Mikrotik OpenVPN Client

June 9, 2016

Здравейте. Първо дасподеля, че съм начинаещ с микротиците и някои въпроси могат да ви се сторят глупави, но всепак ...

Опитвам се да настроя Mikrotik RB951G-2HnD със версия на софтуера 6.34, да се върже към OpenVPN server.

За тестове ползвам свободни VPN сървъри примерно от този сайт http://www.vpngate.net/en/ и се опитвам да се свържа към който и да е. Съответно в сайта си пише потребителя и паролата (vpn,vpn), в конфиг файла който се сваля за openvpn са дадени ca.cer, client.cer и client.key, които си копирам като текст в един текстови файл на който после сменям разширението. Качвам сертификатите при файловете на рутера и после ги импортирам. От интерфейсите на рутера си избирам да добавя нов OVPN Client със следните настройки:

Connect to: IP-то на free server-a който съм си избрал - адреса го има в койфига който се сваля

port: който порт е даден в конфиг файла

Mode: IP -ако в конфиг-а е описано, че е tun или ethernet ако е описано, че е tap

User: vpn (така пише в сайта)

password: vpn

profile: default

Certificate: Client.crt (от тези които импортирам)

Auth: sha1 (така е описано в config-a)

Cipher: aes 128 (отново от config-a)

Във firewall-a на вътрешната мрежа която ще минава през VPN-a и е дадено да прави masquerade, от Mangle е зададено да маркира трафика от тази мрежа и съответно от Routes, за маркирания трафик е зададен default gateway - интерфейса който ми е OVPN Client.

При стартиране на интерфейса в лога се вижда как рутера бълва грешки ovpn, debug, error ... duplicate packet, dropping.

Някой има ли представа каква е причината за дублираните пакети и какво да направя за да се закачи успешно към сървъра ?

June 9, 2016

Маскирането така ли е , да нямаш и друго маскиране?

/ip fi fi add action=masquerade chain=srcnat src-address=xxx.xxx.xxx.0/24 out-interface=openvpn-in

Маркирането с прерутинг на мрежата ли е?

June 9, 2016

Точно така е маскирането. Аз го правя през графичния интерфейс, не през конзолата, но точно тези параметри са зададени.

chain: srcnat

src. Address: 10.5.50.0/24 (тази мрежа искам да се маскира и да излиза през VPN-a)

Out. Interface: Open-vpn (така си кръстих интерфейса...)

Action: masquerade

По същия начин съм маскирал още една мрежа 10.6.50.0/24 която си се използва локално, няма за цел да излиза през VPN и си работи без проблеми. Единствената разлима между двете е, че на тази която трябва да излиза през VPN-a и е зададен out interface а на другата не.

Edited June 9, 2016 by asti

June 9, 2016

По-добре дай един експорт на ip firewall и на ip route . Маскирай си неща които прециниш , че са ти конфиде !

June 9, 2016

Ако има освен правилото за маскиране по мрежа и глобално такова става разлика в приоритетите

June 10, 2016

Firewall:

#
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add chain=input disabled=yes dst-port=80 in-interface=ether2-LAN protocol=tcp
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark="Open VPN" src-address=10.5.50.1-10.5.50.255
/ip firewall nat
# Open-vpn-test not ready
add action=masquerade chain=srcnat out-interface=Open-vpn-test src-address=10.5.50.0/24
add action=masquerade chain=srcnat src-address=10.6.50.0/24

IP Routes:

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0   S  0.0.0.0/0                          Open-vpn-test             1
 1 ADS  0.0.0.0/0                          192.168.1.1             0
 2 ADC  10.5.50.0/24       10.5.50.1       Employees bridge            0
 3 ADC  10.6.50.0/24       10.6.50.1       Hotspot bridge              0
 4 ADC  192.168.76.0/26    192.168.1.2   office bridge             0

Идеята е Employees да излиза през VPN-a

На ip routers съм задал всичкия трафик маркиран от firewall-a като Open VPN да има default gateway интерфейса Open-vpn-test

June 10, 2016

Routing mark

http://wiki.mikrotik.com/wiki/Policy_Base_Routing

June 10, 2016

И след като го маркираш, трафика да го окажеш в Route 0 !

June 10, 2016

Преди 7 часа, JohnTRIVOLTA написа:

И след като го маркираш, трафика да го окажеш в Route 0 !

хаха и как ще стане като такъв рут приема рррое

ако ще да е с 255 ще кара по маркера

June 11, 2016

Преди 1 час, 111111 написа:

хаха и как ще стане като такъв рут приема рррое

ако ще да е с 255 ще кара по маркера

Какво pppoe ? Говоря рута за VPNa да е /ip route add dst-address=0.0.0.0 gateway=open-vpn-test routing-mark=open-vpn

Sign In

Mikrotik OpenVPN Client

Question

asti

Link to comment

Share on other sites

9 answers to this question

Recommended Posts

JohnTRIVOLTA

Link to comment

Share on other sites

asti

Link to comment

Share on other sites

JohnTRIVOLTA

Link to comment

Share on other sites

111111

Link to comment

Share on other sites

asti

Link to comment

Share on other sites

111111

Link to comment

Share on other sites

JohnTRIVOLTA

Link to comment

Share on other sites

111111

Link to comment

Share on other sites

JohnTRIVOLTA

Link to comment

Share on other sites

Create an account or sign in to comment

Create an account

Sign in

Recently Browsing 0 members

Browse

Activity

Important Information