Mikrotik OpenVPN Server με Android Client

[deniSun]

Denisun δοκίμασα με copy folder στο desktop
και έψαξα να βρώ μέσω cmd να αλλάξω το default dir του openvpn-gui.exe που είναι στο registry και δε τα κατάφερα (μόνο για Linux βρήκα λύση)
οπότε τα πετάς σε ένα στικάκι και μέσα απο το folder του openvpn τρέχεις ένα .bat που να έχει το config που θές

παράδειγμα

Κώδικας:

C:\Users\teodor\Desktop\OpenVPN> bin\openvpn.exe config\eksohiko-maiami.ovpn

αν υπάρχει ο driver εγκατεστημένος δε βλέπω το λόγο να μή δουλέψει

α το βρήκα και με το GUI

Κώδικας:

C:\Users\teodor\Desktop\OpenVPN> bin\openvpn-gui.exe --config_dir config\

οπότε αν το φλασάκι είναι το Ε:\
πετάς μέσα τον openvpn φάκελο
φτιάχνεις το αρχείο E:\Openvpn.bat
βάζεις μέσα

Κώδικας:

bin\openvpn-gui.exe --config_dir config\

Ευχαριστώ.
Θα το δοκιμάσω.

[teodor_ch]

Σήμερα που με ξαναδιαβάζω, φυσικά μπορείς στο bat να βάλεις να συνδέεται αυτόματα με κάποιο συγκεκριμένο config.
Αλλιώς ανοίγεις GUI και ξεκινάς απο εκεί.

[gfdimopo]

Καλησπέρα σε ios που χρησιμοποιώ open vpn μου έβγαλε το μήνυμα TLS: received certificate signed with MD5. Please inform your admin to upgrade to a stronger algorithm. Support for MD5 will be dropped at end of Apr 2018.

Καταλαβαίνω ότι πρέπει να φτιάξω ξανα τα πιστοποιητικά! σωστα?

[minas]

Καλησπέρα σε ios που χρησιμοποιώ open vpn μου έβγαλε το μήνυμα TLS: received certificate signed with MD5. Please inform your admin to upgrade to a stronger algorithm. Support for MD5 will be dropped at end of Apr 2018.

Καταλαβαίνω ότι πρέπει να φτιάξω ξανα τα πιστοποιητικά! σωστα?

Εάν το πιστοποιητικό είναι πράγματι με MD5, ναι. Έχω συναντήσει περιπτώσεις που έβγαζε το μήνυμα ακόμη κι όταν το πιστοποιητικό δεν είναι με MD5.

[teodor_ch]

Έκανα αναβάθμιση στο openvpn gui στα win10
και πήρα το παρακάτω

Κώδικας:

Tue May 22 10:33:28 2018 us=623258 OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak
Tue May 22 10:33:28 2018 us=623755 MANAGEMENT: Client disconnected
Tue May 22 10:33:28 2018 us=623755 Cannot load certificate file xxxxx.crt
Tue May 22 10:33:28 2018 us=623755 Exiting due to fatal error

Οπότε ήρθε η ώρα να ξαναφτιάξω πιστοποιητικά απο ότι κατάλαβα.

Διαβάζω

SHA1 and MD5 is outdated.

Οι οποίες είναι οι μόνες επιλογές στο ΜΚ στο Auth.

Μέσω του Unraid server μου δουλεύει τέλεια αλλά ήθελα να έχω μία backup λύση.

- - - Updated - - -

Το έχει αντιμετωπίσει κανείς άλλος και πώς?

[newfis]

Παίδες καλησπέρα
Πήραμε για την δουλειά το rb3011. Έχω την 6.42.3 πάνω και ξεκινάω από το σπίτι να το σετάρω για να είναι έτοιμο για την δουλειά.
Open vpn server σε τούνελ (ip) στο router και client στα win.
Έχω ξαναστήσει και δουλεύουν σε άλλες δύο τοποθεσίες OpenVPN με άλλα router.
Η έκδοση που χρησιμοποιώ στο PC είναι 2.4.4 (OpenSSL 1.0.2)
Στήνω τα πολύ βασικά και ξεκινάω με τον OpenVPN .
Το πρόβλημα είναι πως από 3g στο wan του σπιτιού δεν ακούει τίποτα το router (τα logs δε γράφουν, έχω βάλει lan από το pc στο router χωρίς πύλες και dns για να το παρακολουθώ κατά την διάρκεια του connect)
Παρατήρηση με wireshark τα πακέτα φεύγουν στην πύλη του ote αλλά δε φτάνουν στο router.
στον client κολλάει στο με μήνυμα MANAGEMENT: >STATE:1528039100,TCP_CONNECT,,,,,,
ping από το 3g στο public ip μου γινεται κανονικά.

Μέσα από το lan χρησιμοποιώντας την τοπική ip συνδέομαι στο δευτερόλεπτο.
Στους άλλους server που έχουμε στήσει μπαίνω κανονικά από το ίδιο pc σε UDP 1194

Έχω αλλάξει και την συνδεσμολογία από ppp passthrough του speedport σε bridge για να βεβαιωθώ πως δε υπάρχει θέμα μεταξύ public και private ip στον ote.

compression είναι off, με tcp σε tunnel

Έχω δοκιμάσει τις παναγιάς τα μάτια (πόρτες tcp 443, 11194, και άλλες άσχετες)

το μόνο που μου μένει να δοκιμάσω είναι να βάλω στο 3g stick που έχουμε για την backup του router vpn-internet, περιμένω να ενεργοποιηθεί από ote (θέλει 24 ώρες) για να κάνω το αντίθετο (από επίγειο client σε 3g server)

Τέλος έχω κλείσει για δοκιμή μέσα από το https://ps.otenet.gr/ το firewall του wan (του σπιτιού μου) μπας και κόβει κάτι ο ote….(???)


με λίγα λόγια ΒΟΗΘΕΙΑ και ευχαριστώ.

[deniSun]

Παίδες καλησπέρα
Πήραμε για την δουλειά το rb3011. Έχω την 6.42.3 πάνω και ξεκινάω από το σπίτι να το σετάρω για να είναι έτοιμο για την δουλειά.
Open vpn server σε τούνελ (ip) στο router και client στα win.
Έχω ξαναστήσει και δουλεύουν σε άλλες δύο τοποθεσίες OpenVPN με άλλα router.
Η έκδοση που χρησιμοποιώ στο PC είναι 2.4.4 (OpenSSL 1.0.2)
Στήνω τα πολύ βασικά και ξεκινάω με τον OpenVPN .
Το πρόβλημα είναι πως από 3g στο wan του σπιτιού δεν ακούει τίποτα το router (τα logs δε γράφουν, έχω βάλει lan από το pc στο router χωρίς πύλες και dns για να το παρακολουθώ κατά την διάρκεια του connect)
Παρατήρηση με wireshark τα πακέτα φεύγουν στην πύλη του ote αλλά δε φτάνουν στο router.
στον client κολλάει στο με μήνυμα MANAGEMENT: >STATE:1528039100,TCP_CONNECT,,,,,,
ping από το 3g στο public ip μου γινεται κανονικά.

Μέσα από το lan χρησιμοποιώντας την τοπική ip συνδέομαι στο δευτερόλεπτο.
Στους άλλους server που έχουμε στήσει μπαίνω κανονικά από το ίδιο pc σε UDP 1194

Έχω αλλάξει και την συνδεσμολογία από ppp passthrough του speedport σε bridge για να βεβαιωθώ πως δε υπάρχει θέμα μεταξύ public και private ip στον ote.

compression είναι off, με tcp σε tunnel

Έχω δοκιμάσει τις παναγιάς τα μάτια (πόρτες tcp 443, 11194, και άλλες άσχετες)

το μόνο που μου μένει να δοκιμάσω είναι να βάλω στο 3g stick που έχουμε για την backup του router vpn-internet, περιμένω να ενεργοποιηθεί από ote (θέλει 24 ώρες) για να κάνω το αντίθετο (από επίγειο client σε 3g server)

Τέλος έχω κλείσει για δοκιμή μέσα από το https://ps.otenet.gr/ το firewall του wan (του σπιτιού μου) μπας και κόβει κάτι ο ote….(???)


με λίγα λόγια ΒΟΗΘΕΙΑ και ευχαριστώ.

Κώδικας:

add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
		in-interface=all-ppp protocol=tcp
	add action=accept chain=forward in-interface=all-ppp src-address=\
		192.168.5.0/24

[newfis]

Κώδικας:

add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
		in-interface=all-ppp protocol=tcp
	add action=accept chain=forward in-interface=all-ppp src-address=\
		192.168.5.0/24

Είχα βάλει το πρώτο rule χωρίς να ορίσω Interface, το καθόρισα, έβαλα και το forward που έγραψες αλλά πάλι τίποτα.
Τελικά σαν newfis που είμαι είχα βάλει να καταγράφει μόνο τα accept rules και όχι τα drop. τώρα το log μου γράφει αυτό

Κώδικας:

firewall,info drop(prefix) input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), xx.client.ip:58561->xx.server.ip:1194, len 52

[deniSun]

Σε ποιο σημείο τα έβαλες;

[newfis]

Σε ποιο σημείο τα έβαλες;

ΦΑΓΑΜΕ ΠΑΚΕΤΟ άστο... με το που το έγραψες μου ήρθε flashια ότι προσπαθούσα να βρω στο wiki την εντολή για το sorting και δε μπορούσα.
Ενώ στο ΝΑΤ σε αφήνει το GUI να τα παραθέσεις όπως θες στα φίλτρα πρέπει να πατήσεις πρώτα το # για να τα φτιάξεις με το ποντίκι.
ευχαριστώ.

ps. στο forward rule που έγραψες το subnet 192.168.5.0/24 ήταν τυχαίο?

[deniSun]

ΦΑΓΑΜΕ ΠΑΚΕΤΟ άστο... με το που το έγραψες μου ήρθε flashια ότι προσπαθούσα να βρω στο wiki την εντολή για το sorting και δε μπορούσα.
Ενώ στο ΝΑΤ σε αφήνει το GUI να τα παραθέσεις όπως θες στα φίλτρα πρέπει να πατήσεις πρώτα το # για να τα φτιάξεις με το ποντίκι.
ευχαριστώ.

ps. στο forward rule που έγραψες το subnet 192.168.5.0/24 ήταν τυχαίο?

Είναι το εσωτερικό σου δίκτυο.
Το 5.0 είναι το δικό μου.

[newfis]

Είναι το εσωτερικό σου δίκτυο.
Το 5.0 είναι το δικό μου.

κατανοείτο απλά έτυχε να είναι και το δικό μου και σκάλωσα...
ευχαριστώ

θα μπορούσαν στο log να βάλουν κάποιες γενικές επιλογές για fw lgo on/off κλπ έφαγα όλη την μέρα... τέλος όλα καλά.

[deniSun]

κατανοείτο απλά έτυχε να είναι και το δικό μου και σκάλωσα...
ευχαριστώ

θα μπορούσαν στο log να βάλουν κάποιες γενικές επιλογές για fw lgo on/off κλπ έφαγα όλη την μέρα... τέλος όλα καλά.

Κάνε μια δοκιμή να ανοίξεις όλα τα logs των δηλώσεων που έχεις για να δεις τι κατάσταση θα επικρατήσει.

[newfis]

μα αυτό έκανα και είδα το χαμό και το πρόβλημα, σωστά, απλά αν μέσα από το menu του log μπορούσες να ανοίξεις-κλείσεις το log fw θα ήταν πιο εύκολο για αρχάριους γιατί οι άλλες ρυθμίσεις είναι θαμμένες μέσα στις καρτέλες.

[deniSun]

μα αυτό έκανα και είδα το χαμό και το πρόβλημα, σωστά, απλά αν μέσα από το menu του log μπορούσες να ανοίξεις-κλείσεις το log fw θα ήταν πιο εύκολο για αρχάριους γιατί οι άλλες ρυθμίσεις είναι θαμμένες μέσα στις καρτέλες.

Μπαίνεις σε κάθε εγγραφή και ανοίγεις/κλείνεις το log.
Πόσο ποιο απλό;