OpenVPN Script

[akis1009]

Στο φινάλε κλέφτης αποδεδειγμένα είσαι εσύ, γιατί βάζεις αγγελίες για πώληση χωρίς φαντάζομαι να αποδίδεις ΦΠΑ ή δεν ξέρω κι εγώ τι άλλο, που δεν με απασχολεί καθόλου, αλλά πριν δείξεις με το δάχτυλο καθάρισέ το πρώτα

αυτόκλητος εισαγγελέας δεν αφήνεις μύγα στο σπαθί σου ήθελέστα λοιπόν κι έπαθές τα.

No comment

[kostas2911]

το TCP το αποφασίσαμε αντί για το UDP γιατί μας ενδιαφέρει το θέμα αξιοπιστίας
γιατί να ρωτήσω κι εγώ θεωρείς ότι μέσω tcp είναι κακό;

Δεν μπορεί να αποφασίσατε TCP αντί για UDP για τον απλούστατο λόγο ότι η Mikrotik δεν υποστηρίζει έτσι κι αλλιώς UDP στο openvpn

[rebeskes]

Δεν μπορεί να αποφασίσατε TCP αντί για UDP για τον απλούστατο λόγο ότι η Mikrotik δεν υποστηρίζει έτσι κι αλλιώς UDP στο openvpn

Έχεις δίκιο δεν υποστηρίζει over udp(και άλλες παραμέτρους του openvpn δεν υποστηρίζει δυστυχώς) αλλά όταν θεωρητικά προσπαθήσαμε να διαβάσουμε για το openvpn έλεγαν όλοι για θέμα αξιοπιστίας πας αναγκαστικά στο over tcp, Μην νομίζεις πρώτη φορά ασχοληθήκαμε και οι 2 με το openvpn και ειδικότερα μέσω του Mikrotik. Δεν ξέρω καν αν αυτή είναι και η πιο σωστή λύση, αλλά το παλεύουμε. Σκέψου ότι βρήκαμε αυτή την κατάσταση, πριν από το openvpn κάθε υπολογιστής που θέλανε να μπαίνει απομακρυσμένα έμπαινε με pptp και γι΄αυτό ο προηγούμενος είχε τα mikrotik!!! μόνο γι'αυτό.

[ayger]

αν με το μέγιστο throughput εννοείς το bandwindth που περνάει δεν το έχω δοκιμάσει πέρα από απλές adsl με το οποίο δεν αντιμετωπίζω κάποιο πρόβλημα ή ακόμα και κάποια smb shares που έχω παρόλο που γίνονται πολλά connections με ssh.

Η μαγική λέξη λοιπόν εδώ είναι το adsl. Προφανώς αναφέρεστε σε μικρές ταχύτητες, εξου και η διαπίστωση "δεν έχω αντιμετωπίσει κάποιο πρόβλημα" (εγώ θα το έθετα ως "δεν έχω την ικανοποοητική ταχύτητα που θα ήθελα")

Πάντως ξαναλέω τα 0.8 0.9 0.7 Mbps που έχω τα τερματίζω όποτε κατεβάζω κάποιο αρχείο.

Βλέπε άνωθεν.

το TCP το αποφασίσαμε αντί για το UDP γιατί μας ενδιαφέρει το θέμα αξιοπιστίας

Αξιοπιστία ? ΑΚΑ reliability? Επειδή είναι statefull πρωτόκολλο και όχι stateless όπως τα udp?

γιατί να ρωτήσω κι εγώ θεωρείς ότι μέσω tcp είναι κακό;

Δεν είπα ότι είναι κακό με την έννοια "ου μπλέξεις με tcp.Στην πυρά."

Δέχομαι την αδυναμία υλοποίησης του openvpn από πλευράς MK σε udp + lzo.

