Mikrotik OpenVPN Server με Android Client

[xhaos]

Server certificate validation κάνει κανένας? Γιατί παίζει τρελό mitm attack.

[jkarabas]

Λοιπόν όταν συνδέομαι δείχνει μέσα την IP του MT..... το παρατήρησα αργά γιατί κάθετο το κινητό την έκοβε και δεν φαινότανε...όμως στο showmyip δείχνει την ip του δικτύου....κουφό? Παίζω όλη την ημέρα με τις ρυθμίσεις του αλλά δεν βρήκα κάτι.



- - - Updated - - -

Server certificate validation κάνει κανένας? Γιατί παίζει τρελό mitm attack.

Τι ακριβώς εννοείς;

[xhaos]

O server πιστοποιεί τον client από το πιστοποιητικό. Ό client όμως για να ελέγξει ότι όντος μιλά με τον server πρέπει να έχει στο config remote-cert-tls server το οποίο όμως δε λειτουργεί στο mtik

[jkarabas]

O server πιστοποιεί τον client από το πιστοποιητικό. Ό client όμως για να ελέγξει ότι όντος μιλά με τον server πρέπει να έχει στο config remote-cert-tls server το οποίο όμως δε λειτουργεί στο mtik

Άρα που καταλήγουμε λοιπόν? Ξεχνάμε το Ovpn στο ΜΤ και στήνουμε PPTP? το οποίο και αυτό έχει θέματα ασφαλείας.

- - - Updated - - -

Μόλις βγήκε και η νέα ver στο Mikrotik που φτιάχνει κάτι στο ovpn.

[deniSun]

Άρα που καταλήγουμε λοιπόν? Ξεχνάμε το Ovpn στο ΜΤ και στήνουμε PPTP? το οποίο και αυτό έχει θέματα ασφαλείας.

- - - Updated - - -

Μόλις βγήκε και η νέα ver στο Mikrotik που φτιάχνει κάτι στο ovpn.

Δεν βγήκε... μόλις.

[Nikiforos]

αυτο ειναι για οσους χρησιμοποιουν push routes στο οποιο ειχε bug η 6.40 και δεν δουλευε σωστα το netmask, προσωπικα δεν δουλευω με push routes και ετσι δεν ειχα προβλημα, εχουν αναφερθει ολα σε προηγουμενα ποστς.

O server πιστοποιεί τον client από το πιστοποιητικό. Ό client όμως για να ελέγξει ότι όντος μιλά με τον server πρέπει να έχει στο config remote-cert-tls server το οποίο όμως δε λειτουργεί στο mtik

απο οσο ξερω δεν υπαρχει καποιο προβλημα ασφαλειας, αν εχουμε αμφιβολιες ομως μπορουμε να βαλουμε προστασια για brute force attack, εχει αναφερθει στο θεμα του firewall για αλλες πορτες και το εχω κανει για αλλες υπηρεσιες.
Επισης δεν χρησιμοποιουμε την default port 1194 και μπλοκαρουμε τα πορτ σκανερς ωστε να μην μας σκαναρουν.
Και εγω σε αυτα που ειναι απο το awmn εχω δηλωσει ποια subnets θα εχουν προσβαση δλδ μονο τα δικα μου.

Αν εχετε παλι αμφιβολιες για την ασφαλεια τοτε προτεινω να πατε σε SSTP που παιζει και αυτο με πιστοποιητικα αν θελουμε, αρχεια κτλ που θυμιζει openvpn, υποστηριζει TLS, αλλα και υποστηριζεται και αναπτυσεται περισσοτερο απο την Mikrotik, ενω το openvpn απο την 3.20 ή 3.22 που πρωτοεμφανιστηκε στο ROS κοντευουμε στην ROS V 7 και ακομα εχει απουσια σημαντικων πραγματων!
Exω κανει σχετικο θεμα αν θελετε τα λεμε εκει https://www.adslgr.com/forum/threads...ik-SSTP-server
Επισης επειδη η Mikrotik του εχει αλλαξει τα φωτα του ΟPENVPN, ειχα σκεφτει να τρεχω server στον nas ωστε να ειναι με τα σωστα πραγματα δλδ αυτα που λειπουν απο την Mikrotik, tls, UDP, LZO και για τα αλλα που ειναι μεταξυ των Rbs και ΜΟΝΟ να παιξω με SSTP VPN αλλα θελει πολυ δουλεια η μεταβαση και βαριεμαι.
Οταν καποτε ειχα το Ubiquinti Routerstation PRO με OPENWRT ειχα 3 openvpn servers και μονο αυτος για το mikrotik να δινει δλδ σε ενα σαν client ηταν κουτσος, στραβος και αοματος....(απουσια ΤLS, UDP, LZO).
Οι αλλοι 2 τα ειχαν αυτα κανονικα.
Παρατηρω το OVPN, βλεπω τα logs κτλ και αν δω προβληματα ασφαλειας τοτε αναγκαστικα θα κανω το παραπανω.

