουν σωστά.
Ξηλωμα όλα να τα κανω με τον τροπο σου μπας και παιξει γιατι αρχιζω να συφυλιαζομαι πρωι πρωι....:twisted:
για οσους εχουν και ios https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

ειναι καπως αλλιως στο Arch : https://wiki.archlinux.org/index.php/Create_a_Public_Key_Infrastructure_Using_the_easy-rsa_Scripts
νομίζω πολλα πραγματα παραπανω στο arch ελπιζω να μην εχω προβλημα μετα....
debian (testing) εχω μονο στο flybook αλλα βαριεμαι να το ανοιγω τωρα....

Ερώτηση : στο Mikrotik server εχεις ενα αρχειο ca.key αυτο που προεκυψε? εμενα δεν εχει....α εχει αλλα δεν το εχεις αναφερει αρχικα.
Το λες να το κανουμε import στο mikrotik, αλλα στην αρχη δεν το εχεις γραψει να το κανουμε αντιγραφη στον υπολογιστη αλλα και στο mikrotik μετα.
Tα εκανα ολα και φυσικα δεν συνδεεται....το περιμενα δλδ, και τωρα πως θα βρω τι φταει? στα logs στο MT λεει TCP connection established from ip..... αλλα τπτ δεν βλεπω να κανει και στο κινητο ολο reconnections....καμια ιδεα?
NAT δεν χρειαζεται ? και παλι δεν συνδεται.

sorry δεν με αφήνει να κάνω edit.

http://wiki.mikrotik.com/wiki/OpenVPN_Configuration_Step_by_Step
Τα κλειδιά μπορούσαν να γίνουν και από κονσόλα ΜΤ.
Εδω δειχνει client mikrotik βεβαια και επισης οτι θελουμε ΝΑΤ masquerate.
Οπως και να εχει εμενα αυτο με το android δεν μου συνδεεται με τπτ. Δειχνει σαν κατι να το κοβει, εχω κανει αλλαγες, δοκιμασα ΝΑΤ, τα παντα, τιποτα...μου εχει σπασει τα νευρα το ΜΤ.

Τον έχω δοκιμάσει τον συγκεκριμένο οδηγό.
Αν παρατηρήσεις λέει ότι τα κλειδιά που εγκαθιστάς πρέπει να πιστοποιηθούν μέσω CaCerts.
Η πιστοποίηση μέσω CaCerts γίνεται κατόπιν αποστολής email επιβεβαίωσης σε κάποιο λογαριασμό του τύπου root@mydomain.com κλπ.
Που σημαίνει ότι πρέπει να έχεις κάποιον email server στο δίτκυό σου κλπ.
Άρα μου φάνηκε πολύ πιο εύκολο να στήσω ένα linuxάκι για να φτιάξω τα πιστοποιητικά από το να στήνω email server, να κάνω port forward κλπ για μια πιστοποίηση από το CaCerts.

ΝΑΤ και οποιαδήποτε άλλη δήλωση στο fw δεν χρειάζεσαι εφόσον δεν χρησιμοποιείς διαφορετικό subnet.
Ο τύπος στον οδηγό που παραθέτεις χρησιμοποιεί άλλο subnet για το lan και άλλο για τους ovpn clients.
Εγώ χρησιμοποιώ το 192.168.5.X και για το εσωτερικό δίκτυο και για τους ovpn clients.

ναι κατάλαβα καλά λες, εξάλου και εμένα με βόλεψε μια χαρά το Arch.
Δεν ξέρω τι κάνω λάθος δεν συνδέεται με τίποτα, μου έχει σπάσει τα νεύρα, ούτε κάτι ανοίγει ούτε και ip παίρνω. Εχεις καμιά ιδέα?
Στο vpn pptp πάντως δεν παίζει χωρίς ΝΑΤ, ίσως όμως να έχει να κάνει και το τι ips έχεις, επειδή εχω από το awmn ειναι διαφορετικα τα πραγματα εδω, εγω θελω υποχρεωτικα ΝΑΤ, αλλα και που βαζω δεν αλλαζει κατι παλι τα ιδια. Δεν φτανουν πακετα καν εκει. Οι μετρητες ειναι 0.
Το tutorial αυτο της ΜΤ ειναι αψογο για να δωσω ιντερνετ στο εξοχικο που εκει εχω αλλο subnet.
Eβαλα και απο το εσωτερικο μου δικτυο παλι τα ιδια....δεν φταιει αυτο.
Γραφει στα logs στο openvpn connect πολλα errros κατι με SSL και transport errors στο ονομα του MT cloud. Eκει το κοβει αντε βρες το γιατι!