Από την άλλη, ναι το tcp ίσως είναι μια ωραία περίπτωση να κάνεις μερικά workaround για να βγάλεις το vpn από ένα "σφικτό δίκτυο" πχ να βαράς TCP port 80 ή 443 (Ποιος παρανοικός θα σε κλείσει στο firewall? ΕΣΥ ΜΕ ΤΟ FORTIGATE ΚΑΤΣΕ ΚΑΤΩ. )

Αντί επιλόγου : το

Το tcp over tcp είναι κακό για το perfomance. Δεν το λέω εγώ αλλά αυτοί που το γράψανε. Αλλά είναι καλό όταν δεν έχεις άλλη επιλογή (καλύτερο από το τίποτα δηλαδή).

Από εκεί και πέρα, αν σου δουλεύει, είσαι ευχαριστημένος, και κάνει αυτό που πρέπει να κάνει χωρίς πολλά πολλά, τότε μαζί σου.

Btw το δοκίμασα σε ένα lab CHR και έχω μια γεύση τρικυμίας στα χείλη όπως έλεγε και ο Ελύτης :P . Και αυτό σε επίπεδα gigabit traffic.

Είναι λίγο κτικιό η υλοποίησή στο ΜΚ όμως.

[rebeskes]

Η μαγική λέξη λοιπόν εδώ είναι το adsl. Προφανώς αναφέρεστε σε μικρές ταχύτητες, εξου και η διαπίστωση "δεν έχω αντιμετωπίσει κάποιο πρόβλημα" (εγώ θα το έθετα ως "δεν έχω την ικανοποοητική ταχύτητα που θα ήθελα")




Βλέπε άνωθεν.


Αξιοπιστία ? ΑΚΑ reliability? Επειδή είναι statefull πρωτόκολλο και όχι stateless όπως τα udp?




Δεν είπα ότι είναι κακό με την έννοια "ου μπλέξεις με tcp.Στην πυρά."

Δέχομαι την αδυναμία υλοποίησης του openvpn από πλευράς MK σε udp + lzo.

Από την άλλη, ναι το tcp ίσως είναι μια ωραία περίπτωση να κάνεις μερικά workaround για να βγάλεις το vpn από ένα "σφικτό δίκτυο" πχ να βαράς TCP port 80 ή 443 (Ποιος παρανοικός θα σε κλείσει στο firewall? ΕΣΥ ΜΕ ΤΟ FORTIGATE ΚΑΤΣΕ ΚΑΤΩ. )

Αντί επιλόγου : το

Το tcp over tcp είναι κακό για το perfomance. Δεν το λέω εγώ αλλά αυτοί που το γράψανε. Αλλά είναι καλό όταν δεν έχεις άλλη επιλογή (καλύτερο από το τίποτα δηλαδή).

Από εκεί και πέρα, αν σου δουλεύει, είσαι ευχαριστημένος, και κάνει αυτό που πρέπει να κάνει χωρίς πολλά πολλά, τότε μαζί σου.

Btw το δοκίμασα σε ένα lab CHR και έχω μια γεύση τρικυμίας στα χείλη όπως έλεγε και ο Ελύτης :P . Και αυτό σε επίπεδα gigabit traffic.

Είναι λίγο κτικιό η υλοποίησή στο ΜΚ όμως.

