Jump to content
  • 0

Mikrotik OpenVPN Client


asti

Question

Здравейте. Първо дасподеля, че съм начинаещ с микротиците и някои въпроси могат да ви се сторят глупави, но всепак ...

Опитвам се да настроя Mikrotik RB951G-2HnD със версия на софтуера 6.34, да се върже към OpenVPN server.

За тестове ползвам свободни VPN сървъри примерно от този сайт http://www.vpngate.net/en/ и се опитвам да се свържа към който и да е. Съответно в сайта си пише потребителя и паролата (vpn,vpn), в конфиг файла който се сваля за openvpn са дадени ca.cer, client.cer и client.key, които си копирам като текст в един текстови файл на който после сменям разширението. Качвам сертификатите при файловете на рутера и после ги импортирам. От интерфейсите на рутера си избирам да добавя нов OVPN Client със следните настройки:

Connect to: IP-то на free server-a който съм си избрал - адреса го има в койфига който се сваля

port: който порт е даден в конфиг файла

Mode: IP -ако в конфиг-а е описано, че е tun или ethernet ако е описано, че е tap

User: vpn (така пише в сайта)

password: vpn

profile: default

Certificate: Client.crt (от тези които импортирам)

Auth: sha1 (така е описано в config-a)

Cipher: aes 128 (отново от config-a)

 

Във firewall-a на вътрешната мрежа която ще минава през VPN-a и е дадено да прави masquerade, от Mangle е зададено да маркира трафика от тази мрежа и съответно от Routes, за маркирания трафик е зададен default gateway - интерфейса който ми е OVPN Client.

При стартиране на интерфейса в лога се вижда как рутера бълва грешки ovpn, debug, error ... duplicate packet, dropping.

Някой има ли представа каква е причината за дублираните пакети и какво да направя за да се закачи успешно към сървъра ? 

Link to post
Share on other sites

9 answers to this question

Recommended Posts

  • 0
JohnTRIVOLTA

Маскирането така ли е , да нямаш и друго маскиране?

/ip fi fi add action=masquerade chain=srcnat src-address=xxx.xxx.xxx.0/24 out-interface=openvpn-in

Маркирането с прерутинг на мрежата ли е?

 

 

Link to post
Share on other sites
  • 0

Точно така е маскирането. Аз го правя през графичния интерфейс, не през конзолата, но точно тези параметри са зададени.

chain: srcnat

src. Address: 10.5.50.0/24 (тази мрежа искам да се маскира и да излиза през VPN-a)

Out. Interface: Open-vpn (така си кръстих интерфейса...)

Action: masquerade

 

По същия начин съм маскирал още една мрежа 10.6.50.0/24 която си се използва локално, няма за цел да излиза през VPN и си работи без проблеми. Единствената разлима между двете е, че на тази която трябва да излиза през VPN-a и е зададен out interface а на другата не.

Edited by asti
Link to post
Share on other sites
  • 0
JohnTRIVOLTA

По-добре дай един експорт на ip firewall и на ip route . Маскирай си неща които прециниш , че са ти конфиде !

Link to post
Share on other sites
  • 0
  • Administrator
111111

Ако има освен правилото за маскиране по мрежа и глобално такова става разлика в приоритетите

Link to post
Share on other sites
  • 0

Firewall:
 

#
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add chain=input disabled=yes dst-port=80 in-interface=ether2-LAN protocol=tcp
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark="Open VPN" src-address=10.5.50.1-10.5.50.255
/ip firewall nat
# Open-vpn-test not ready
add action=masquerade chain=srcnat out-interface=Open-vpn-test src-address=10.5.50.0/24
add action=masquerade chain=srcnat src-address=10.6.50.0/24

 

IP Routes:

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0   S  0.0.0.0/0                          Open-vpn-test             1
 1 ADS  0.0.0.0/0                          192.168.1.1             0
 2 ADC  10.5.50.0/24       10.5.50.1       Employees bridge            0
 3 ADC  10.6.50.0/24       10.6.50.1       Hotspot bridge              0
 4 ADC  192.168.76.0/26    192.168.1.2   office bridge             0

Идеята е Employees да излиза през VPN-a 

На ip routers съм задал всичкия трафик маркиран от firewall-a като Open VPN да има default gateway интерфейса Open-vpn-test

Link to post
Share on other sites
  • 0
  • Administrator
Преди 7 часа, JohnTRIVOLTA написа:

И след като го маркираш, трафика да го окажеш в Route 0 !

хаха и как ще стане като такъв рут приема рррое

ако ще да е с 255 ще кара по маркера 

Link to post
Share on other sites
  • 0
JohnTRIVOLTA
Преди 1 час, 111111 написа:

хаха и как ще стане като такъв рут приема рррое

ако ще да е с 255 ще кара по маркера 

Какво pppoe ? Говоря рута за VPNa да е /ip route add dst-address=0.0.0.0 gateway=open-vpn-test routing-mark=open-vpn

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.