[xhaos]

1. Pptp ούτε για πλάκα.
2. Θα το αφήσω να τρέχει το ovpn στο mtik για backup, και χρησιμοποιώ ovpn από το NAS.
3. Το ρισκο να φάμε εμείς man in the middle attack είναι μηδαμινό. Αν όμως φας τα logs δεν θα δείξουν τίποτα.

[jkarabas]

Πληροφοριακά ποιο NAS χρησιμοποιείς?

[xhaos]

Synology

[jkarabas]

Θα δοκιμάσω να το στήσω και εγώ στο qnap που έχω. Λογικά παίζει και στα NAS με certificates?

- - - Updated - - -

Να ενημερώσω ότι μετά το update στο ΜΤ στην 6.40.1 τώρα στο κινητό μου δείχνει κανονικά την Ip του mikrotik.
Παραθέτω επίσης εικόνες από τις ρυθμίσεις της εφαρμογής client Openvpn for Android για να υπάρχουν εδώ:

[deniSun]

Ωραίος...

[Nikiforos]

καλημέρα, ωραία και τα γράμματα αυτά, πέρασα και εγώ σε όλα την 6.40.1 δεν άλλαξε απολύτως τίποτα στα ovpns γιατί όπως είπα δεν χρησιμοποιώ push routes. Σχετικά με το Νας για qnap στο γραφικό πακέτο που έχει ενσωματωμένο δεν έχει ούτε επιλογή για tls ούτε και για lzo compression. Έβαλα όμως το πακέτο κονσόλας με ipkg install openvpn και στο /etc/openvpn έχει τα confs και έχει τα πάντα. Τώρα δεν ξέρω αν συνεργάζονται ή παίζουν χωριστά γιατί το πακέτο που έβαλα από κονσόλα δεν ήταν εγκατεστημένο πριν αλλά στο μενού vpn είχε και openvpn. Επίσης υπάρχει γραφικό πακέτο για l2tp+ipsec που το έβαλα για να το δω , αλλά sstp vpn πουθενά...

[jkarabas]

Νικηφόρε σχετικά με το NAS και εγώ το ξεκίνησα χθές και μπήκα με κονσόλα και είδα το conf λοιπόν επειδή μας ενδιαφέρει και αυτό το στήσιμο άνοιξα σχετικό θέμα εδώ.

- - - Updated - - -

Δεν ξέρω πραγματικά δεν άλλαξα κάτι στις ρυθμίσες, μετά το update μου έπαιξε κανονικά.

[minas]

Synology

Εάν δεν απατώμαι, ούτε αυτό κάνει server certificate verification, εκτός εάν το πειράξεις. Δεν έχω δει σε DSM 6, αλλά σε παλαιότερες εκδόσεις έτσι ήταν.
Βρίσκεις κάποιο πλεονέκτημα να το τρέχεις στο Synology σε σχέση με Mikrotik?

[xhaos]

Εάν δεν απατώμαι, ούτε αυτό κάνει server certificate verification, εκτός εάν το πειράξεις. Δεν έχω δει σε DSM 6, αλλά σε παλαιότερες εκδόσεις έτσι ήταν.
Βρίσκεις κάποιο πλεονέκτημα να το τρέχεις στο Synology σε σχέση με Mikrotik?

Για το server validation. Το θεωρώ μεγάλη τρύπα να μη το έχει. Γενικά για αυτό λέω για ipsec.