Η αλήθεια είναι πως στις περιοχές που δουλεύουμε δεν υπάρχει καν vdsl. Όσο για το θέμα της αξιοπιστίας όλοι αυτοί που συνδέονται απομακρυσμένα είναι όλοι πάνω σε ssh σε ένα custom εμπορικό πρόγραμμα το όποιο δεν μπορώ να έχω πρόσβαση είναι λίγο περίεργη η κατάσταση ακόμα (το παραλάβαμε χειρότερα), οπότε και γι'αυτό το προτιμίσαμε over tcp εκεί να ελέγχει κάθε πακέτο :-P (αν και προσωπικά είμαι fan της αξιοπιστίας παρά της ταχύτητας). Οι ταχύτητες σαφώς και είναι μικρές μα και οι απαιτήσεις το ίδιο. Υπήρχαν 2 προτάσεις στο τραπέζι και η πιο οικονομική ήταν αυτή να παίξουμε με τον ήδη υπαρχοντα εξοπλισμό γι'αυτό και στρωθήκαμε και στο διάβασμα και η αλήθεια είναι ότι αρχίζει και μου αρέσει το mikrotik σαν λογική. Αν και θα σου πω μια χαζή παρατήρηση που είχα από την συγκεκριμένη υλοποιήση. Χωρίς κάποιο load balancing (ακόμα) όταν κάποιος client κατέβαζε full speed όλα τα άλλα wan laggaran μίλησα και με την mikrotik μου πρότειναν queues. To λάθος ήταν ότι μετά τα client του openvpn που στήναμε δεν κάναμε restart(ναι το ξέρω χαζομάρα) το ρούτερ.!!!! Επίσης μετά από κάθε client μου έτρωγε 1mb από την μνήμη μετά την επανεκίνηση ήρθε στα ίσα του !!!. Αν κι έχω μια σκέψη ότι μπορεί το h/w να είναι μικρότερο των απαιτήσεων, θέλω ακόμα να το τεστάρω.

[ayger]

οπότε και γι'αυτό το προτιμίσαμε over tcp

Δεν είχατε επιλογή.

Υπήρχαν 2 προτάσεις στο τραπέζι και η πιο οικονομική ήταν αυτή να παίξουμε με τον ήδη υπαρχοντα εξοπλισμό γι'αυτό και στρωθήκαμε και στο διάβασμα και η αλήθεια είναι ότι αρχίζει και μου αρέσει το mikrotik σαν λογική.

Η μικρότερη hassle λογική, με *λίγο* κόστος, είναι ομαδοποίηση των σημείων, πετάς ένα RB του μπάτζετ της αρεσκείας σου, και κάνεις ένα mesh vpn όλοι με όλους μούρλια.

Χωρίς κάποιο load balancing (ακόμα) όταν κάποιος client κατέβαζε full speed όλα τα άλλα wan laggaran μίλησα και με την mikrotik μου πρότειναν queues.

Προφανώς και θα Laggaριζε. Δεν μπορείς να ελέγχεις την κίνηση ΠΡΟΣ το ρούτερ αλλά ΑΠΟ το ρούτερ.

To λάθος ήταν ότι μετά τα client του openvpn που στήναμε δεν κάναμε restart(ναι το ξέρω χαζομάρα) το ρούτερ.!!!!

Φλερτάρετε με το να εκτίθεστε τώρα. Restart το ρούτερ, ΓΙΑΤΙ?

Αν κι έχω μια σκέψη ότι μπορεί το h/w να είναι μικρότερο των απαιτήσεων, θέλω ακόμα να το τεστάρω.

Κανένα από τα μικρομεσαία mikrotik δεν προσφέρει κανενός είδους hardware accelaration στο openvpn. Η cpu θα δουλεύει υπερωρία. Ίσως με τα flagships routers (λέω ΙΣΩΣ δεν το έχω δοκιμάσει με openvpn για όλους τους προαναφερόμενους λόγους) να μην παρατηρείται γονάτισμα, όχι επειδή υποστηρίζει *ΣΩΣΤΑ* το openvpn αλλά λόγω "ιπποδύναμης" (cpu raw horse power) να μην γίνεται αντιληπτό στα badnwidth που υπάρχουν.

[rebeskes]

Είχαμε επιλογή να αγοράσουμε άλλο εξοπλισμό αλλά δεν το κάναμε,
Τα mikrotik υπήρχαν ήδη σε κάθε σημείο βαλμενα όπως να ναι μόνο για το pptp. Όσο για την επανεκκίνηση του δρομολογητή (τώρα γράφω από κινητό) πες μου εσύ τώρα γιατί δεν το κάνει;
Όσο για την τοπολογία είναι η ιδανική για το πώς είναι έτσι τα πράγματα. Δυστυχώς δεν βλέπω να αλλάζει σύντομα το κάθε σημείο έχει δικό του εμπορικό και δικό του σέρβερ
Όπως διαβάζω τώρα το μήνυμά μου φαίνεται λίγο επιθετικό ζητώ συγγνώμη αλλά σιχαίνομαι να γράφω από κινητό.
Και συνεχίζω τις παρατηρήσεις μου μετά από εκείνο το restart έστρωσε και η cpu. Κι εγώ μαζί σου το router δεν πρέπει να κλείνει αλλά πες μου γιατί έστρωσε και κανένα πρόβλημα από τότε

[kostas2911]

Εγώ δεν μπορώ να καταλάβω γιατί επιμένουν κάποιοι να χρησιμοποιούν openvpn με mikrotik. Είναι κάτι που η ίδια η mikrotik στην ουσία δεν το υποστηρίζει. Θέλει πολύ παίδεμα και στο τέλος δεν θα πάρεις και όλα τα οφέλη. Υπάρχουν κι άλλα πρωτόκολλα ρε παιδιά. Φιλικά πάντα.

[rebeskes]

Εγώ δεν μπορώ να καταλάβω γιατί επιμένουν κάποιοι να χρησιμοποιούν openvpn με mikrotik. Είναι κάτι που η ίδια η mikrotik στην ουσία δεν το υποστηρίζει. Θέλει πολύ παίδεμα και στο τέλος δεν θα πάρεις και όλα τα οφέλη. Υπάρχουν κι άλλα πρωτόκολλα ρε παιδιά. Φιλικά πάντα.

αν όχι με openvpn λες για το sstp? τι θα κερδίσω με αυτό; δηλαδή εννοώ ποιο θα είναι το μεγαλύτερο συγκριτικά πλεονέκτημά του απέναντι στο openvpn? το έχεις δοκιμάσει το ξέρεις;

[kostas2911]

Επίσης με L2TP/ipsec και Gre/ipsec
Πολύ πιο "εύκολο" στήσιμο. Και ίσως μικρότερο overhead

[rebeskes]

Η αλήθεια είναι ότι τα κουβεντιάσαμε πριν κάνουμε οποιαδήποτε κίνηση και μου είπε ότι δεν ήθελε να ασχοληθεί καθόλου με Ipsec και το σεβάστηκα και προχωρήσαμε παρακάτω. Οπότε στο τραπέζι έμειναν δύο προτάσεις και ήθελε να πάμε με την sstp παρεπιμπτόντως εγώ δεν είχα ασχοληθεί καθόλου με αυτό εώς εκείνη τη στιγμή. Μόνο θεωρία τίποτα σε πράξη δεν το είχα ξαναντιμετωπίσει αυτό το πρόβλημα

[kostas2911]

Η αλήθεια είναι ότι τα κουβεντιάσαμε πριν κάνουμε οποιαδήποτε κίνηση και μου είπε ότι δεν ήθελε να ασχοληθεί καθόλου με Ipsec και το σεβάστηκα και προχωρήσαμε παρακάτω. Οπότε στο τραπέζι έμειναν δύο προτάσεις και ήθελε να πάμε με την sstp παρεπιμπτόντως εγώ δεν είχα ασχοληθεί καθόλου με αυτό εώς εκείνη τη στιγμή. Μόνο θεωρία τίποτα σε πράξη δεν το είχα ξαναντιμετωπίσει αυτό το πρόβλημα

Στο mikrotik πάντως το ipsec είναι ένα checkbox και ένας κωδικός

[Nikiforos]

Εγώ δεν μπορώ να καταλάβω γιατί επιμένουν κάποιοι να χρησιμοποιούν openvpn με mikrotik. Είναι κάτι που η ίδια η mikrotik στην ουσία δεν το υποστηρίζει. Θέλει πολύ παίδεμα και στο τέλος δεν θα πάρεις και όλα τα οφέλη. Υπάρχουν κι άλλα πρωτόκολλα ρε παιδιά. Φιλικά πάντα.

καλημερα, προσωπικα εμενα μου εχει μεινει γιατι σαν linuxas και openwrt επισης αρκετα μου εμεινε απο τετοιες υλοποιησεις, οπως και απο τον linux nas server που εχω.
Δυστυχως η mikrotik δεν το υποστηριζει σωστα, εκτος οτι εχει αλλαξει το ονομα σε OVPN κατι που δεν μου αρεσε, αγνωστο γιατι, δεν υποστηριζει LZO compression, UDP αλλα και TLS κατι που ειχαμε ξανασυζητησει και αλλες φορες.
Αν εχεις ομως τον server πανω σε linux box υποστηριζονται ολα αυτα και απο android συσκευες και απλα τα σπαει.
Εχω δοκιμασει τα αλλα και νομιζω οτι δεν συγκρινονται σε θεμα ασφαλειας με το openvpn, το μονο που ισως το φτανει ειναι το SSTP αν ομως το δουλευεις με αρχεια πιστοποιητικων κατι που θυμιζει πολυ το openvpn, εχω μονο client που εκανε ενας φιλος για να μου δωσει απο το δικο του ιντερνετ μεσω ασυρματης εξωτερικης συνδεσης, αλλα ειναι με απλη χρηση οχι με πιστοποιητικα, οποτε σε αυτη την περιπτωση δεν εχει ασφαλεια αρκετη.
Οπως ομως και να το κανουμε ΜΑΚΡΙΑ απο gre tunnels, pptp και eoip γιατι ειναι χαλια απο ασφαλεια.
Το l2tp που μαλιστα εχω server σε mikrotik, θελει υποχρεωτικα ipsec και παλι ειναι κατωτερο σε θεμα ασφαλειας απο το openvpn.
Τελος εχω αλλαξει ολα τα vpns μου απο pptp σε openvpn και ειμαι απολυτα ευχαριστημενος και δεν βλεπω το παραμικροτατο προβλημα πουθενα.
Οποτε δεν βλεπω και τον λογο να αλλαξω κατι. Πεδεμα θελει μονο αμα δεν ξερεις να το στησεις, αμα το κανεις μια φορα μετα ειναι piece of cake.

Για να πω την αληθεια σε συζητηση με τον φιλο που κανει SSTP συνηθως, ελεγα καποια στιγμη να βαλω openvpn server στο linux nas για να δινω σε android συσκευες μου και να εχω UDP, LZO, TLS, (οπως ειχα παλιοτερα και σε OpenWRT) και οτι εχει να κανει με τις συνδεσεις mikrotik rbs μεταξυ τους να τα γυρισω σε SSTP, νομιζω το ειχα γραψει και στο θεμα του παρακατω που εχω τα links. Δυστυχως απαιτει πολυ χρονο που τωρα ΔΕΝ εχω καθολου, δεν εχω ασχοληθει ποτε με SSTP και ειναι ιστορια και δεν ξερω μετα αν θα δουλευουν ολα καλα, ασε τις ρυθμισεις στα firewalls και τα σχετικα. Οποτε ακολουθω τον κανονα που λεει οταν παιζει κατι σωστα δεν το πειραζεις!

Εχουμε θεμα για ολα αυτα καλο ειναι να τα γραφουμε στα δικα τους θεματα και οχι σε ασχετα....

L2tp+ipsec : https://www.adslgr.com/forum/threads...ver-with-Ipsec
SSTP : https://www.adslgr.com/forum/threads...ik-SSTP-server
OpenVPN : https://www.adslgr.com/forum/threads...Android-Client

Θα γραψω κατι για το SSTP και το L2tp+ipsec στα δικα τους θεματα για να μην ειμαι εδω OFFTOPIC κατι που ειδα τωρα.