Mikrotik OpenVPN Server με Android Client

**Nikiforos** · 11-03-19, 19:56

Exω μονο android clients ή windows 7 και 10.
manual routing εχω δοκιμασει δεν αλλαζει κατι.
Στα logs δεν εχω δει γενικα κατι, ΝΑΤ κανονες οπως ειπα εχω δοκιμασει πολλες παραλλαγες στον server επισης δεν αλλαζει κατι.
Αφου ειπαμε οτι παντου λενε και στο επισημο site ακομα οτι δεν γινεται.
Θελει παντεντες οπως ειπες και εσυ ΝΑΤ σε τριτο μηχανημα, ή να ειναι σε linux ο openvpn server γιατι θελει εκει μια δηλωση στο conf για να αλλαξει το default redirect πως το λεει.
Δεν ειναι θεμα ρυθμισεων πελατη, ουτε κανονες ΝΑΤ στο mikrotik ovpn server το θεμα.

Αν το αλλο σημειο ειχε AWMN δεν θα υπηρχε προβλημα γιατι θα περνουσε μονο ιντερνετ.
Οταν περνας απο ιντερνετ σε ιντερνετ, το τοπικο σου δικτυο (εσωτερικες ips) με το openvpn δεν περναει και η ιντερνετικη ip του αλλου σημειου.

Ειναι τσαμπα κοπος με το openvpn αφου δεν γινεται με ενα μηχανημα και mikrotik πρεπει να βρω αλλον τροπο που δεν ειναι επι του θεματος εδω να αναλυσουμε, οπως ειπα και ποιο πριν με pptp vpn γινεται αυτο by default, ισως ειναι και ενας απο τους λογους που δεν ειναι ασφαλες.

- - - Updated - - -

Btw οταν μου χρειαστει, γιατι στο desktop pc θα χρειαστει και οχι σε φορητες συσκευες, απλα για αποφυγη χασιματος χρονου ειπα να το δω εκει πρωτα, οποτε θα δοκιμασω στο linux pc client openvpn, τωρα κοιταξα εχει μεσα στο συστημα του στις ρυθμισεις γραφικο πελατη για vpn και εχει και openvpn και εχει να βαλουμε και δικα μας routes, αν και δε νομιζω να αλλαξει κατι γιατι ειπαμε ειναι θεμα του server και ετσι παιζει γενικα το openvpn, αν και εδω καποιος λεει οτι ετσι κανει τουλαχιστον μεσω του γραφικου client https://ubuntuforums.org/showthread.php?t=1668165 , τωρα server σε τι εχει δεν λεει.

Να υπενθυμισω τελος οτι εχουμε πει οτι εδω θα λεμε για ΟΛΟΥΣ τους πελατες αλλα με server Μikrotik, ο τιτλος ομως ενω εχει ζητηθει να διορθωθει εχει μεινει ακομα ετσι....
απλα το λεω για αποφυγη παρεξηγησεων λοιπον.

**ios46** · 11-03-19, 21:00

Βασικά δεν κάνει push routes η υλοποίηση openvpn server σε mikrotik πρός τον/τους openvpn clients.
Γιαυτό και θές (τουλάχιστον όπως είπα αυτό κάνω σε mobile openvpn client του Α.Schwabe σε Android,την σχετική ρύθμιση (use default route) για να μπορεί ο vpn client να στείλει την κίνηση βάση routing table πρός το VPN interface.
Manual static route απο κάποιο άλλο λειτουργικό δεν έχω δοκιμάσει σαν openvpn client, σε καμία περίπτωση δεν εμπιστεύομαι όμως το τί κάνουν τα windows....η δοκιμή θα ήταν με κάποιο linux flavor (άρα στο σχετικό client configuration θα το έφτιαχνα με default και αν δεν έπαιζε θα δοκίμαζα με manual static πρός το dev tun).
Απο εκεί και μετά στην πλευρά του openvpn server θα έβαζα να κάνει log την σχετική openvpn κίνηση και θα κοίταγα και με torch/remote capture τι γίνετε με σταθερού τύπου generated κίνηση με προορισμό κάτι στο internet. Στο dhcp openvpn pool επίσης θα δοκίμαζα να δίνει default gateway την LAN ip στους openvpn clients (δεν είναι και το πιό σωστό αλλά μπορεί να δοκιμαστεί) και φυσικά ΝΑΤ (openvpn subnet - > LAN ip ) σε mikrotik. Εννοείτε πως ψάχνω logs/captures για να έχω είκονα του τι συμβαίνει.
Αν δεν μπορεί να κάνει αυτή την δουλειά 1 mikrotik (να δίνει δλδ internet σε openvpn termination) θα κοίταγα άλλη openvpn λύση, δοκιμασμένη που λειτουργεί απροβλημάτιστα εδω και χρόνια σε άλλη πλάτφορμα.

