Παρατήρησα ότι υπάρχουν αρκετά προβλήματα με configuration σε Mikrotik Open VPN με και χωρίς certificate. Θα σας γράψω αναλυτικό οδηγό me configuration και τα σωστά βήματα για να μπορέσει ο καθένας να το χρησιμοποιήσει σε κάθε Mikrotik, ανεξάρτητα από την περίπτωση. Είναι universal solution. Το βράδυ θα σας το έχω έτοιμο η το πολύ αύριο. Το έχω πολύ καιρό, και σε όλους πελάτες το βάζω και δεν υπάρχει πρόβλημα. Ελπίζω θα είμαι απολύτως κατανοητός για όλους, και δε θα είναι δύσκολα να το κάνετε και εσείς.
- - - Updated - - -
Λοιπόν παιδιά, ήρθε η ώρα που νομίζω κάποιοι περίμεναν. Μου πήρε όλη μέρα να το κάνω, εννοώ το Manual: OpenVPN Universal Solutions on Mikrotik. Σας περιμένει αρκετά καλό manual με όλες λεπτομέρειες και σημειώσεις. Παρακαλώ πάρα πολύ, να δώσετε πόλη μεγάλη προσοχή σε ότι κάνετε και να ακολουθείτε αυστηρά όλες τις οδηγίες που ύπαρχουν. Πριν προχωρήσετε, κάντε update στα μηχανήματά σας, και backup. Αν διαπιστώσετε καποιες δυσκολιες η δεν καταλαβαίνετε η χαθήκατε, γυρίστε λίγα βήματα πίσω, και δοκιμάστε ξανά. Αν και πάλι δεν καταφέρνετε κάτι να κάνετε, αφήνετε ένα μήνυμα εδώ και σε ποιο βήμα είστε + screenshots. Το manual είναι αποκλειστικά σε Winbox χωρίς εντολές, έτσι ώστε να έχετε κατανόηση, το τι κάνετε.
Παρακαλώ μη κάνετε τίποτα απομακρυσμένα π.χ teamviewer, πάντα όλα ON SITE.
Ένα καφεδάκι η τσάι και ας ξεκινήσουμε
1. Κατεβάζουμε τελευταιο διαθεσιμο Winbox https://download.mikrotik.com/router....19/winbox.exe
2. Μπαίνουμε μέσα με την χρηση IP η MAC
3. System – Certificates
Δημιουργούμε ένα Template (Δεν πρόκειται για Certificate, αργότερα θα το μετατρέψουμε σε Certificate)
Apply – OK
Αποτέλεσμα
Κάντε δεξί κλικ CA Test και επιλέξτε Sigh
Αποτέλεσμα
CA CRL Host, αυτή είναι η εγγραφή IP ή DDNS του Mikrotik μας. Πρέπει να καθορίσετε μια IP που εκδόθηκε από τον πάροχο, αν είναι στατικό, αν έχετε μια δυναμική IP, χρησιμοποιήστε την εγγραφή DDNS. Μπορείτε να το πάρετε από διάφορες υπηρεσίες DDNS. Στην περίπτωσή μου, εμφανίζεται η εγγραφή DDNS. Αφού πληκτρολογήσατε στοιχεια, κάντε κλικ στο κουμπί Start, στη στήλη Progress μετά από κάποιο χρονικό διάστημα θα πρέπει να ειναι Done όπως φαίνεται στην επόμενη εικόνα.
Μόλις ολοκληρωθεί, κάντε κλικ στο Close.
Στη συνέχεια, θα δουλέψουμε με OpenVPN Server χωρίς client certificates, δεν είναι ασφαλές, αλλά για παράδειγμα, θα το κάνουμε τώρα, λίγο αργότερα θα δουλέψουμε με client certificates.
OpenVPN xωρίς client certificates.
Πρέπει να δημιουργήσουμε ένα server certificate. Για να το δημιουργήσουμε, πρέπει απλώς να δημιουργήσουμε ένα Template. Πρώτα απ 'όλα, δημιουργήστε ένα Template και στη συνέχεια θα το υπογράψουμε χρησιμοποιώντας CA. Δηλαδή, χρησιμοποιώντας μια αρχή πιστοποίησης, πιστοποιητικό μιας αρχής πιστοποίησης. Συγγνώμη για την ταυτολογία)))
Κάντε κλικ στο + και καντε τα πάντα όπως φαίνεται στην εικόνα. Σχετικά με το όνομα του server certificate. Το όνομα μπορεί να είναι οτιδήποτε.
Καρτέλα - General
Η καρτέλα Key Usage, επιλέγουμε μόνο αυτό που βλέπετε στην εικόνα, τίποτα άλλο. Μετά -> Apply - OK.
Δημιουργήσαμε το Template, τώρα πρέπει να το υπογράψουμε χρησιμοποιώντας CA. Κάντε δεξί κλικ σε αυτό και επιλέξτε Sign.
Στο πεδίο CA, επιλέξτε το CA που δημιουργήσαμε: Test CA, στη συνέχεια Start, αυτή τη στιγμή ο επεξεργαστής του Mikrotik σας θα αρχίσει να επεξεργάζεται, θα το καταλάβετε από τον δείκτη του φορτίου στον επεξεργαστή σας. Ανάλογα με τον εξοπλισμό σας και την χωρητικότητά του, ο χρόνος μπορεί να διαφέρει. Μετά την ολοκλήρωση της επεξεργασίας, στη στήλη Progress, θα πρέπει να υπάρχει τιμή Done, όπως φαίνεται στην παρακάτω εικόνα.
Done, κλείστε το παράθυρο, κάντε κλικ στο Close.
Αποτέλεσμα
Έτσι, τα certificates που δημιουργήσαμε είναι 4 ενέργειες που έπρεπε να γίνουν πριν από τη δημιουργία του ίδιου του OpenVPN Server. Χωρίς αυτό, δεν θα λειτουργήσει. Εύκολα Συνεχίζουμε
4. Δημιουργήστε ένα προφίλ για τους clients. Δεδομένου ότι το προφίλ περιέχει σημαντικές πληροφορίες για τη δημιουργία ενός OpenVPN Server, και οχι μονο για το OpenVPN.
