Mikrotik ROS + Express VPN

[Nikiforos]

Δεν έχεις κάποιον γενικό κανόνα masquerade για το vpn;

Αυτος που δειχνω απο πανω ειναι.

[sdikr]

Αυτος που δειχνω απο πανω ειναι.

Αυτός ο πάνω που δίνεις είναι γενικός για μια ip απο το δίκτυο σου
Αν τον αφαιρέσεις αυτόν αυτή η ip πλέον δεν θα ξέρει πως να βγεί μέσω του vpn για μερικές πόρτες έξω

[Nikiforos]

Αυτός ο πάνω που δίνεις είναι γενικός για μια ip απο το δίκτυο σου
Αν τον αφαιρέσεις αυτόν αυτή η ip πλέον δεν θα ξέρει πως να βγεί μέσω του vpn για μερικές πόρτες έξω

δεν ειναι για 1 ip ειναι για ολο το subnet μου, αυτο στο τελος ειναι το subnet μου εχει /27 διπλα.
Οι ips ανηκουν στο δικτυο του AWMN.
Aπλα καποια νουμερα τα εκανα X και μπορει να μην το καταλαβες.

10.Χ.ΧΧΧ.0/27 subnet εχει 255.255.255.224 δινει 30 ips ειναι το εσωτερικο μου δικτυο, το σκετο .10 ειναι το desktop pc που κανω τις δοκιμες.

[sdikr]

δεν ειναι για 1 ip ειναι για ολο το subnet μου, αυτο στο τελος ειναι το subnet μου εχει /27 διπλα.
Οι ips ανηκουν στο δικτυο του AWMN.
Aπλα καποια νουμερα τα εκανα X και μπορει να μην το καταλαβες.

10.Χ.ΧΧΧ.0/27 subnet εχει 255.255.255.224 δινει 30 ips ειναι το εσωτερικο μου δικτυο, το σκετο .10 ειναι το desktop pc που κανω τις δοκιμες.

Κανόνα που να λέει

Κώδικας:

add chain=srcnat action=masquerade out-interface=l2tp-out1

έχεις;

[Nikiforos]

Κανόνα που να λέει

Κώδικας:

add chain=srcnat action=masquerade out-interface=l2tp-out1

έχεις;

καλημερα, δεν εχω τετοιον αλλα τι θα κανει με αυτον ? επειδη δεν εχει source ip λες να παιρνει οτι δινουμε με το mangle? και επειδη εχω ολο το subnet δεν πιανει? δεν καταλαβα.
Ιδιος με αυτον που εχω ειναι απλα δεν εχει source και destination address.

- - - Updated - - -

Και ετσι που το εβαλα δεν αλλαξε κατι παντως.

[sdikr]

Το δοκίμασα μόλις και παίζει, με την μόνη διαφορά οτι στο gateaway εγώ παίζω με Ip και όχι με Interface

[Nikiforos]

Το δοκίμασα μόλις και παίζει, με την μόνη διαφορά οτι στο gateaway εγώ παίζω με Ip και όχι με Interface

Για τι ειδους vpn μιλαμε το ιδιο?
Τι δλδ να βαλω στην ip? αυτη που εχει? ειναι μια απο 10 ειναι πισω απο ΝΑΤ και μπορει και να μην ειναι παντα η ιδια.

[sdikr]

Για τι ειδους vpn μιλαμε το ιδιο?
Τι δλδ να βαλω στην ip? αυτη που εχει? ειναι μια απο 10 ειναι πισω απο ΝΑΤ και μπορει και να μην ειναι παντα η ιδια.

Δεν το κάνω με vpn το κάνω με 2ο wan, αλλά η φιλοσοφία είναι ίδια με τα route παίζεις

[Nikiforos]

Δεν ξερω για καποιον λογο δεν πετυχαινει δυστυχως.

[Nikiforos]

Καλησπερα, γραφω εδω αν εχει κανεις καμια ιδεα που μου διαφευγει.
Τα παραπανω ολα που λεω πιανουν στις συσκευες μου δλδ απο το mangle αλλαζω ip και δινει σε αλλο μηχανημα εκτος το linux desktop!
ειναι το ιδιο pc με windows 10 σε αλλον σκληρο, εκει ολα καλα στο linux δεν πιανει το κολπο, εχω βεβαια και επανω του client και παιζει αψογα αλλα θα ηθελα να δουλευει κανονικα και μεσα απο το mikrotik.
Εχω σπασει το κεφαλι μου και δεν καταλαβαινω γιατι τωρα δεν πιανει ενω οταν ειχα κανει το θεμα επιανε!

Εχει την παραμικρη ιδεα κανεις? οσο εχει να κανει με mikrotik τουλαχιστον.
Αν και ολα ειναι τα ιδια απλα αλλαζω την ip στο mangle.

- - - Updated - - -

Τωρα δοκιμασα σε windows 11 vmware επανω στο linux και την αλλαζει κανονικα, στο linux οχι! πως γινεται αυτο δεν ξερω...