ναι κατάλαβα καλά λες, εξάλου και εμένα με βόλεψε μια χαρά το Arch.
Δεν ξέρω τι κάνω λάθος δεν συνδέεται με τίποτα, μου έχει σπάσει τα νεύρα, ούτε κάτι ανοίγει ούτε και ip παίρνω. Εχεις καμιά ιδέα?
Στο vpn pptp πάντως δεν παίζει χωρίς ΝΑΤ, ίσως όμως να έχει να κάνει και το τι ips έχεις, επειδή εχω από το awmn ειναι διαφορετικα τα πραγματα εδω, εγω θελω υποχρεωτικα ΝΑΤ, αλλα και που βαζω δεν αλλαζει κατι παλι τα ιδια. Δεν φτανουν πακετα καν εκει. Οι μετρητες ειναι 0.
Το tutorial αυτο της ΜΤ ειναι αψογο για να δωσω ιντερνετ στο εξοχικο που εκει εχω αλλο subnet.

Κάνε ένα update στο cloud μήπως δεν το έχεις ενεργοποιημένο.
Έλεγξε την διεύθυνση στο client.ovpn μήπως έχεις λάθος την ΙΡ

Τα κοιταξα ειναι και ενεργο γιατι το vpn pptp πως παιζει κανονικα?
μπηκα στο no-ip εχασα το ενα μου host εληξε φαινεται, το ενα ζει ακομα θα δοκιμασω με αυτο.
οχι κανει τα ιδια!
μηπως φταινε τπτ rules στο FW? εχω απειρα για να κοβει hackers κτλ, γιατι βλεπω στα mt logs προσπαθει σε κατι πορτες πανω απο 50000

Τα κοιταξα ειναι και ενεργο γιατι το vpn pptp πως παιζει κανονικα?
μπηκα στο no-ip εχασα το ενα μου host εληξε φαινεται, το ενα ζει ακομα θα δοκιμασω με αυτο.
οχι κανει τα ιδια!

To log από το openvpn connect τι σου λέει;

απειρα λεει τι να γραψω transport error λει βασικα στο ταδε host, κατι το κοβει, οπως ειπα απο πανω προσπαθει σε κατι πορτες πανω απο 56000! γιατι αυτο? μαλλον το mt firewall το κοβει, παντως δεν περναει μεσα γιατι ουτε καν δειχνει να προσπαθει να παρει ip κατι.
https://forums.openvpn.net/topic12069.html
https://forums.openvpn.net/topic15760.html
αυτα που λεει στα παραπανω ειναι.
Να πω πως δοκίμασα και το openvpn settings στο android και κανει τα ιδια!

απειρα λεει τι να γραψω transport error λει βασικα στο ταδε host, κατι το κοβει, οπως ειπα απο πανω προσπαθει σε κατι πορτες πανω απο 56000! γιατι αυτο? μαλλον το mt firewall το κοβει, παντως δεν περναει μεσα γιατι ουτε καν δειχνει να προσπαθει να παρει ip κατι.
https://forums.openvpn.net/topic12069.html
https://forums.openvpn.net/topic15760.html
αυτα που λεει στα παραπανω ειναι.
Να πω πως δοκίμασα και το openvpn settings στο android και κανει τα ιδια!

Έχεις κάνει τις ρυθμίσεις στο openvpn connect όπως τις γράφω;
Στο fw έχεις τίποτε κανόνες παραπάνω από τους δικούς μου;
Με αυτούς που έχω στον οδηγό δεν υπάρχει κανένα πρόβλημα.
Αν είναι θέμα fw, δες ποιες τιμές μεταβάλονται κατά την σύνδεση.
Δηλαδή βάλε το openvpn connect να προσπαθεί να συνδεθεί και κοίταζε τις τιμές των εγγραφών στο fw να δεις ποια μεταβάλλεται.

