Open VPN site-to-site

[_mi_]

Може ли някой да ми обясни или да ме препрати към линк където е обяснено хубаво как се изгражда VPN-на

Засега съм опитал тази статия http://paulswasteland.blogspot.bg/2015/05/site-to-site-openvpn-using-mikrotik.html, но нещо не се получава...! клиентският рутер вади грешка termination-TLS failed , а при сървъра TPC connection estabilished from .... 

1 - синхронизирах времето

2 - изпълних следни те скриптове  на сървърния рутер ( 192.168.0.0/24 ->с DHCP Server)

/certificate add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
/certificate add name=server-template common-name=server
/certificate add name=client1-template common-name=client1

/certificate sign ca-template ca-crl-host=192.168.0.1 name=myCa  
/certificate sign ca=myCa server-template name=server
/certificate sign ca=myCa client1-template name=client1

/certificate set myCa trusted=yes
/certificate set server trusted=yes

/certificate export-certificate myCa
/certificate export-certificate client1 export-passphrase=xxxxxxxx

3 - Копирах  файловете myCA.crt и client1.crt на клиента и ги импортнах в System->certificates  Import

4 - Извърших настройката на сървъра  по показаният начин.

5 - И извърших настройката на клиента по същият начин от примера.

6 - На Ip->Routes създадох на сървъра destination ip 192.168.2.0/24 (където ми е DHCP сървъра) и gateway -> реалното ip на клиента. 

     На Ip->Routes създадох на клиента destination ip 192.168.0.0/24 (където ми е DHCP сървъра) и gateway -> реалното ip на сървъра.

7 - Рестартирах двата рутера! 

И не стана!  

[JohnTRIVOLTA]

Ако локалните мрежи са 192.168.0.0 и 192.168.2.0 то в профила си сложи пример за локал 172.16.1.1 и римоут 172.16.1.2 . Съответно рутираш мрежите през тези адреси при съответният борд : 

пример сървър с локална мрежа 192.168.0.0 и локал адрес на VPN 172.16.1.1 ще добавиш път с дист. 192.168.2.0/24 с гейт 172.16.2.1 .....

Редактирано 3 Юли, 2017 от JohnTRIVOLTA

[_mi_]

Забравих да спомена, че клиентския рутер се свързва с интернет през pppoe...!

[111111]

Задължително ли е да се мъчиш с този сбъркан протокол 

SSTP или L2TP биха ти свършили същата работа с минимални главоболия

 

http://bfy.tw/CbYa

[_mi_]

В крайна сметка успях да установя връзката между двата рутера и успях от единия компютър да направя пинг до другия, но ми липсва обратната връзка(пинг).

Вероятно и заради това не ми излиза в локалната мрежа.

192.168.2.250(клиент) прави пинг към 192.168.0.253(сервър) reply from..... 

192.168.0.253 прави пинг към 192.1682.250  connection timeout

Някави предложения..,?

[JohnTRIVOLTA]

Слагаш в профила на VPNa някаква 30ка мрежа - по един адрес за съответния сървър и клиент /локал и римоут/.После рутираш през същите тези адреси локалните мрежи, нищо завързано няма, вече ако стената е "позацапана" на някое от устройствата - това е друго нещо!

[_mi_]

В profile на  сървъра съм сложил Local-> 192.168.0.1 и remote->192.168.0.253

и така успявам да пингна сървъра от 192.168.2.250 и още един компютър го вижда от моята мрежа. Стените са празни за сега...!

[gbdesign]

За IPSec задължително accept правила от този тип най от горе в NAT таблицата:

add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.2.0/24

[_mi_]

17 hours ago, JohnTRIVOLTA said:

Ако локалните мрежи са 192.168.0.0 и 192.168.2.0 то в профила си сложи пример за локал 172.16.1.1 и римоут 172.16.1.2 . Съответно рутираш мрежите през тези адреси при съответният борд : 

пример сървър с локална мрежа 192.168.0.0 и локал адрес на VPN 172.16.1.1 ще добавиш път с дист. 192.168.2.0/24 с гейт 172.16.2.1 .....

Не успявам да те разбера много добре, но сложих на сървъра в:

 secret - >  local address 192.168.0.1(гейта на dhcp-то сървър) и remote addres 192.168.2.1(гейта на dhcp-то клиент)

profile ->   local address xxx.xxx.xxx.xxx(server) и remote address yyy.yyy.yyy.yyy(client)

в ip->routes автоматично ми се появи: (SERVER)

DAC 192.168.2.1 <ovpn> reachable 0 192.168.0.1

и аз добавих едно допълнително правило

AS 192.168.2.250 <ovpn> reachable 1 192.168.0.1

 

в ip->routes автоматично ми се появи: (CLIENT)

DAC 192.168.0.1 <ovpn> reachable 0 192.168.2.1

и аз добавих едно допълнително правило

AS 192.168.2.253 <ovpn> reachable 1 192.168.2.1

 

това не  е направено праилно, но все пак достигнах пинг от двете страни...!

192.168.2.250(клиент) прави пинг към 192.168.0.253(сервър) reply from..... 

192.168.0.253 прави пинг към 192.1682.250  reply from..... 

 

Но не ми се появява в Network нищо ?

[JohnTRIVOLTA]

Коментирано е тук доста как и кога в "network" ще ти се появи нещо! Със сигурност с рутиране няма да се появи защото е на трето ниво, за това се ориентирай към нещо на второ ниво било то EoIP или BCP bridge с VPN !

[_mi_]

добре, стана работата \\192.168.2.250 

Сега следващата драма... скорост на прехвърляне 280kb  ?!?!?!?

Редактирано 4 Юли, 2017 от _mi_

[111111]

разкарай хардуерно неподдържаните кодировки

[_mi_]

20 minutes ago, 111111 said:

разкарай хардуерно неподдържаните кодировки

как? Ако може малко по-ясно, че от няколко дена се занимавам и все още не са ми ясни доста работи!

[111111]

После да ви обеснява човек че OVPN и  IPSec  неструват, повече процесорно време отколкото производителност

На сървъра са настройките за криптиране.

Пусни си един SSTP  и не се занимавай всяко едно устройство поддържа протокола.

[_mi_]

Добре ще го пробвам и с него, просто искам да разуча този, така и така съм се хванал...!

Относно процесорното врме - клиентския ми рутер е натоварен между 10-20%, сървърът е на 0%

Настройките на сървъра са Cipher - as128 съм дал!

Забелязвам че на ppp->interface(client) са: ...изображение... а клиента ми е Лаптоп в wlan мрежата.

Ще кажеш че има някъде зададено ограничение на скоростта някъде!

[_mi_]

следвах тази(https://www.youtube.com/watch?v=DmfN8HMJ06I) инструкция и направих SSTP. Прехвърлянето на файл от А->Б Б->А 280Kb??????? ...  явно само толкова ми е отредила съдбата...! 

 

Редактирано 5 Юли, 2017 от _mi_