[Nikiforos]

Καλησπερα, σημερα μετα τις δοκιμες στο 109 με την ROS 7.1 μπορω να πω οτι τελικα δεν μας παιζει το express vpn με UDP.
Οι λογοι ειναι οι παρακατω :
1. Θελει TLS που οπως φαινεται δεν υποστηριζει το Mikrotik και παλι, αφου εχω το σχετικο error και ΔΕΝ συνδεεται καν!!!
2. Και οτι στο Auth ζηταει SHA256, ενω στο OVPN client του mikrotik εχει τις επιλογες SHA1, md5 και null.
Τα καλα νεα ειναι οτι δεν θελει LZO compression γιατι και αυτο δεν υποστηριζεται στο mikrotik.

Σχετικα με τα πιστοποιητικα που βγαζει το express vpn για το setup ειναι τα παρακατω που πρεπει να γινουν σε αρχεια και import στο mikrotik (system-certificates).

1. cert
2. key (RSA PRIVATE KEY)
3. tls-auth (2048 bit OpenVPN static key)
4. ca

Δυστυχως ενω τα εκανα ολα σωστα οπως βλεπω συμφωνα με το αλλο OVPN που εχω δεν συνδεεται και λεει φυσικα TLS Failed!!!! ΕΛΕΟΣ ρε Mikrotik ΕΛΕΟΣ!!!! δεν εχει TLS?

[Nikiforos]

καλησπερα, σημερα ειδα την φωτο απο πανω και εχει χρονια 1970....αχαχαχαχαχαχ
ξαναδοκιμασα μπας και αλλα τιποτα παλι TLS failed, αφου εψαξα το επισημο forum κτλ δυστυχως οπως ειπαμε ΑΚΟΜΑ!!!! δεν υποστηριζεται το TLS AUTHENTICATION!!!! ΑΙΣΧΟΣ απλα....

Εγραψα σε εκπροσωπο της Express vpn, παραθετω τα σχετικα :

Κώδικας:

Also, I want to let you know that all of our servers are using TLS-AUTH.

Also, WireGuard protocol is currently not available with our service.
Unfortunately, WireGuard was not originally built for privacy-focused VPNs operating at scale and is not an ideal fit for our customer's privacy, security, and performance needs.

Οποτε μονο l2tp + ipsec.....

[RpMz]

Sign το certificate μέσα στο MikroTik το έχεις κάνει ή απλά κανεις import ?

Από τα logs που έχεις βάλει, είχα παρόμοιο θέμα με ένα ovpn tcp site-to-site και μόλις το έκανα sign το certificate δούλεψε κανονικά.

Επίσης δοκίμασε να επιλέξεις το certificate που λέει για τον customer και όχι του CA και κάνε μια δοκιμή.

[x_undefined]

Μήπως και η λάθος ημερομηνία το χαλάει;

[Nikiforos]

Μήπως και η λάθος ημερομηνία το χαλάει;

Sign το certificate μέσα στο MikroTik το έχεις κάνει ή απλά κανεις import ?
Από τα logs που έχεις βάλει, είχα παρόμοιο θέμα με ένα ovpn tcp site-to-site και μόλις το έκανα sign το certificate δούλεψε κανονικά.
Επίσης δοκίμασε να επιλέξεις το certificate που λέει για τον customer και όχι του CA και κάνε μια δοκιμή.

καλημερα, ειπα οτι ξαναδοκιμασα, τα εφτιαξα σωστα.
ΔΕΝ υποστηριζει TLS-AUTH το OVPN της Mikrotik και οπως ειδατε ολοι οι servers της Express vpn το ζητανε.
Οποτε δεν θα δουλεψει ΠΟΤΕ, γιαυτο και λεει TLS failed γιατι απλα δεν υπαρχει.
Και φυσικα το αρχειο tls-auth key δεν μπορει να γινει import δεν το παιρνει.
Επισης το mikrotik στο Auth εχει SHA1 και θελει SHA256 για τους express vpn servers, οποτε φαουλ και εδω.

Eχω δικους μου ovpn servers και παιζουν μια χαρα χωρις TLS.

Η mikrotik στην ROS 7.X εδωσε στο OVPN το πολυποθητο UDP αλλα παλι ειναι ΜΑΠΑ!!!!
ΔΕΝ υποστηριζει TLS-AUTH, LZO compression και συνδεση χωρις χρηση username+pass (καλα αυτο δεν το θελαμε ετσι κι αλλιως).
Ελπιζω στις επομενες 7.Χ να τα υποστηριξει επιτελους!!!!

Οι servers της express vpn δεν χρησιμοποιουν παντως LZO compression, το TLS ειναι το θεμα γιαυτο δεν παιζει μου το ειπε χτες και ο εκπροσωπος τους.

- - - Updated - - -

Ενταξει δεν σκαμε, απλα θα προτιμουσα ovpn και ακομα καλυτερα wireguard. Παντως και με l2tp+ipsec που το εχω βαλει στο 109, στο hap ac2 (εχει και h/w ipsec) και σε ενα 951 μια χαρα παιζει! απο Linux μηχανηματα παιζω με openvpn κανονικο. Σε win και android εχει client που στην ουσια openvpn χρησιμοποιει.