Ανοίξτε: PPP -> καρτέλα Profiles, πατώντας το πλήκτρο + δημιουργήστε ένα προφίλ. Τι είναι το προφίλ; Ένα προφίλ είναι ένας τρόπος για να διαμορφώσετε τις ίδιες παραμέτρους για πολλούς clients. Δηλαδή, μπορούμε να δημιουργήσουμε διαφορετικά προφίλ για διαφορετικούς clients που συνδέονται με τον OpenVPN Server.
Στην καρτέλα Profiles, κάντε κλικ στο + και βαλτε τα δεδομένα.
Name: OpenVPN - μπορείτε να ορίσετε οποιοδήποτε άλλο.
Local Address: 10.1.1.1 (Οποιοσδήποτε μπορεί, δεν είναι κρίσιμο, αλλά σας προτείνω να το ορίσετε, διότι δουλεύουμε με παράδειγμα, στο μέλλον μπορείτε να πειραματιστείτε με τη διαμόρφωσή σας) Μία απόχρωση, σας συμβουλεύω να το καθορίσετε εδώ, έτσι ώστε να είναι πανομοιότυπη για ολους σας Clients που συνδέονται με το ίδιο προφίλ.
Remote Address: Μπορούμε να την ορίσουμε αμέσως ή να επιλέξουμε απο το Pool. Για να επιλέξετε από τo Pool, πρέπει να το δημιουργήσουμε. Για να κάνουμε αυτό, μεταβείτε στην ενότητα IP - Pool και δημιουργήστε Pool διευθύνσεων για διανομή σε συγκεκριμένες υπηρεσίες, όπως το OpenVPN, ορίστε τα πάντα όπως φαίνονται στην εικόνα, κάντε κλικ στο Apply - OK και επιστρέψτε στο παράθυρο New PPP Profile και υποδείξτε στη στήλη Remote Address IP Pool με όνομα OpenVPN.
IP Pool
New PPP Profile
Στο ίδιο παράθυρο, μεταβείτε στην καρτέλα Protocols. Use Encryption - χρησιμοποιήστε πάντα κρυπτογράφηση. Εξαρτάται από το πρωτόκολλο. Καρτέλα Limits, ενότητα Only One - Yes. Αυτό σημαίνει ότι με ενα username και password, μπορούμε να συνδεθούμε σε μια στιγμή μόνο μία φορά. Όσον αφορά τη ρύθμιση Local Address από το Pool, αυτός είναι ένας κανόνας κακού τόνου. Αποδεικνύεται ότι για κάθε client, η πύλη σας θα αλλάξει και, κατά συνέπεια, εάν θέλετε να ρυθμίσετε ορισμένες διαδρομές μέσω IP, θα είναι πολύ ενοχλητικό. Και πάλι, κατά τη διάγνωση, αυτό δεν είναι επίσης πολύ βολικό.
Κάντε κλικ Apply - ΟΚ.
Αποτέλεσμα
Μεταβείτε στην PPP - Interface και κάντε κλικ στο OVPN Server. Κατά τη διαμόρφωση του ίδιου του server, πρέπει να καθορίσουμε το sertificate του Server και, στη συνέχεια, το προεπιλεγμένο προφίλ, port, για να συνδεθεί OpenVPN Server - ο τρόπος λειτουργίας του Mikrotik είναι TUN & TAP. Το TUN είναι IP, και το TAP είναι Ethernet. Επιλέγουμε IP (TUN), έχουμε client connection, για να χρησιμοποιήσουμε πλήρως το TAP (Ethernet) πρέπει να χρησιμοποιήσουμε Bridges και από τις 2 πλευρές, διαφορετικά ξεκινάει το παιχνίδι με ένα ντεφι. Επομένως, δεν πατάμε το Require Client Certificate, επειδή φτιαχνουμε μια σύνδεσης μέχρι στιγμής χωρίς client certifitate, στην παρακάτω περιγραφή θα σας δείξω πώς να το κάνετε χρησιμοποιώντας το client certificate.
Αποτέλεσμα
Apply - OK
5. Για να συνδεθούμε με το OpenVPN Server, χρειαζόμαστε έναν χρήστη, τον δημιουργούμε.
Μεταβείτε στην καρτέλα PPP -> Secrets και δημιουργήστε τον χρήστη. Κάντε κλικ στο + και υποδείξτε τα δεδομένα.
Name: romankonis //Εσείς βάζετε δικό σας.
Password: *********** //Εσείς βάζετε δικό σας.
Service: Any (Αφήστε να είναι για όλες τις υπηρεσίες, εάν θέλετε ο χρήστης να εργάζεται μόνο με την υπηρεσία ovpn, επιλέξτε ovpn από τη λίστα)
Profile: OpenVPN
Apply - OK
Αποτέλεσμα
Έτσι, δημιουργήσαμε έναν χρήστη, Pool για το OpenVPN, ένα προφίλ για το OpenVPN, μια αρχή πιστοποίησης, ένα server certificate, το καθορίσαμε στις ρυθμίσεις του OpenVPN Server και παραμένει να διαμορφώσουμε τον client. Αλλά για να ρυθμίσετε τις παραμέτρους του client, χρειαζόμαστε ένα CA Certificate. Αυτό είναι το μόνο Certificate που χρειαζόμαστε. Σε αυτό το σχήμα, θα είναι το ίδιο για όλους.
6. Ανοίξτε το CA Certificate, είναι το TEST CA, στη συνέχεια κάντε κλικ στο κουμπί Export και στο παράθυρο που θα ανοίξει, κάντε κλικ στην επιλογή Export. Αφού κάνετε κλικ στο κουμπί Export στο παράθυρο, το παράθυρο θα εξαφανιστεί και το εξαγόμενο Certificate θα εμφανιστεί στα Files.
7. Δημιουργούμε ένα φάκελο στην επιφάνεια εργασίας με ένα όνομα που είναι βολικό και κατανοητό για εσάς, εγω δημιούργησα OpenVPN και έβαλα εκει το Certificate από το Mikrotik. Just Download
Προσπαθούμε να το ανοίξουμε και να δούμε τη δομή του. Το ανοίγω στον PHP Expert Editor. Αυτό ειναι δικο μου, το δικο σας θα έχει παρόμοιες έννοιες, αλλά φυσικά μια διαφορετική σειρά χαρακτήρων.