**Nikiforos** · 11-03-19, 21:45

Τον android client τον ιδιο εχουμε και ειναι ο επισημος γιατι εχει και αλλους https://play.google.com/store/apps/d....openvpn&hl=el
δυστυχως ειναι μαπα το openvpn στο mikrotik αν υπηρχε καλυτερο vpn θα το αποφευγα αλλα δεν υπαρχει κατι καλυτερο, εχω δουλεψει ολους τους τροπους και ολα τα ειδη vpn σε mikrotik...
Το καλυτερο ειναι αν μπορουμε να το τρεχουμε σε linux server αλλα οπως ειπα απο εκει που το θελω δεν εχω αλλο μηχανημα, μονο mikrotik υπαρχουν στον χωρο.
Η αλλη λύση θα ηταν ισως metarouter openwrt επανω σε mikrotik αλλα δεν το θεωρω καλη λυση και αξιοπιστη επανω σε Mikrotik.
Αυτονομο ναι επανω σε raspi ή αλλο μηχανημα linux.

Οπως ειπα δεν με καιει ειδικα αυτη την στιγμη δεν μου χρειαζεται καν οποτε θα βρω καποια αλλη λυση, αλλα θελω επανω σε mikrotik δεν μπορω να βαλω εκει κατι αλλο και δεν αξιζει κιολας για την χρηση αυτη...

Πριν λιγο διαβασα οτι καποιος ελεγε οτι ειχε αυτη την συμπεριφορα με l2tp vpn και ηθελε να μην γινεται! δλδ αυτο που θελω εγω! θεμα εχουμε εδω https://www.adslgr.com/forum/threads...ver-with-Ipsec δυστυχως το εχω ξηλωσει πλεον...

**ios46** · 11-03-19, 22:02

Μόλις έκανα και μια δοκιμή με src-nat σε mikrotik (192.168.188.0/24 - οpenvpn subnet) να κάνει NAT στην LAN ip 192.168.2.247, βλέπω hits σε counters να αυξάνουν και κάνοντας και remote capture βλέπω ότι λειτουργεί (και) το NAT στο mikrotik.
Δοκίμασε - ψάξτο.

**Nikiforos** · 11-03-19, 22:23

τι μας λεει το παραπανω δλδ δεν καταλαβα, θελουμε δοκιμη στην πραξη αυτο δεν το καταλαβαινω που λες.
Αφου ειπαμε παντου λενε και εσυ το ειπες οτι δεν γινεται αυτο που θελω.
Δεν εχω χρονο για δοκιμες τωρα ηδη εχασα απειρο χρονο.
Ξαναλεω οτι δεν μου χρειαζεται αυτη την στιγμη οποτε δεν με καιει τωρα.
Ρωτησα αρχικα αν το εχει πετυχει καποιος. Μετα ειπα θελω με ενα μηχανημα να γινεται και να ειναι mikrotik ο server.
Aν το εχει κανει καποιος που δε νομιζω αφου δεν γινεται καλως, τωρα δοκιμες ειναι περιττες εχω κανει απειρες και δεν γινεται τιποτα.
Δε νομιζω οτι εχει μεινει κατι αλλο να δοκιμασω πανω σε ovpn server, το ποιο πιθανο ειναι να το κανω με αλλον τροπο τελικα...