Μάλλον δεν είναι ίδιοι μερικοί είναι από κάποια tutorials νομίζω, σου δειχνω screenshots απο τα logs και απο αυτους αμα καταλαβεις κατι.
Καταρχην η ip που παιρνω απο την cosmote γιατι δειχνει να προσπαθει να συνδεθει απο πορτες πανω απο 56000?
εννοειτε οτι η πορτα 1722 ειναι ανοιχτη στο NAT στην ip του 711.
Τα εκανα disable ΟΛΑ τα filter rules και κανει το ιδιο!!!! θα τρελαθω.....:twisted:

Για κάνε ένα disable όλους τους κανόνες του fw και πες μου αν συνδέεσαι.

Για κάνε ένα disable όλους τους κανόνες του fw και πες μου αν συνδέεσαι.

το εκανα edit απο πανω, δυστυχως κανει τα ιδια! :twisted:
στο .ovpn αρχειο θελει κατι εκει που λεει user-pass? μηπως πρεπει να δηλωθουν εκει?

το εκανα edit απο πανω, δυστυχως κανει τα ιδια! :twisted:

Υπάρχει περίπτωση να σου κόβει κάτι η cosmote.
Μπορείς να συνδεθείς στο εσωτερικό ασύρματο και να κάνεις τις δοκιμές;
Πες μου τι σου κάνει στην περίπτωση αυτή.

πως θα δω αμα δουλευει αμα ειμαι με το δικο μου wifi?
και πως το vpn pptp παιζει κανονικα τοτε?
στο αρχειο ovpn εδω βαζω κατι? auth-user-pass

πως θα δω αμα δουλευει αμα ειμαι με το δικο μου wifi?
και πως το vpn pptp παιζει κανονικα τοτε?
στο αρχειο ovpn εδω βαζω κατι? auth-user-pass

Μπορείς να δηλώσεις καρφωτά τα user/pass στο αρχείο αλλά δεν αποτελεί ασφαλής λύση.
Μπορείς να δώσεις δηλαδή:

auth-user-pass myusr mypsw
Δηλώνοντας μόνο

auth-user-pass
θα σου εμφανίζεται η επιλογή για να εισάγεις μόνος σου τα usr/psw.

Μια χαρά μπορείς να συνδεθείς και από το εσωτερικό σου δίκτυο με ovpn.
Άχρηστο ίσως αλλά μπορείς.
Κάνε δοκιμή και πες μου τι γράφει στο log του ΜΤ.

Τιποτα ακριβως τα ιδια κανει, τωρα γραφει την ip που εχω απο το wifi στα logs του MT, λεει established αλλα τιποτα δεν κανει προσπαθεια να παρει ip.
και τα ιδια errors και στο προγραμμα επισης οπως σε εκεινα τα forums που ειχα γραψει παραπανω.

Τιποτα ακριβως τα ιδια κανει, τωρα γραφει την ip που εχω απο το wifi στα logs του MT, λεει established αλλα τιποτα δεν κανει προσπαθεια να παρει ip.
και τα ιδια errors και στο προγραμμα επισης οπως σε εκεινα τα forums που ειχα γραψει παραπανω.

Μάλλον έχεις κάποιο λάθος στις ρυθμίσεις του ovpn connect ή/και στο αρχείο client.ovpn.
Έλεγξε ξανά τις ρυθμίσεις σου.

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
# #
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files. #
# #
# On Windows, you might want to rename this #
# file so it has a .ovpn extension #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Windows adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto tcp
;proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote XXXXXXX.sn.mynetname.net 1722
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
;resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
;persist-key
;persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert android.crt
key android.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
;ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
tls-client

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher AES-256-CBC
auth SHA1
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
;comp-lzo

# Set log file verbosity.
;verb 3

# Silence repeating messages
;mute 20

auth-user-pass
redirect-gateway


και το προγραμμα το τριπλοτσεκαρα οπως το εχεις πει ειναι, αλλα και στο openvpn settings τα ιδια ακριβως κανει.