8. Επιλέξτε το Ctrl + A και αντιγράψτε το Ctrl + C στο buffer. Μια καθολική λύση είναι να καθορίσετε το Certificate απευθείας στο Config file .ovpn και όχι τη διαδρομή προς αυτό. Γιατί; 1. Οι διαδρομές είναι διαφορετικές - Διαφορετικά λειτουργικά συστήματα, έχουν διαφορετικές διαδρομές. Ακόμα κι αν το Certificate σας βρίσκεται δίπλα στο config file .ovpn, λειτουργεί καλά στα Windows, στο MAC είναι ήδη έτσι αλλα πρέπει να καθορίσετε την πλήρη διαδρομή ή να το τοποθετήσετε στο σώμα του ίδιου του config file .ovpn, υπάρχουν αποχρώσεις σε κινητές συσκευές, οπότε βάζουμε τα δεδομένα απευθείας στο config file μας.
Και έτσι, αντιγράψαμε το Certificate και το επικολλήσαμε στο config file .ovpn μας. Για να το κάνετε αυτό, δημιουργήστε ένα αρχείο κειμένου με το περιεχόμενο.
Κώδικας:client dev tun proto tcp remote IP or DDNS 1194 // γράψτε σταθερή σας IP η DDNS την πόρτα δεν την αλλάζετε αν δεν υπάρχει πραγματική ανάγκη. float auth-user-pass verb 3 route 192.168.0.0 255.255.0.0 // αλλάζουμε αν έχουμε διαφορετικό δίκτυο από τα υφιστάμενα δεδομένα <ca> Εδώ, εισάγετε το περιεχόμενο του Certificate που κατεβάσατε από το Mikrotik μετά την εξαγωγή </ca>
Στη συνέχεια, αποθηκεύστε το αρχείο ως εξής
Save location: any // Καλύτερα στον φάκελο που είχατε ήδη φτιάξει.
File name: romankonis.ovpn //αυτό είναι δικό μας config file .ovpn χωρίς client Certificate
File Type:- All files
9. Κάντε λήψη του προγράμματος OpenVPN Client for Windows στον υπολογιστή σας https://swupdate.openvpn.org/communi...I607-Win10.exe
10. Εγκαταστήστε το πρόγραμμα
11. Μετά την εγκατάσταση, αντιγράψτε το config file romankonis.ovpn) στο φάκελο C:\Program Files\OpenVPN\config
12. Στη συνέχεια, στο κάτω μέρος της επιφάνειας εργασίας, κάντε δεξι κλικ σε αυτό το εικονίδιο με το δεξί κουμπί του ποντικιού και κάντε κλικ στο κουμπί Connect, στο παράθυρο που ανοίγει, πληκτρολογήστε το όνομα χρήστη και τον κωδικό πρόσβασης που υποδείξατε στα Secrets κατά τη δημιουργία του client. Η σύνδεση θα ξεκινήσει, πολλές γραμμές, στο τέλος, το παράθυρο θα εξαφανιστεί και θα εμφανιστεί μια ειδοποίηση ότι είστε συνδεδεμένος. Αυτό ολοκληρώνει τη σύνδεση του client με τον OpenVPN Server χωρίς client Certificate. Μπορείτε να το χρησιμοποιήσετε, αλλά δεν πρέπει να το κάνετε, επειδή δεν είναι ασφαλές και υπάρχουν πολλές αποχρώσεις, μπορείτε να μάθετε γι 'αυτό από τα logs. Θα προχωρήσουμε περαιτέρω και θα δημιουργήσουμε ένα client Certificate και θα κάνουμε περίπου το ίδιο, αλλά με σημαντικές αλλαγές και προσθήκες.
Αποσυνδεθείτε.
Access with Certificate - Η σωστή λύση για την παγκόσμια ευημερία, χρησιμοποιώντας clients Certificates.
13. Η κατάσταση με τον χρήστη είναι ίδια με αυτή του server. Δημιουργούμε ένα Template, με βάση του Template δημιουργούμε έναν χρήστη. Μεταβείτε στο System -> Certificates κάντε κλικ στο κουμπί +. Το πρώτο πράγμα που κάνουμε είναι να δημιουργήσουμε ένα Template.
14. Μεταβείτε στην καρτέλα Key Usage
15. Συνεπώς, δημιουργήσαμε ένα Template, στη συνέχεια δημιουργήσαμε ένα χρήστη, αντιγράψαμε το Template που μόλις δημιουργήθηκε, είναι σημαντικό εδώ, αν πρόκειται να ελέγξουμε τον χρήστη μας, τότε το ελέγχουμε ονομαστικά. Το όνομα πρέπει να ταιριάζει με αυτό που έχει εισαχθεί στο Certificate. Στο Certificate, το πεδίο Name είναι ένα αυθαίρετο όνομα για ένα συγκεκριμένο όνομα. Αυτό είναι κυρίως για mikrotik. Αλλά το Common name είναι αυτό που μας ενδιαφέρει! Θα πρέπει να αντιστοιχεί στο όνομα χρήστη από το οποίο ο πελάτης μας θα συνδεθεί. Αντιγράψαμε, καταχωρίσαμε τα δεδομένα και πατήστε Apply - OK. Η εικόνα είναι κάτω.
16. Αντιγράψαμε τον πελάτη, το δημιούργησα από το Template και στη συνέχεια το πήραμε και το υπογράψαμε. Εγγραφούμε ακριβώς με τον ίδιο τρόπο. Το υπογράφουμε με Certificate, αρχης πιστοποίησης. Επιλέγουμε το Certificate χρήστη που δημιουργήσαμε, στο παράδειγμα μου είναι romankonis, ανοίξτε το, κάντε κλικ στην επιλογή Sign από το μενού στο παράθυρο που ειναι ανοιχτο στη στήλη CA, επιλέξτε TEST CA και πατήστε START. Η εικόνα είναι κάτω.