**ios46** · 11-03-19, 22:32

Απλά δείχνει ότι (και) το mikrotik μπορεί να κάνει το NAT για ένα openvpn subnet το οποίο τερματίζει σαν openvpn server, έτσι ώστε οι openvpn clients να εμφανίζονται στο internet με την δική του public ipv4.
O openvpn client για android που μιλάμε (του Α.Schwabe δλδ) ΔΕΝ είναι ο official παρεπιπτόντως και παρέχει διάφορες άλλες ρυθμίσεις που ΔΕΝ υπάρχουν στον επίσημο openvpn client (openvpn connect):

-- https://openvpn.net/vpn-server-resou...-with-android/
-- https://play.google.com/store/apps/d...penvpn.openvpn

**Nikiforos** · 11-03-19, 23:10

Ωπα τι εγινε.....
ημουν σιγουρος οτι το εκανε και εκει, αλλα το ξηλωσα και το ξαναβαλα και δεν το ειχα δοκιμασει, εχω μονο με το openvpn server στο 109 αλλα το δοκιμασα τωρα μεσω κινητης και ετρεξα το site whoismyip και δειχνει την ip της nova!!!
εκανα edit δεν ειχαν νοημα τα αλλα.
Αρα εχεις δικιο οτι γινεται καπως με τον server το θεμα ειναι στον client τι γινεται μαλλον. Το ψαχνω αυτο.
Τωρα ειδα οτι στα win 10 εχω βαλει το redirect που ελεγε το επισημο site https://openvpn.net/community-resour...w-to/#redirect αλλα δεν παιρνει καθολου ιντερνετ.

- - - Updated - - -

βρηκα τι γινεται....στο openvpn connect στο αρχειο .ovpn εχει στο τελος την φραση redirect-gateway αυτος ειναι ο λογος που περναει και το ιντερνετ στον πελατη και τωρα που κοιταξα στο openvpn client το αλλο δεν το εχει και το θεμα ειναι οτι δεν το παιρνει με κανεναν τροπο! anyway οκ τωρα θα το βαλω στο αλλο και θα λυθει το θεμα στο κινητο, μενουν οι αλλοι clients μετα.
Ενταξει πετυχε, το εφτιαξα με openvpn connect! επιτελους!
μενει να δω τον client σε linux pc. Ευχαριστω και καλο βραδυ!

**puntomania** · 13-03-19, 01:06

...όταν κάνουμε sing το CA πχ.... στο CA CRL Host βάζουμε την public ip μας ή το ddns μας..σωστά? η μπορούμε να το αφήσουμε και κενό? δηλαδή πχ σε αυτό που έφτιαξα έβαλα πχ το puntomania.ddns.net που το έχω στην wan1 του router μου.

στον client όμως αν του πω συνδέσου στο puntomania123.ddns.net που έχω στην wan2 του router μου συνδέεται κανονικά... μου διαφεύγει κάτι... η μήπως δεν χρειάζεται καν να δηλώσουμε κάτι στο CA CRL Host?

**ios46** · 13-03-19, 15:29

Έχεις κάνει revoke το πιστοποιητικό ? Αν ναι, έχει πάρει με κάποιο τρόπο ο client που δοκιμάζεις την πληροφορία πως έχει γίνει revoked το certificate (χρησιμοποιείς δηλαδή CRL list eg) ? Αν και απ' οτι είχα δει σε mikrotik wiki's αρχικά ήταν τελείως lame, μετά υποστήριζε IPsec && SSTP και ίσως να είναι ακόμα broken για OpenVPN αν δοκιμάσεις να κάνεις revoke....

**jkarabas** · 17-04-19, 11:45

Καλησπέρα
Άλλαξα κινητό μετά απο ζημιά που έπαθα στο παλιό και θέλω φυσικά να δουλέψω τον client.
Επειδή τα keys δεν τα είχα backup κάνω export τα keys μέσα από το winbox αλλά για κάποιο λόγο δεν δουλεύουν.
Δεν μπορώ να καταλάβω τι κάνω λάθος.

- - - Updated - - -

Δεν ξέρω τι μπορεί να φταίει. Χρησιμοποιώ το Open Vpn for android δημιούργησα και από την αρχή τα certificates, το μόνο που άλλαξα απο τη τελευταία φορά είναι το κινητό.

**sxbcl** · 17-04-19, 12:35

Αρχικό μήνυμα από jkarabas

Καλησπέρα
Άλλαξα κινητό μετά απο ζημιά που έπαθα στο παλιό και θέλω φυσικά να δουλέψω τον client.
Επειδή τα keys δεν τα είχα backup κάνω export τα keys μέσα από το winbox αλλά για κάποιο λόγο δεν δουλεύουν.
Δεν μπορώ να καταλάβω τι κάνω λάθος.