1722 γιατί;
Μήπως δεν μπορεί να παίξει το ovpn εκεί;
Για βάλε την default 1194

οταν ειχα openvpn σε εκεινη επαιζε, να δοκιμασω αλλα δε νομιζω να αλλαξει κατι.
Το εκανα παλι τα ιδια κανει.

οταν ειχα openvpn σε εκεινη επαιζε, να δοκιμασω αλλα δε νομιζω να αλλαξει κατι.

Κάνε μια δοκιμή.
Ποτέ δεν ξέρεις.

Όποια θέλεις μπορείς να βάλεις, αρκεί να έχεις κάνει το κατάλληλο port forwarding.
Εγώ έχω την 11194.

Όποια θέλεις μπορείς να βάλεις, αρκεί να έχεις κάνει το κατάλληλο port forwarding.
Εγώ έχω την 11194.

Δεν χρειάζεται να κάνεις port forward.
Στο port forward προωθείς πακέτα που έρχονται στο ΜΤ σε κάποια άλλη ΙΡ/άλλον ΗΥ.
Από την στιγμή που ο ovpn server είναι στο ΜΤ τι να το κάνεις το port forward.
Δεν χρειάζεται να κάνεις port forward.

Δεν εχει καμια σημασια η πορτα αμα ανοιχτει στο ΝΑΤ, ειχα openvpn server σε openwrt 3 μαζι ανοιχτους σε 3 διαφορετικες πορτες ο ενας σε TCP και 2 σε UDP.
https://forums.openvpn.net/topic12069.html
αυτα που λεει εδω λεει στο προγραμμα ΟΤΙ και να κανω.
Εχεις δικιο οτι δεν θελει, γιατι εκλεισα του PPTP VPN και παιζει και παλι!!!! ναι εχεις δικιο ειναι επειδη ειναι στο ιδιο μηχανημα, συνηθειο βλεπεις τα ειχα αλλου καποτε.
Μισο να κανω και ενα reboot στο 711 μπας και φρακαρε. Tα ίδια κάνει, δεν ξερω τι αλλο μπορει να φταιει εκανα τα παντα, και στα forums κανεις δεν δινει λυση που να εχει δουλεψει σε αυτους που ειχαν το προβλημα.
Εχω φαει ωρες και δεν καταφερει τπτ. Θα δοκιμασω και μια απο τα ταμπλετοτηλεφωνο 7" να δω αν θα παιξει απο εκει και ενημερωνω.
Μηπως επειδη ειχα βαλει πρωτα το openvpn installer (αυτό το θέλει το openvpn settings) και βαζει binary αρχειο στο /system μετα χαλασε τπτ και κανει νουμερα?

Ούτε ΝΑΤ χρειάζεσαι αν δεν έχεις διαφορετικό subnet.

Σε εμενα χρειαζεται, εχει να κανει με τις ips του awmn που να εξηγω τωρα.....επειδη και το εσωτερικο μου δικτυο παιζει με τετοιες ips εχω ενα ευρος να το πω ετσι, οταν ξεπερνας αυτο θελεις NAT. Και οτι αλλο VPN εχω κανει για να παιξει θελει NAT μιλαμε για masqerade παντα. Αν ηταν μεσα στο εσωτερικο δικτυο δεν θα ηθελε τοτε. Δοκιμασα και απο εκει και παλι εκανε τα ιδια, δεν φταιει αυτο.
Δυστυχως και απο το tablet κανει ακριβως τα ιδια!

http://wiki.mikrotik.com/wiki/OpenVPN
εδω μας τα λενε αλλιως, ειδικα στο firewall που εχει και rule.

Επειδή κάθε ένας μπορεί να έχει διαφορετικό στήσιμο μπάντα αυτά που γράφω αναφέρονται στους οδηγούς που έχω ποστάρει.
Εννοείται ότι αν κάποιος έχει κάτι διαφορετικό μπορεί αν χρειάζεται κάτι περισσότερο ή κάτι λιγότερο.

Καλα αυτο εννοειτε εγω δεν το λεω γιαυτο, το θεμα ειναι οτι εμενα δειχνει κατι να το κοβει και δεν ξερω τι ειναι.
Εβαλα αυτο :


/ip firewall filter
add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1722 protocol=tcp

τωρα αυτο μετραει bytes αλλα παλι ip δεν παιρνει και δεν συνδεεται επισης.
Στα logs του προγραμματος εκτος εκεινα που ειπαμε πριν λεει επισης :


Client exception in transport_recv_excode:PolarSSL:SSL read error:SSL-A fatal alert message was received from our peer.

http://en.wikipedia.org/wiki/PolarSSL
Kαλα δεν το βλεπω ποτε να παιζει....:mad:

Αν ήταν μόνο από έξω θα μπορούσα να υποθέσω οτιδήποτε.
Το περίεργο είναι ότι σου το κάνει και από το εσωτερικό ασύρματο δίκτυο και με κλειστό το fw.

αυτο με το PolarSSL μου φαινεται λιγο περιεργο δες τι λεει στο wikipedia :


Algorithms

PolarSSL supports a number of different cryptographic algorithms:

Ciphers
AES, Camellia, DES, RC4, RC5, Triple DES, XTEA, Blowfish
Cryptographic hash functions
MD5, MD2, MD4, SHA-1, SHA-2
Public-key cryptography
RSA, Diffie-Hellman key exchange, Elliptic curve cryptography (ECC), Elliptic curve Diffie–Hellman (ECDH), Elliptic Curve DSA (ECDSA)


Λες να εχει σχεση με τα κλειδια κατι?

Τέτοιου είδους προβλήματα είχα και είχαν σχέση με το configuration του openvpn connect.
Με τα settings που έβαλα λύθηκαν τα προβλήματα αυτά.

Τι εννοεις οτι στα εκανε και σενα με τα ιδια errors? για ποια settings λες? δεν εχει και πολλα για να κανεις λαθος! τα εχω τσεκαρει ποσες φορες, αφου και στο tablet τα ιδια κανει.
Ρυθμισεις δοκιμασα τα παντα τα ιδια κανει οτι και να βαλω.

Αυτά:

*** Ρυθμίσεις για OpenVPN Connect
Preferences:
Battery Saver (X)
Seamless Tunnel (X)
Reconnect on reboot (X)
Auto Keyboard
VPN Protocol: TCP
Connection Timeout: 1 min
Compression: No
Force AES-CBC ciphersuites (X)
DNS Fallback (X)
Shortcut Minimize
Notifications
Import: Import Profile from SD card
client.ovpn

Αυτα λεω και εγω τα εχω τσεκαρει 10 φορες! εχω παιξει και με αλλες ρυθμισεις, τα εβαλα και στο tablet παλι τα ιδια κανει, αλλα και το προγραμμα στο κινητο το openvpn settings και αυτο τα ιδια. Κατι αλλο φταιει.
Αραγες μπορω να δουλεψω με το ιδιο ovpn server να δωσω ιντερνετ στο ΜΤ στο εξοχικο ή θα θελει αλλο?

Το περίεργο είναι ότι σου βγάζει άλλη πόρτα.
Μάλλον κάτι τρέχει με το στήσιμο που έχεις.
Υποθέτω κάτι με τα ΝΑΤ σου και τα masquerade.

Εβαλα τα κλειδια απο το android στο MT 951 στο εξοχικο συνδεθηκε κανονικα! αρα δεν ειναι θεμα κλειδιων! και την αλλη φορα οταν ειχα κανει λαθος το ελεγε για τα κλειδια.
Στο εξοχικο ενω το συνδεσα δεν ειχα ιντερνετ, τελικα εκανα στο 711 στην Αθηνα δλδ ενα masqerade οπως ειχα πριν για το pptp, εβαλα mode : ip αντι ethernet στον server και αυτοματα στο 951 στο εξοχικο πηρε και το route ολα τα 0.0.0.0/0 να εχουν gateway την ip που εχω στον ovpn server και παιζει μια χαρα!!!!
Αυριο θα δοκιμασω απο την δουλεια και windows client openvpn.
Aν θες να σου στειλω σε κανα email κατι screenshots απο το mt client τι χρειαζεται να κανουμε ενα σχετικο tutorial, γιατι αμα κανω εγω θα ειναι μισο αφου ο server ηταν δικος σου. Αν και εκεινη η σελιδα που εδειξα ποιο πριν στο MT wiki ακριβως ετσι ειναι.

Ερώτηση:
Εχουμε ένα MT που θέλουμε να είναι ovpn server και οι clients κινητά Android ή και Linuxοειδή pc ή laptops.
Θα μπορούσε να υλοποιηθεί χωρίς RSA keys να γίνεται δηλαδή η πιστοποίηση χρηστων με user-pass?

Αν ειναι να το κανεις αυτο που λες τοτε θα παιξεις με PPTP VPN, ποιος ο λογος να θες openvpn? ασε που νομιζω πως ειναι αδυνατον, γιατι το openvpn ετσι δουλευει με πιστοποιητικα.
Εγω εχω ετοιμους pptp vpn απλα θελω περισσοτερη ασφαλεια, αλλα και να μαθω κατι παραπανω, αλλιως δεν θα ασχολιομουνα.
Ερωτηση : γινεται με τον ιδιο server να δωσουμε τα κλειδια σε περισσοτερους πελατες και να συνδεονται ολοι στον ιδιο? το ξερω κανονικα πρεπει να κανουμε αλλα κλειδια....αλλα μιλαμε για δικα μας μηχανηματα.

Νικηφόρε το ανέφερα σε θεωρητική βάση (αν μπορεί να υλοποιηθεί κάτι τέτοιο δηλαδή για να μην μπαίνουμε στην διαδικασία να αντιγράφουμε τα κλειδιά).
Με το ovpn ασχολούμαι εδώ και 6-7 χρόνια περίπου λόγω του ότι έχω remote access στις βάσεις δεδομένων στην δουλειά μου (σύνδεση και queries δρομολογούνται απο ovpn).
Με ενδιαφέρει περισσότερο μία σύνδεση user-pass στον server απο Android κινητά.

Δε νομιζω πως ειναι εφικτο με openvpn, λογικα θα πρεπει να κανεις εναν pptp vpn server για να θες μονο username/pass.
Eδωσα στο ip-pool περισσοτερο ευρος ips, εβαλα πχ 10.0.0.248/29.

Εβαλα αυτο το προγραμμα και το ξηλωσα το αλλο https://play.google.com/store/apps/details?id=de.blinkt.openvpn&hl=el
δειχνει πολυ καλυτερο με περισσοτερα πραγματα και ΝΑΙ παιζει!!!!!
μαλιστα με τον ιδιο OVPN server στο 711 στελνω και ιντερνετ στο εξοχικο στο 951 αλλα και εχω το εσωτερικο μου δικτυο στο κινητο! ΤΕΛΕΙΑ!!!
στο αρχειο εκλεισα το TLS CLIENT εφοσον δεν εχουμε τετοιο κλειδι, μου εβγαζε TLS error το παραπανω προγραμμα δλδ:


# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
;tls-client

Νικηφόρε το ανέφερα σε θεωρητική βάση (αν μπορεί να υλοποιηθεί κάτι τέτοιο δηλαδή για να μην μπαίνουμε στην διαδικασία να αντιγράφουμε τα κλειδιά).
Με το ovpn ασχολούμαι εδώ και 6-7 χρόνια περίπου λόγω του ότι έχω remote access στις βάσεις δεδομένων στην δουλειά μου (σύνδεση και queries δρομολογούνται απο ovpn).
Με ενδιαφέρει περισσότερο μία σύνδεση user-pass στον server απο Android κινητά.
Όχι δεν γίνεται openvpn χωρίς πιστοποιητικά.
Αλλά και κάποιος τρόπος να υπάρχει δεν θα υπήρχε λόγος χρήσης του openvpn χωρίς πιστοποιητικά.
Διαφορετικά όπως λέει και ο Νικηφόρος θα μπορούσες να χρησιμοποιήσεις pptp.


Δε νομιζω πως ειναι εφικτο με openvpn, λογικα θα πρεπει να κανεις εναν pptp vpn server για να θες μονο username/pass.
Eδωσα στο ip-pool περισσοτερο ευρος ips, εβαλα πχ 10.0.0.248/29.