17. PPP καρτελα Interfaces - OVPN Server. Ενεργοποιήστε το server και σημειώστε το Require Client Certificate και βεβαιωθείτε ότι έχετε την ίδια εικόνα με την παρακάτω εικόνα.
18. Όπως μπορείτε να δείτε, στη στήλη Progress – done. Όλα δούλεψαν. Σε ορισμένες περιπτώσεις, όσο ασθενέστερο είναι ο εξοπλισμός, τόσο μεγαλύτερη είναι η διάρκεια της διαδικασίας. Αυτό θα σηματοδοτήσει την κατάσταση του φορτίου στον επεξεργαστή.
Όσον αφορά τις ταχύτητες, όλα εξαρτώνται από τη συχνότητα 1 πυρήνα. Η κρυπτογράφηση υλικού δεν υποστηρίζεται, δηλαδή, όσο υψηλότερη είναι η συχνότητα πυρήνα, τόσο μεγαλύτερη είναι η συνολική ταχύτητα. Για παράδειγμα, το 4011, ο πυρήνας του είναι αρκετά τολμηρός, κατά τη γνώμη μου, έχει ένα πυρήνα 1,4, μπορούμε να εχουμε περίπου 150-200 mbps σε έναν πυρήνα. Στο rb750gr3 μου, αντίστοιχα, λίγο λιγότερο. Φυσικά, μην ξεχνάτε την ταχύτητα που παρέχει ο πάροχος. Μην βασίζεστε σε υπερβολικά υψηλές ταχύτητες στο OpenVPN. Εάν τα σχέδιά σας πρόκειται να χρησιμοποιήσετε το OpenVPN για όλους τους πελάτες σας παγκοσμίως, τότε το X86 θα σας βοηθήσει.
Πολλοί θα έχουν μια ερώτηση - Γιατί έχω δημιουργήσει ένα Template CA TEST; Επειδή το Template δημιουργείται πρώτα, επειδή ακόμη και σε easy rsa, θυμηθείτε, δημιουργείτε το Template σε έναν ξεχωριστό φάκελο, ένα ξεχωριστό αρχείο, εδώ έχουμε το Template, αυτό θα έχετε στο εσωτερικό του Certificate και αυτό θα είναι το ίδιο το Template.
Και έτσι, το πιστοποιητικό χρήστη, το κάναμε επίσης. Αλλά, πρέπει να το πάρουμε από κάπου! Επομένως, το εξάγουμε! Αλλά, εξάγουμε χρησιμοποιώντας με έναν κωδικό. Usernames και κωδικοί πρόσβασης, γράψτε καπου, θα χρειαστούν. Ειδικά τον κωδικό Export Passphrase.
Export.
19. Ανοίξτε Files
Όπως μπορείτε να δείτε, έχουμε 2 νέα αρχεία. Ένα ανοιχτό κλειδί, ένα άλλο ιδιωτικό. Κάντε λήψη στον υπολογιστή σας.
20. Ανοίξτε certificate στον επεξεργαστή κειμένου με το όνομα cert_export_romankonis.crt (PHP EXPERT EDITOR)
21. Δημιουργούμε ένα νέο έγγραφο, για λόγους ευκολίας, χρησιμοποιήστε PHP EXPERT EDITOR όπως και εγώ. Το περιεχόμενο θα έχει αυτό.
Κώδικας:client dev tun proto tcp remote IP or DDNS 1194 // γράψτε σταθερή σας IP η DDNS την πόρτα δεν την αλλάζετε αν δεν υπάρχει πραγματική ανάγκη. resolv-retry infinite nobind persist-key persist-tun auth-user-pass remote-cert-tls server verb 3 route 192.168.0.0 255.255.0.0 // αλλάζουμε αν έχουμε διαφορετικό δίκτυο από τα υφιστάμενα δεδομένα <cert> Στο πεδίο αυτό, εισάγετε το περιεχόμενο του αρχείου cert_export_romankonis.crt </cert> <key> -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED // Εδώ θα βάλουμε ένα περιεχόμενο από ένα αρχείο με την μορφή .key, άλλη πριν το κάνουμε, θα κάνουμε σημαντικές ενεργίες. Θα το δείτε παρακάτω. -----END RSA PRIVATE KEY----- </key> <ca> Εδώ πρέπει να εισαγάγετε το περιεχόμενο του κλειδιού CA, από το αρχείο cert_export_Test CA.crt </ca>
Αλλά υπάρχει μια προειδοποίηση αν εισάγουμε το περιεχόμενο του αρχείου cert_export_romankonis.key σε μορφή .key μεταξύ <key> </ key> Τι θα εχουμε; Σε γενικές γραμμές, τα Windows και η MAC θα συνδεθούν. Κατ 'αρχήν, δεν υπάρχουν προβλήματα. Όμως, οι κινητές συσκευές δεν θα συνδεθούν. Έχουν μια μορφή κλειδιού που πρέπει να αντιστοιχεί σε αυτό το είδος
Κώδικας:-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED -----END RSA PRIVATE KEY-----
Πρέπει να είναι RSA. Mikrotik, δυστυχώς, από προεπιλογή δεν μπορεί να φορτώσει ένα certificate σε μορφή RSA. Επομένως, πρέπει να το μετατρέψουμε με το χέρι σε μορφή RSA. Γι 'αυτό είναι απαραίτητο.
22.Εγκαταστήστε το openssl στον υπολογιστή
Ρίξτε στο φάκελο C:\Program Files\ΟpenSSL-Win64\bin το αρχείο το cert_export_romankonis.key
Εκτελέστε το openssl.exe με δικαιώματα διαχειριστή
Πληκτρολογήστε την εντολή rsa -aes256 -in cert_export_romankonis.key -out romankonis.key (εδώ το αρχείο που έχει μετατραπεί έχει ένα συντομευμένο όνομα, το κάνω για λόγους ευκολίας)
Εισαγετε τον κωδικό Export Passphrase που καθορίστηκε στο Mikrotik , σας είπα γι 'αυτό όταν εξήχθη το certificate χρήστη. Οι καταχωρημένες τιμές δεν θα εμφανιστούν. Απλά πληκτρολογήστε τον σωστό κωδικό Export Passphrase. Δεν πρόκειται για κωδικό πρόσβασης χρήστη, είναι ένας μυστικός κωδικός Export Passphrase.
Εισαγετε έναν νέο κωδικό πρόσβασης για το ιδιωτικό κλειδί και επαναλάβετε ξανά τον νέο κωδικό πρόσβασης του ιδιωτικού κλειδιού, όπως και οι χαρακτήρες δεν θα εμφανιστούν και τίποτα δεν θα συμβεί, στην πραγματικότητα όλα συμβαίνουν σε ιδιωτική λειτουργία.
Done!
Θυμηθείτε σχετικά με τους κωδικούς πρόσβασης που εισαγετε και αυτούς που δημιουργήσατε στο Mikrotik, συχνά σε αυτό το στάδιο συμβαίνουν πολλά λάθη και πολλά άτομα ξοδεύουν χρόνο για την επίλυση αυτού του προβλήματος, αυτό συνεπάγεται την επαναδημιουργία του πιστοποιητικού χρήστη Αν δεν βρεθεί σωστός κωδικός Export Passphrase
23. Μεταφέρετε το τελικό αρχείο romankonis.key από το φάκελο bin του προγράμματος OpenSSL στο φάκελο όπου ειναι όλα τα υπόλοιπα πιστοποιητικά που έχουν ληφθεί από Mikrotik. Μπορείτε να αφήσετε το παλιό, αν κάτι πάει στραβά. Στη συνέχεια, εισάγετε το περιεχόμενο του νέου αρχείου romankonis.key στο νέο αρχείο που είχαμε φτιάξει στο php expert editor και βάζουμε μάταξη <key> </key> Αυτό πρέπει να είναι στο περιεχόμενο του config file.
Κώδικας:client dev tun proto tcp remote IP or DDNS 1194 // γράψτε σταθερή σας IP η DDNS την πόρτα δεν την αλλάζετε αν δεν υπάρχει πραγματική ανάγκη. resolv-retry infinite nobind persist-key persist-tun auth-user-pass remote-cert-tls server verb 3 route 192.168.0.0 255.255.0.0 // αλλάζουμε αν έχουμε διαφορετικό δίκτυο από τα υφιστάμενα δεδομένα <cert> -----BEGIN CERTIFICATE----- MIICfjCCAeegAwIBAgIIOjIWGfFbp6cwDQYJKoZIhvcNAQELBQAwTDELMAkGA1UE BhMCR1IxDzANBgNVBAgMBkFUSEVOUzENMAsGA1UECgwESE9NRTELMAkGA1UECwwC SVQxEDAOBgNVBAMMB1Rlc3QtQ0EwHhcNMTkwOTA2MTYyOTQ5WhcNMjkwOTAzMTYy OTQ5WjAVMRMwEQYDVQQDDApyb21hbmtvbmlzMIGfMA0GCSqGSIb3DQEBAQUAA4GN ADCBiQKBgQDFKIyjl+oL1YzEJLG9m/uRaqN/eR1NPKWVhg6c8LgtFTxUSUGnlkCO wLhdQAbiNXXC70EE9xbGOPnbQRolP0mqRzCPNWZNMRPtfIO4HPsVP7bIfniz6VKZ //Εδώ είναι περιεχόμενο από το CA. cert_export_romankonis.crt 3F84CxTqUmuNZYijTdr08YTydAIvYXApBdu3+EOJ+2OQ6yGYBX/tfwIDAQABo4Gf MIGcMA8GA1UdEwEB/wQFMAMBAf8wDgYDVR0PAQH/BAQDAgG2MBMGA1UdJQQMMAoG CCsGAQUFBwMCMB0GA1UdDgQWBBRiM1W7dAKJEexVmVI89qPHPMgZiTAfBgNVHSME GDAWgBS4R4TfwW/vz2X7xLLx+71EZb3rCTAkBglghkgBhvhCAQ0EFxYVR2VuZXJh dGVkIGJ5IFJvdXRlck9TMA0GCSqGSIb3DQEBCwUAA4GBACbJbOXj5U1kdgmUZIPx AttHrlEASxdvYCXYLmeI0NbGjIZmOMJ7jWYojQpC3G/hsUGwWxKjS7cuRaxnxbo6 RwXHoXoVyZSc9KgF0uv9gF8FN5isEBdzZY1NfW2gOyHG8DKXeq/pB8jEzMAfmo+r wMlqEdYdzBHUSSXErTc9V5fC -----END CERTIFICATE----- </cert> <key> -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED -----BEGIN ENCRYPTED PRIVATE KEY----- MIICzzBJBgkqhkiG9w0BBQ0wPDAbBgkqhkiG9w0BBQwwDgQIILODTxYGAVECAggA MB0GCWCGSAFlAwQBKgQQ/fheLtXTqlp0As7HR3+URwSCAoBW4D2A86ohTywxJLni AubA467z+0b3qYkyYR2IgWwctfZij6Tn6HqhipiXy0zT8LJGfvP2U9LoFvXYCpuB FPE8xUEMrHXiVoPoAAa56jsU1m/8PKR4UXh7l1sR130bzP1FYLXvIEq4x/ur3uBb Al0kjcA7TNZtbJZY/2pSgsWCvb1mfszyDbhKQui28fbob4D0RfvvSR8XfXXqnENH xjma612azRQAH7JeSfRdcQnAZbg/FDLHai6Ca9/L0thj9LL9BxsykF5eYDkVePP3 NenyvFmhiC5Ye9jA22PJUNhfhNLfFX35XScYNeL+Jbm/j+q4FNroRVO3m37nys5+ EuXMIm/jLi7qTqVXuCPqvCPI9zSR995vuB6pe/2LHDMINMx6KybQ4AxfuWY7toTk //Εδώ είναι περιεχόμενο από το romankonis.key 2qGnvzsimtrRlXnxxq3MKyFBQFeZ3wHLcRRjmGxfJi1uN3XcsXTtkXGifbL+Slur 5uBAOSoFjj6PJB5ZOpPyZgdzcsuw0OBFuWJcZXAXBynmEtDDaxgmUSETduvY/wEA