- - - Updated - - -

Δεν ξέρω τι μπορεί να φταίει. Χρησιμοποιώ το Open Vpn for android δημιούργησα και από την αρχή τα certificates, το μόνο που άλλαξα απο τη τελευταία φορά είναι το κινητό.

Στα logs της εφαρμογής στο κινητό τι σου βγάζει;

**jkarabas** · 17-04-19, 19:04

Στέλνω το log παρακάτω αλλά έσβησα την cloud και την wan ip.

Spoiler:

**Nikiforos** · 18-04-19, 06:16

Αρχικό μήνυμα από jkarabas

Δεν ξέρω τι μπορεί να φταίει. Χρησιμοποιώ το Open Vpn for android δημιούργησα και από την αρχή τα certificates, το μόνο που άλλαξα απο τη τελευταία φορά είναι το κινητό.

Καλησπερα, πριν το κινητο που ειχες ηταν Xiaomi με Miui rom ?
γιατι η miui εχει πολυ ασφαλεια μηπως και κατι παιζει με τα πιστοποιητικα?
δοκιμασες απο αλλο κινητο ή αλλη android συσκευη ?

o client καταρχην εχει κατι επιλογες που μπορεις να κλεισεις το ipv6, στα logs που βλεπω κατι για ipv6 αρα λογικα ειναι ανοιχτη αυτη η ρυθμιση.

Eπισης βλεπω πολλες αναφορες στα logs για TLS, αυτο πρεπει στις επιλογες του client να ειναι disable, η Mikrotik στο OVPN δεν υποστηριζει TLS, αν αυτο ειναι ανοιχτο δεν βρισκει απο τον server και δεν παιζουν τα πιστοποιητικα.
Πιστευω το προβλημα ειναι καπου στις ρυθμισεις του client και οχι οτι φταινε τα πιστοποιητικα.

Μπορεις να δειξεις το config file?

- - - Updated - - -

Καλημερα, καπου το ειχα παθει δες τα δικαιώματα για την εσωτερικη μνημη, μπορει το app να μην πηρε τα σωστα δικαιώματα και να μην βλεπει τα αρχεια των πιστοποιητικων, ασχετως αν τα δειχνει. Το ειχα παθει αυτό με καποια εφαρμογή σε miui rom και εσπαγα το κεφαλι μου για μερες!

**jkarabas** · 18-04-19, 10:26

Αρχικό μήνυμα από Nikiforos

Καλησπερα, πριν το κινητο που ειχες ηταν Xiaomi με Miui rom ?
γιατι η miui εχει πολυ ασφαλεια μηπως και κατι παιζει με τα πιστοποιητικα?
δοκιμασες απο αλλο κινητο ή αλλη android συσκευη ?

o client καταρχην εχει κατι επιλογες που μπορεις να κλεισεις το ipv6, στα logs που βλεπω κατι για ipv6 αρα λογικα ειναι ανοιχτη αυτη η ρυθμιση.

Eπισης βλεπω πολλες αναφορες στα logs για TLS, αυτο πρεπει στις επιλογες του client να ειναι disable, η Mikrotik στο OVPN δεν υποστηριζει TLS, αν αυτο ειναι ανοιχτο δεν βρισκει απο τον server και δεν παιζουν τα πιστοποιητικα.
Πιστευω το προβλημα ειναι καπου στις ρυθμισεις του client και οχι οτι φταινε τα πιστοποιητικα.

Μπορεις να δειξεις το config file?

- - - Updated - - -

Καλημερα, καπου το ειχα παθει δες τα δικαιώματα για την εσωτερικη μνημη, μπορει το app να μην πηρε τα σωστα δικαιώματα και να μην βλεπει τα αρχεια των πιστοποιητικων, ασχετως αν τα δειχνει. Το ειχα παθει αυτό με καποια εφαρμογή σε miui rom και εσπαγα το κεφαλι μου για μερες!

