Open VPN - Windows, Mac OS, Android, iOS

[romankonis]

Και την ανανέωση της ip στο mikrotik πως την κάνεις; έχεις και εσύ περασμένο script?

# Now-DNS automatic Dynamic DNS update

#--------------- Change Values in this section to match your setup ------------------

# No-DNS User account info
:local NowUser "********"
:local NowPass "********"

# Your hostname you want to update
# To specify multiple hosts, separate them with commas.
:local NowHost "******.dynserv.org"

#------------------------------------------------------------------------------------

:local url "https://now-dns.com/update\3F"

:log info "Now-DNS: sending update for $host"

/tool fetch url=($url . "hostname=$NowHost") user=$NowUser password=$NowPass mode=https dst-path=("now-dns.txt")

:log info "Now-DNS: host $host updated with IP $currentIP"

[jkarabas]

# Now-DNS automatic Dynamic DNS update

#--------------- Change Values in this section to match your setup ------------------

# No-DNS User account info
:local NowUser "********"
:local NowPass "********"

# Your hostname you want to update
# To specify multiple hosts, separate them with commas.
:local NowHost "******.dynserv.org"

#------------------------------------------------------------------------------------

:local url "https://now-dns.com/update\3F"

:log info "Now-DNS: sending update for $host"

/tool fetch url=($url . "hostname=$NowHost") user=$NowUser password=$NowPass mode=https dst-path=("now-dns.txt")

:log info "Now-DNS: host $host updated with IP $currentIP"

- - - Updated - - -

καλημέρα, δες εδώ https://now-dns.com/?p=clients
και για το mikrotik script εδώ https://forum.mikrotik.com/viewtopic.php?f=9&t=101519 αλλα το θεμα θα ηταν να ΜΗΝ χρησιμοποιούμε scripts! όπως βλέπουμε όμως είναι ευκολο να γινει και σε Linux.
Παντως δεν εχω δει κανενα μηχανημα (από οσα εχω δλδ) από default να υποστηριζει αυτό το ddns δυστυχως, ενώ το noip εχει τεραστια υποστηριξη, ακομα και σε πολλα adsl/vdsl routers παροχων υπαρχει!
Το πλεονέκτημα του είναι ότι δεν θελει ανανεωση κάθε μηνα όπως τα noip (προσωπικα εμενα δεν με ενοχλεί τα κανω από το κινητο σε secs μολις ερθει το email), μειονεκτημα το support των clients για τα updates. Παντως δειχνει καλο! και υποστηριζει windows/Linux/mikrotik (με script παντα) αλλα και android που η εφαρμογή όμως που λεει δεν παιζει δεν υπαρχει δλδ.

- - - Updated - - -

Προσπάθησα να δοκιμάσω τη μετατροπή του κλειδιού στα win open ssl αλλά νομίζω ζητάει donate.
Το είχα κάνει στο linux.

[romankonis]

Πφφφ... μυαλό δε θέλει....

[jkarabas]

Πφφφ... μυαλό δε θέλει....

Εντάξει μην ειρωνεύεσαι βιάστηκα να γράψω..

[TeoNOKIA]

Θα ήθελα μία διευκρίνηση με τις ρυθμίσεις του Firewall.
Αν δεν κάνω address lists, xρειάζεται να κάνω και το βήμα 24 και τα

Firewall Rulles

Για να συνδεθείτε με το διακομιστή, χρησιμοποιείται μία θύρα - που καθορίζεται στις ρυθμίσεις του διακομιστή OpenVPN
Η αλυσίδα για τον κανόνα είναι INPUT
Για να περιορίσετε την επισκεψιμότητα από πελάτες, μπορείτε να χρησιμοποιήσετε το IN-interface - "all ppp"
Μπορείτε επίσης να χρησιμοποιήσετε στατικές διεπαφές για να δημιουργήσετε κανόνες - binbing OVPN-Server
Μέσω του προφίλ, μπορείτε να προσθέσετε διεπαφές πελάτη σε ένα συγκεκριμένο interface list
Μέσω του προφίλ, μπορείτε να προσθέσετε διευθύνσεις IP-πελάτη σε ένα συγκεκριμένο address list

/ip firewall filter
add action=accept chain=forward comment=\
"In Interface" in-interface=all-ppp
add action=accept chain=forward comment=\
"Output" out-interface=all-ppp
add action=accept chain=input comment="OpenVPN Port" dst-port=1194 protocol=\
tcp"

[jkarabas]

Θα ήθελα μία διευκρίνηση με τις ρυθμίσεις του Firewall.
Αν δεν κάνω address lists, xρειάζεται να κάνω και το βήμα 24 και τα

Το address lists δεν είναι υποχρεωτικό, όμως τη θύρα για το ovpn εφόσον αυτό χρησιμοποιείς πρέπει να την δηλώσεις στο firewall για να
δουλέψει απ' έξω προς τα μέσα, διαφορετικά πρόσβαση δεν θα έχεις.
Όλα αυτά φυσικά εφόσον το firewall που έχεις σετάρει, δεν του επιτρέπεις τίποτα απ'έξω.

[macro]

Με το πρωτο κανονα επιτρεπεις τα παντα απο εξω προς τους clients. Αρα οτιδηποτε κοβεις μετα εχει ηδη περασει. Εισαι τρυπιος.

[jkarabas]

Δεν γνωρίζουμε και ποιο είναι το setup του για το firewall.
Μπορεί να μην έχει τους ίδιους κανόνες με το Post.
Όπως και να έχει όμως πρέπει πρώτα να το σετάρει σωστά και μετά όλα τα άλλα.
Αλλά βγαίνουμε εκτός θέματος.

[TeoNOKIA]

Το firewall μου ειναι το default του mikrotik. Σας το παραθετω και παρακατω. Ακολουθησα τον οδηγο και απλα μπερδευτικα στο τελος για το τι χρειαζεται να βαλω για να μην ειμαι "τρυπιος" και για αυτο σας ρωτησα. Επισης, στο config του client βαζω τη γραμμη route 192.168.88.0 255.255.255.0?

Κώδικας:

 /ip firewall filter
add action=accept chain=input disabled=yes dst-port=1194 protocol=tcp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat src-address=192.168.88.0/24
add action=dst-nat chain=dstnat comment=Torrent dst-port=9091 in-interface=\
    pppoe-out1 protocol=tcp to-addresses=192.168.88.10 to-ports=9091
add action=dst-nat chain=dstnat comment="Torrent 2" dst-port=51413 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.88.10 to-ports=\
    51413
add action=dst-nat chain=dstnat comment=Passive dst-port=5000-5099 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.88.10 to-ports=\
    5000-5099
add action=dst-nat chain=dstnat comment=FTP dst-port=19000 in-interface=\
    pppoe-out1 protocol=tcp to-addresses=192.168.88.10 to-ports=21

[Nikiforos]

Καλημέρα, για το firewall υπαρχει θεμα εδώ : https://www.adslgr.com/forum/threads...-IPv6-firewall
καλο θα ηταν να μην μπερδευουμε τα θεματα για ευνόητους λογους.

[TeoNOKIA]

Για να έχει ο client πρόσβαση στο internet του server χρειάζεται στο τελος του config του client η γραμμή
redirect-gateway

Δεν ήταν λοιπόν θέμα firewall

[Nikiforos]

Για να έχει ο client πρόσβαση στο internet του server χρειάζεται στο τελος του config του client η γραμμή
redirect-gateway

Δεν ήταν λοιπόν θέμα firewall

Σωστα αλλα δεν χρειαζεται παντα αυτο να εχουμε δλδ ιντερνετ απο τον server, μπορουμε να εχουμε απο το τοπικο του client, αυτο ειναι χρησιμο μονο αν θελουμε για καποιον λογο να αλλαξουμε την ip μας με την αλλη.
Αρα δεν χρειαζοταν να το ψαχνεις στο firewall του mikrotik.
Eπισης δεν βλεπω να ειχες ρωτησει αυτο...αλλιως θα το ειχαμε πει με την μια, αν οχι εγω καποιος αλλος σιγουρα.

[Nikiforos]

καλησπερα, χρονια πολλα!
βλεπω εδω εχει ενημερωθει πλεον εχει και UDP οπως ξερουμε το OVPN σε Mikrotik στην ROS 7.X

https://help.mikrotik.com/docs/display/ROS/OpenVPN

Δυστυχως εχει limitations με το χειροτερο μειονεκτημα η ελλειψη TLS : (γιαυτο δεν παιζει και με express vpn οπως ειπα στο θεμα του μετα την δοκιμη που εκανα με OVPN UDP).
Limitations

Currently, unsupported OpenVPN features:

• LZO compression
• TLS authentication
• authentication without username/password

OpenVPN username is limited to 27 characters and password to 233 characters.




- - - Updated - - -

Αλλαξα αυτα που εχω σε 2 mikrotik 109 και 951 απο TCP σε UDP αλλα ενω συνδεονται ΔΕΝ ρουταρουν, ξερει κανεις τον λογο να μην τα κανω ολα απο την αρχη?
Το καθενα απο αυτα εχει και server και client και το ενα συνδεεται με το αλλο μετα παιζω με routing.
Και ο server του καθενος εξυπηρετει και μηχανηματα οπως ταμπλετ, κινητο, λαπτοπ κτλ.

Πρεπει να γινουν μηπως τα πιστοποιητικα απο την αρχη?

[romankonis]

Δυστυχώς, δεν ξέρω την απάντηση, αλλά το μόνο που σίγουρα μπορώ να πω, ότι μόλις αναβαφμιστικά σε ROSv7 και έφτιαξα wireguard, ξέχασα τελείως το openvpn. Συνιστώ ανεπιφύλακτα να το κάνουν όλοι, όσοι μπορούν.

[Nikiforos]

Δυστυχώς, δεν ξέρω την απάντηση, αλλά το μόνο που σίγουρα μπορώ να πω, ότι μόλις αναβαφμιστικά σε ROSv7 και έφτιαξα wireguard, ξέχασα τελείως το openvpn. Συνιστώ ανεπιφύλακτα να το κάνουν όλοι, όσοι μπορούν.

Αυτο κανω και εγω τωρα, ρωτησα πριν αρχισω δοκιμες με το wireguard, αν τα καταφερω δεν θα χρειαστει.
Μονο πιστοποιητικα να κανεις, αρχεια κτλ θες ποσο χρονο.
Οπως εχω δει απο το raspi με pivpn που εχω και openvpn UDP και Wireguard ειναι πολυ καλυτερο το Wireguard! ποσο μαλλον αν το συγκρινουμε και με το πετσοκομμενο της Mikrotik ειδικα αυτο με το TCP!