ueZLELzk2d9P/naDyoD5nIHx6dyzwfaGfemkhfOdvsf/pyO7fZa0A5RKpU8UUpi0 RBS+lpVA7pjZju5wTDEht6R0pbVKEX/jmYu3vmhf4HsNK1E9F8aaE2o5mSW3sSJi v0mvW6/xF11Px31THFainSCO3bfl6/DIvoN17apQN8PG8D7a2e4YPv+misxrYs1b MBN87XY5el69tTpfVeoLA4Ce5UF2NGieBzTyewAhMTv0xsZQfQ40/qca3NTM983j 5sm00Ql+QP3AxGUMpTfJm2tARKokR7GCgiLyQXw6AGP8SdMh76gOWsoNOA4S/Ipi kxN3 -----END ENCRYPTED PRIVATE KEY----- -----END RSA PRIVATE KEY----- </key> <ca> -----BEGIN CERTIFICATE----- MIICtDCCAh2gAwIBAgIIBbNHs8iF4cIwDQYJKoZIhvcNAQELBQAwTDELMAkGA1UE BhMCR1IxDzANBgNVBAgMBkFUSEVOUzENMAsGA1UECgwESE9NRTELMAkGA1UECwwC SVQxEDAOBgNVBAMMB1Rlc3QtQ0EwHhcNMTkwOTA2MTIwNDQwWhcNMjkwOTAzMTIw NDQwWjBMMQswCQYDVQQGEwJHUjEPMA0GA1UECAwGQVRIRU5TMQ0wCwYDVQQKDARI T01FMQswCQYDVQQLDAJJVDEQMA4GA1UEAwwHVGVzdC1DQTCBnzANBgkqhkiG9w0B AQEFAAOBjQAwgYkCgYEA85QInArBWr+H6xoyl1iyhCkoEaReF7L2lsEydZaq/2LX LC9LuDJJX4O1dAMkiS5ibP1nPtXCtvfRC5b+EltzjgnJP11LUNbovQKPr9PEHaEj //Εδώ είναι περιεχόμενο από το CA. cert_export_Test CA.crt X8zV4xOyAu83oJg/cFb9V3BxzdwFxL2P8A64syUlDLvVdX/qdPv3/WIXERX1InsC AwEAAaOBnjCBmzAPBgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBtjAdBgNV HQ4EFgQUuEeE38Fv789l+8Sy8fu9RGW96wkwMwYDVR0fBCwwKjAooCagJIYiaHR0 cDovL3JvbWFuLmR5bnNlcnYub3JnL2NybC8yLmNybDAkBglghkgBhvhCAQ0EFxYV R2VuZXJhdGVkIGJ5IFJvdXRlck9TMA0GCSqGSIb3DQEBCwUAA4GBAAJMK8bzb0hx CmwFVHn+BVxi1BeuO8/l83HO6TdEdsJMWkMIwuf6aWh6hIU1PAZh9EyRMzmLHfRG IjwU778NQnDivD8x8ZqqorVR7wSuLr3zAPqzYY3nIng01Edb0Wg/QudTOB1ujO5p NPJ8RH4/0K+S8SftIPUprHox3buisna+ -----END CERTIFICATE----- </ca>
Στο τελικό αποτέλεσμα, το config file θα πρέπει να έχει αυτό το περιεχόμενο, φυσικά, όλα τα κλειδιά πιστοποιητικών και τα κλειδιά RSA θα έχουν διαφορετικές τιμές. Αποθηκεύουμε αυτό το αρχείο, αλλά καθορίστε οποιοδήποτε όνομα αρχείου και βεβαιωθείτε ότι έχετε καθορίσει τη μορφή .ovpn στο τέλος μετά το όνομα όπως υποδεικνύεται στο romankonis.ovpn μου.
Ως αποτέλεσμα, λάβαμε ένα καθολικό αρχείο romankonis.ovpn για όλες τις συσκευές μας για άμεση σύνδεση. Mobile συσκευές, MAC και Windows.
Για να ελέγξετε τη λειτουργικότητα, αποθηκεύστε το αρχείο, για παράδειγμα, με το όνομα romankonis.ovpn και ρίξτε το στο φάκελο C:\Program Files\OpenVPN\config και δοκιμάστε να συνδεθείτε χρησιμοποιώντας το Client OpenVPN στον υπολογιστή σας.
Πληκτρολογήστε το όνομα χρήστη και τον κωδικό πρόσβασης, αν όλα είναι σωστά, θα εμφανιστεί ένα δεύτερο παράθυρο για την εισαγωγή του μυστικού κλειδιού που εισαγαε στη γραμμή εντολών κατά την αλλαγή της μορφής κλειδιού στο SRA. Θυμάστε είχατε πληκτρολογήσει νέο κωδικό;; Αυτό βάζουμε. Πληκτρολογήστε αυτόν τον κωδικό πρόσβασης. Εάν κάνατε τα πάντα σωστά, αφού περάσετε την επαλήθευση του χρήστη, τη διαμόρφωση και την επαλήθευση πιστοποιητικών, θα γίνει η σύνδεση, το παράθυρο OpenVPN θα εξαφανιστεί. Πως ελέγξουμε αν υπάρχει πραγματικά μια σύνδεση στο Mikrotik και έχουμε IP; Βλεπουμε Mikrotik.
Ωραία! Όλα λειτουργούν.
Έλεγχος της σύνδεσης σε κινητή συσκευή, στην περίπτωση μου Android. Φορτώνω το αρχείο romankonis.ovpn στη μνήμη του τηλεφώνου, ρυθμίζω τη σύνδεση, καθορίζω τον κωδικό πρόσβασης και το μυστικό κλειδί που εισάγαμε κατά την εγκατάσταση της μορφής SRA στη γραμμή εντολών. Θυμάστε είχατε πληκτρολογήσει νέο κωδικό;; Αυτό βάζουμε
Ελέγξτε τη σύνδεση, λειτουργεί! Όλα είναι ωραία.
24. Ρυθμίστε το Firewall, δεν υπάρχει τίποτα ιδιαίτερο. Δείτε εικόνες.
1. Πρόσβαση από το εξωτερικό μέσω του OpenVPN -> Mikrotik.
2. NAT
3. Συνοπτικά, αν κάποιος θέλει να έχει πρόσβαση OpenVPN μέσω του Mikrotik στο Sppedport Plus
4. Επιπλέον, είναι πολύ σημαντικό να χρησιμοποιείτε ελεγχόμενη πρόσβαση χρησιμοποιώντας Address List
Firewall Rulles
Για να συνδεθείτε με το διακομιστή, χρησιμοποιείται μία θύρα - που καθορίζεται στις ρυθμίσεις του διακομιστή OpenVPN
Η αλυσίδα για τον κανόνα είναι INPUT
Για να περιορίσετε την επισκεψιμότητα από πελάτες, μπορείτε να χρησιμοποιήσετε το IN-interface - "all ppp"
Μπορείτε επίσης να χρησιμοποιήσετε στατικές διεπαφές για να δημιουργήσετε κανόνες - binbing OVPN-Server
Μέσω του προφίλ, μπορείτε να προσθέσετε διεπαφές πελάτη σε ένα συγκεκριμένο interface list
Μέσω του προφίλ, μπορείτε να προσθέσετε διευθύνσεις IP-πελάτη σε ένα συγκεκριμένο address list
/ip firewall filter
add action=accept chain=forward comment=\
"In Interface" in-interface=all-ppp
add action=accept chain=forward comment=\
"Output" out-interface=all-ppp
add action=accept chain=input comment="OpenVPN Port" dst-port=1194 protocol=\
tcp
Μειονέκτημα PPP, δουλευει για όλα PPP
Ενεργοποίηση logs στο MikroTik
/system logging action add name=openvpn target=memory
/system logging add action=openvpn topics=ovpn,debug
Ενεργοποίηση της καταγραφής από την πλευρά του πελάτη
verb 3 # ορίζει το επίπεδο του περιεχομένου πληροφοριών των μηνυμάτων εντοπισμού σφαλμάτων. Μπορεί να πάρει μια παράμετρο από 0 έως 11
Πρόσθετες πληροφορίες
Είναι λογικό να διορθώσετε τη διασύνδεση OpenVPN κατά τη σύνδεση του πελάτη με τον διακομιστή. PPP - Interfaces, κάντε κλικ στο + και επιλέξτε OVPN Server Binding
Name: OpenVPN
Username: romankonis
Apply - ΟΚ
Αν χρησιμοποιήσουμε κάποιο είδος συστήματος παρακολούθησης, ιδιαίτερα snmp, έτσι ώστε να μην αναγεννήσει oid snmp. Είναι σωστό να δημιουργήσετε μια παρόμοια διεπαφή. Και μπορούμε να δημιουργήσουμε περαιτέρω έναν κανόνα για αυτήν τη διασύνδεση.
IP – Firewall - +
Chain – forward
In. Interface – OpenVPN
Τι άλλο μπορεί να γίνει; Έχουμε ένα προφίλ OpenVPN, έχουμε τη δυνατότητα να τα προσθέσουμε άμεσα σε μια συγκεκριμένη λίστα διεπαφών. Μπορούμε να το δημιουργήσουμε και ακόμη και δυναμικές διεπαφές θα προστεθούν εκεί.
Interfaces – Interface list πατήστε το κουμπί List και +
Name: OpenVPN
Apply – OK
Επιστρέψτε εδώ PPP – Profiles και ανοίξτε το OpenVPN προφίλ και επιλέξτε στην ενότητα Interface list ένα πρώιμο φύλλο που δημιουργήθηκε από εμάς με το όνομα OpenVPN.
Επιπλέον, κατά τη δημιουργία των κανόνων, δεν χρησιμοποιούμε πλέον In. Interface - Out. Interface αλλαζουμε σε In. Interface List η Out. Interface list Αυτοί είναι πιο παγκόσμιοι κανόνες.
Έχουμε μια ακόμη ευκαιρία Address List ανοιγουμε
PPP – Profiles το προφίλ μας OpenVPN και στο τμήμα Address List μπορούμε να δημιουργήσουμε Address List γράψτε το όνομα OpenVPN στο τμήμα Address List. Apply - OK.
Την οποία μπορούμε επίσης να προσθέσουμε στους κανόνες μας.
Τελος, ευχαριστω, που ξοδέψατε το χρόνο σας διαβάζοντας αυτό το εγχειρίδιο, αν υπάρχουν σφάλματα, επιστρέψτε στο εγχειρίδιο και ελέγξτε, αν είναι απαραίτητο, να αναγράψετε τις διευθύνσεις και pool σας και όλα τα άλλα εμπιστευτικά στοιχεία σας. Στη μέθοδο που παρουσιασα, έχουμε συνδεση χρησιμοποιώντας το DDNS. Αν έχετε στατικό IP, καθορίστε το, διαφορετικά το DDNS. Υπάρχουν σενάρια στο Διαδίκτυο για τη σύνδεση των DDNS, τη χρήση τους, μαζί με την αυτόματη ενημέρωση στο Mikrotik. Μην χρησιμοποιείτε την ανοικτή λειτουργία Cloud από τη Mikrotik. Σε σχέση με τη θύρα 1194, μερικές φορές σε ξενοδοχεία ή σε άλλα σημεία, όλες θύρες είναι κλειστές εκτός από 80, στην περίπτωση αυτή χρησιμοποιήστε 443. Αυτή η εντολή είναι προεπιλεγμένη για όλες τις συσκευές και είναι γρήγορη για τη διαμόρφωση. Όπως βλέπετε, δεν υπάρχει τίποτα περίπλοκο. Φυσικά, η διαμόρφωση και τα άλλα αρχεία ρυθμίσεων που χρησιμοποιώ για τους πελάτες είναι εμπιστευτικά και έχουν πιο πολύπλοκη διαμόρφωση και μεγαλύτερη ασφάλεια. Μια ανοικτή και εύκολη διαμόρφωση παρουσιάζεται για εσάς. Επιτρέποντας γρήγορο και εύκολο setup του OpenVPN. Αφήστε τις ερωτήσεις και τα προβλήματα που αντιμετωπίζετε + σχόλια και συστάσεις, θα χαρώ να σας βοηθήσω και να απαντήσω.
Εμφάνιση 1-15 από 96
-
07-09-19, 04:25 OpenVPN - Windows, Mac OS, Android, iOS - Universal Solution #1
Τελευταία επεξεργασία από το μέλος romankonis : 07-09-19 στις 14:06.
-
07-09-19, 13:12 Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #2
1. Ωραίος ο οδηγός σου.
2. Γιατί δεν τον πρόσθεσες στο θέμα που έχουμε για το openvpn;
3. Ξεκινώντας γράφεις:
Παρατήρησα ότι υπάρχουν αρκετά προβλήματα με configuration σε Mikrotik Open VPN με και χωρίς certificate
Προφανώς αναφερόσουν στις δυσκολίες να σετάρουν κάποιοι το openvpn| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
07-09-19, 13:18 Re: Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #3
1. Ευχαριστώ
2. Επιδή αν θα το είχα κάνει εκεί, είμαι σίγουρος ότι θα είχε χαθεί, αν κάποιος θα ήθελε να το βρει, θα χανόταν τον χρόνο του. Ανοίγοντας καινούργιο θέμα, λύνω πολλές δυσκολίες για τους χρήστες. Εδώ όλα είναι καταχωρημένα, μαζεμένα, οργανωμένα και με βήματα, δε χρεαιζεται να ψάχνεις.
3. Όταν έγραψα προβλήματα, εννοούσα τις δυσκολίες των χρηστών.
-
07-09-19, 13:19 Απάντηση: Re: Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #4
-
07-09-19, 13:20 Re: Απάντηση: Re: Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #5
-
08-09-19, 21:56 Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #6
καλησπέρα, μπραβο πολυ καλος ο οδηγος!
και καλα εκανες που εκανες νεο θεμα γιατι ετσι θα υπαρχει ΞΕΧΩΡΙΣΤΑ, αλλιως οπως ειπες θα χανοταν στις σελιδες του αλλου θεματος και δεν θα το εβρισκε κανεις! επισης ο αλλος δεν εχει σχεση καθως αναφερετε σε openvpn server απο mikrotik αλλα android μονο openvpn client, αν και μετα ξεκινησαμε να τα λεμε και για αλλους clients αλλα χωρις οδηγους.
Επισης οπως ειναι γνωστο δεν μπορει να γινει καπως edit στην 1η σελιδα στο αρχικο θεμα ωστε να εμπαινε εκει και δεν ειναι και δικο σου αλλωστε.
θα τα σωσω σε ενα doc (pdf) να τα εχω κιολας, ευχαριστω για την πολυ καλη δουλεια που εκανες και τον τοσο χρονο που αφιερωσες προφανως και με τοσα screenshots!!!Τελευταία επεξεργασία από το μέλος Nikiforos : 08-09-19 στις 22:10. Αιτία: Συμπληρωματα προτασεων
-
08-09-19, 23:15 Re: Open VPN - Windows, Mac OS, Android, iOS #7
Να σε καλά, ελπίζω θα είναι χρήσιμο.
-
09-09-19, 09:19 Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #8
Μπράβο για τον κόπο σου, ωραίος οδηγός!
-
09-09-19, 09:31 Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #9
Πολυ καλος οδηγος και δε τρεχει καστανο αν ολοι μας κανουμε και απο εναν οδηγο. Αυτο πρεπει ουτως ή αλλως.
Άλλα Ντάλλα....
-
09-09-19, 17:27 Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #10
Να'στε καλά)))
-
09-10-19, 17:24 Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #11
πως περνάει το username/password μέσα στο ovpn αρχείο? στο ovpn αρχείο η εντολή είναι
Κώδικας:auth-user-pass
ώστε ο χρήστης να λαμβάνει μόνο ένα αρχέιο για να συνδευεί και να μην πληκτρολογεί κάτι και να συνδέεται απευθείας.
-
09-10-19, 17:59 Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #12
-
10-10-19, 07:31 Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #13
Διαβάζοντας τον οδηγο βλεπω αναφορες σε ντεφια, αποχρώσεις και αλλα απομεινάρια του gοοgle translate.
Δεν βαζεις και το Original κειμενο/πηγη?
Απο κει και περα openvpn server χωρις tls-auth (που δεν υποστηριζει απο οσο εχω ψαξει το mikrotik) ειναι ερμαιο των διαθεσεων καθε κινεζου να το κατεβαζει με ευκολο dos attack.
Και το κακο ειναι οτι συμβαινει συχνα.
-
10-10-19, 10:54 Re: Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #14
-
10-10-19, 19:58 Απάντηση: Open VPN - Windows, Mac OS, Android, iOS #15
Καλησπέρα, ειπαμε το mikrotik openvpn το λεγομενο OVPN ειναι για τα μπαζα....
Το εχω ομως γιατι στο εξοχικο δεν εχω καποιο μηχανημα με linux εκει. Δεν εχω καθολου μα καθολου χρονο να ασχοληθω αλλιως θα μπορουσα να βαλω ενα pi zero οπως στην Αθηνα με πολυ χαμηλο κοστος.
Αλλιως εχω και σε linux nas server και σε raspi (raspbian pivpn) αλλα και σε android (εγω το εχω κανει σε tv box) υπαρχει τροπος με linux exploit δλδ τρεχεις μια διανομη linux πχ debian και απο εκει openvpn server κομπλε.
Στο mikrotik δεν υποστηριζει LZO compression, UDP, tls και κατι αλλο ηταν που δεν θυμαμαι τωρα.
Εχει μπει απο την εκδοση 3!!!!!! και ειμαστε στην 6.45 κατι και ΑΚΟΜΑ δεν τα εχει φτιαξει!
απλα ΔΕΝ νοιαζονται δε νομιζω οτι ειναι ΤΟΟΟΟΣΟ ανικανοι....
και ΝΑΙ θα τους κραζω 500 χρονια γιαυτο....
Bookmarks