Εβαλα αυτο το προγραμμα και το ξηλωσα το αλλο https://play.google.com/store/apps/details?id=de.blinkt.openvpn&hl=el
δειχνει πολυ καλυτερο με περισσοτερα πραγματα και ΝΑΙ παιζει!!!!!
μαλιστα με τον ιδιο OVPN server στο 711 στελνω και ιντερνετ στο εξοχικο στο 951 αλλα και εχω το εσωτερικο μου δικτυο στο κινητο! ΤΕΛΕΙΑ!!!
στο αρχειο εκλεισα το TLS CLIENT εφοσον δεν εχουμε τετοιο κλειδι, μου εβγαζε TLS error το παραπανω προγραμμα δλδ:


# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
;tls-client


Δεν δοκιμάζεις να κάνεις απεγκατάσταση του openvpn connect σβήνοντας όλα τα data;
Και μετά να το βάλεις καθαρό από πάνω;

Δεν δοκιμάζεις να κάνεις απεγκατάσταση του openvpn connect σβήνοντας όλα τα data;
Και μετά να το βάλεις καθαρό από πάνω;

Το εκανα πριν αυτο στο κινητο + οτι το εβαλα και στο tablet καθαρο και εκανε τα ιδια.
Το αλλο προγραμμα που ειπα διορθωσα το TLS γιατι αλλιως το ψαχνει και παιζει αψογα, οκ και στο tablet.
Tωρα μενει να δω αυριο και απο win pc στην δουλεια και τελος. :oneup:

Το tls key είναι ένα βασικό κλειδί αλλά είναι optional το οποίο θα έπρεπε το χρησιμοποιείται σαν default και προστατεύει τον server απο brute attach .
Προσωπικά το χρησιμοποιώ ως εξτρα protection.

Διαβασα τι ειναι αλλα δεν το εχουμε βαλει ομως.
https://wiki.archlinux.org/index.php/Create_a_Public_Key_Infrastructure_Using_the_easy-rsa_Scripts
εγω ετσι τα εφτιαξα μιας και εχω Arch.


Generate a secret Hash-based Message Authentication Code (HMAC) by running: # openvpn --genkey --secret /root/easy-rsa/keys/ta.key

This will be used to add an additional HMAC signature to all SSL/TLS handshake packets. In addition any UDP packet not having the correct HMAC signature will be immediately dropped, protecting against:

Portscanning.
DOS attacks on the OpenVPN UDP port.
SSL/TLS handshake initiations from unauthorized machines.
Any eventual buffer overflow vulnerabilities in the SSL/TLS implementation.

All the created keys and certificates have been stored in /root/easy-rsa/keys. If you make a mistake, you can start over by running the clean-all script again.


Δεδομενου ομως οτι το Mikrotik ΟVPN δεν υποστηριζει UDP ισως δεν μας ειναι τοσο χρησιμο. Eπίσης καλό είναι να μην παίζουμε στην default πόρτα....
Α! και στον mt ovpn server εκει που λεει mode εχω ip οχι ethernet γιατι δεν επαιζε, αγνωστο γιατι....
http://wiki.mikrotik.com/wiki/Manual:Interface/OVPN
mode (ip | ethernet; Default: ip) Layer3 or layer2 tunnel mode (alternatively tun, tap)
εφόσον στο android θελει tun (δοκιμασα tap και λεει οτι δεν υποστηριζεται στο android API) δεν θα επρεπε στον server να εχουμε ip αντι ethernet στο mode?
παλια που ειχα ΜΤ client δουλευα σε ethernet mode αλλα και ο openwrt openvpn server δουλευε με TAP ομως.
http://wiki.mikrotik.com/wiki/OpenVPN
bridging (tap device)
routing (tun device)
edit : καλημερα, στα win εχει περιορισμους, για να εχω TUN θελει να δηλωσει ifconfig δεν βγαζω ακρη τι να δωσω, δεν παιζει, αμα βαλω TAP δεν θελει αλλα το βαζει σε UDP και παλι δεν παιζει αφου το ΜΤ εχει TCP.
Kαλα δεν πειραζει, για εδω εχω το pptp.