Νικηφόρε το παλεύω μέρες τώρα.
Σκέφτηκα να το δοκιμάσω και στο κινητό της γυναίκας μου.
Πριν από αυτό είχα το samsung το note 4
Θα το τσεκάρω με τα δικαιώματα.
Επίσης αυτά που ανέφερες για τις ρυθμίσεις τα έχω δοκιμάσει ήδη.
Αποεπιλέγω απο το routing το ipv6 και αυτό το γράφει ακόμη στα logs. τι να πω
Στο open vpn for android δεν χρησιμοποίησα confog file.
Στείλε όμως το δικό σου για νa δοκιμάσω και με άλλον client

- - - Updated - - -

Δοκίμασα να αλλάξω client έβαλα το openvpn
Έφτιαξα το config file όπως παρακάτω:

Spoiler:

Αλλά και πάλι τα ίδια
Στέλνω και το log

Spoiler:

**Nikiforos** · 18-04-19, 10:33

Καλημέρα, εγω δουλευω και τα 2 προγράμματα.
Στα logs σου βλεπω να λες TLS!!! ξαναλεω παλι το Mikrotik OVPN ΔΕΝ υποστηριζει TLS! https://el.wikipedia.org/wiki/TLS
Βγαλε το από τις ρυθμισεις και από το config file, είμαι σιγουρος κατά 99.9% ότι γιαυτο δεν σου παιζει. Εχεις κανει τον πελατη να ζηταει TLS από τον server και η mikrotik δεν υποστηριζει οποτε δεν βρισκει και τρως ακυρα με τα πιστοποιητικα. Ασε που τα εχω περασει και εγω.

tls-client
remote-cert-tls server

τα 2 πανω τα πετας, και αυτό κατω κατω αν και εχει ; μπροστα και δεν παιζει, η Mikrotik επισης δεν το υποστηριζει αυτό το redirect gateway. Πριν κάμποσες μερες το εψαχνα και ηταν ενας λογος να παω σε Linux OpenVPN server.
για το αρχειο όταν παω σπιτι να το θυμηθώ μονο, φανταζομαι θες με mikrotik server, γιατι εχω με server το Linux nas που φυσικα παιζω σε udp και lzo compression και είναι κλασεις ανωτερος από των 2 mikrotik που εχω (109+951), και ακομα καλυτερος είναι αυτος του raspi (pivpn) και με TLS + LZO + UDP, δλδ εχει ότι δεν υποστηριζει η Mikrotik και τρεχει σε pi zero WH.

Eχει τελικα σημαντικη διαφορα σε ταχύτητες ειδικα σε streaming video το UDP+LZO, κριμα η Mikrotik να πετσοκοβει το τοσο καλο OpenVPN!
Επισης βρηκα τροπο για OpenVPN server σε android (θελει root) το εκανα επανω σε android tv box με μαμα root δικαιώματα και επιλογή on-off στο μενου...πολύ καλος στα επίπεδα του pivpn, στην ουσια τρεχουμε μια διανομη Linux. Linux deploit λεγεται το google app, εγω τρεχω Debian stretch με κονσολα μονο.

Τα λεω αυτά γιατι η Mikrotik δεν κανει κατι με το OVPN και είναι πετσοκομμενο αθλια εκδοση του πραγματικα και καποια στιγμη θελω να αντικαταστήσω τα ovpn της mikrotik (2 πελατες-2 servers) με linux εκδοσεις σε αντιστοιχα μηχανήματα που μπορουν να εχουν Linux.

Θα το εκανα με openwrt επανω σε Mikrotik με metarouter αλλα μια ζωη προβληματικο και με παλιοτερη εκδοση…

ΣΥΝΟΠΤΙΚΑ : Η μικροτικ στο OVPN δεν υποστηριζει :
1. UDP
2. LZO compression
3. TLS
4. Redirect gateway
Δεν θυμαμαι αν ξεχασα κατι άλλο, αν θελουμε κατι από τα παραπανω ή όλα τα παραπανω, πρεπει να παμε σε Linux OpenVPN server, στο android υποστηριζονται όλα αυτά κανονικα παντως εξαλου είναι Linux based.

Θέμα: Mikrotik OpenVPN Server με Android Client

Παρόμοια Θέματα

Mikrotik Dual-Wan με PCC --> πρόβλημα με VPN

ΕΛ.ΑΣ.: προειδοποίηση για το ransomware Simplelocker που προσβάλει κινητά και tablets με Android

Openvpn server σύνδεση restart

Στο 2ο τρίμηνο του 2014 η Huawei θα κυκλοφορήσει στις ΗΠΑ dual os smartphone με Android και Windows Phone

Η σειρά Nokia X με Android AOSP είναι εδώ με 3 διαφορετικά μοντέλα

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές