Jump to content
  • 0

Open VPN site-to-site


_mi_

Question

Може ли някой да ми обясни или да ме препрати към линк където е обяснено хубаво как се изгражда VPN-на

Засега съм опитал тази статия http://paulswasteland.blogspot.bg/2015/05/site-to-site-openvpn-using-mikrotik.html, но нещо не се получава...! клиентският рутер вади грешка termination-TLS failed , а при сървъра TPC connection estabilished from .... 

1 - синхронизирах времето

2 - изпълних следни те скриптове  на сървърния рутер ( 192.168.0.0/24 ->с DHCP Server)

/certificate add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
/certificate add name=server-template common-name=server
/certificate add name=client1-template common-name=client1

/certificate sign ca-template ca-crl-host=192.168.0.1 name=myCa  
/certificate sign ca=myCa server-template name=server
/certificate sign ca=myCa client1-template name=client1

/certificate set myCa trusted=yes
/certificate set server trusted=yes

/certificate export-certificate myCa
/certificate export-certificate client1 export-passphrase=xxxxxxxx

3 - Копирах  файловете myCA.crt и client1.crt на клиента и ги импортнах в System->certificates  Import

4 - Извърших настройката на сървъра  по показаният начин.

5 - И извърших настройката на клиента по същият начин от примера.

6 - На Ip->Routes създадох на сървъра destination ip 192.168.2.0/24 (където ми е DHCP сървъра) и gateway -> реалното ip на клиента. 

     На Ip->Routes създадох на клиента destination ip 192.168.0.0/24 (където ми е DHCP сървъра) и gateway -> реалното ip на сървъра.

7 - Рестартирах двата рутера! 

И не стана! :rolleyes: 

Link to comment
Share on other sites

Recommended Posts

  • 1
  • Administrator

Ако локалните мрежи са 192.168.0.0 и 192.168.2.0 то в профила си сложи пример за локал 172.16.1.1 и римоут 172.16.1.2 . Съответно рутираш мрежите през тези адреси при съответният борд : 

пример сървър с локална мрежа 192.168.0.0 и локал адрес на VPN 172.16.1.1 ще добавиш път с дист. 192.168.2.0/24 с гейт 172.16.2.1 .....

Edited by JohnTRIVOLTA
  • Like 1
Link to comment
Share on other sites

  • 0

Забравих да спомена, че клиентския рутер се свързва с интернет през pppoe...!

Link to comment
Share on other sites

  • 0
  • Administrator

Задължително ли е да се мъчиш с този сбъркан протокол 

SSTP или L2TP биха ти свършили същата работа с минимални главоболия

 

http://bfy.tw/CbYa

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

В крайна сметка успях да установя връзката между двата рутера и успях от единия компютър да направя пинг до другия, но ми липсва обратната връзка(пинг).

Вероятно и заради това не ми излиза в локалната мрежа.

192.168.2.250(клиент) прави пинг към 192.168.0.253(сервър) reply from..... 

192.168.0.253 прави пинг към 192.1682.250  connection timeout

Някави предложения..,?

Link to comment
Share on other sites

  • 0
  • Administrator

Слагаш в профила на VPNa някаква 30ка мрежа - по един адрес за съответния сървър и клиент /локал и римоут/.После рутираш през същите тези адреси локалните мрежи, нищо завързано няма, вече ако стената е "позацапана" на някое от устройствата - това е друго нещо!

Link to comment
Share on other sites

  • 0

В profile на  сървъра съм сложил Local-> 192.168.0.1 и remote->192.168.0.253

и така успявам да пингна сървъра от 192.168.2.250 и още един компютър го вижда от моята мрежа. Стените са празни за сега...!

Link to comment
Share on other sites

  • 0

За IPSec задължително accept правила от този тип най от горе в NAT таблицата:

add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.2.0/24

Link to comment
Share on other sites

  • 0
17 hours ago, JohnTRIVOLTA said:

Ако локалните мрежи са 192.168.0.0 и 192.168.2.0 то в профила си сложи пример за локал 172.16.1.1 и римоут 172.16.1.2 . Съответно рутираш мрежите през тези адреси при съответният борд : 

пример сървър с локална мрежа 192.168.0.0 и локал адрес на VPN 172.16.1.1 ще добавиш път с дист. 192.168.2.0/24 с гейт 172.16.2.1 .....

Не успявам да те разбера много добре, но сложих на сървъра в:

 secret - >  local address 192.168.0.1(гейта на dhcp-то сървър) и remote addres 192.168.2.1(гейта на dhcp-то клиент)

profile ->   local address xxx.xxx.xxx.xxx(server) и remote address yyy.yyy.yyy.yyy(client)

в ip->routes автоматично ми се появи: (SERVER)

DAC 192.168.2.1 <ovpn> reachable 0 192.168.0.1

и аз добавих едно допълнително правило

AS 192.168.2.250 <ovpn> reachable 1 192.168.0.1

 

в ip->routes автоматично ми се появи: (CLIENT)

DAC 192.168.0.1 <ovpn> reachable 0 192.168.2.1

и аз добавих едно допълнително правило

AS 192.168.2.253 <ovpn> reachable 1 192.168.2.1

 

това не  е направено праилно, но все пак достигнах пинг от двете страни...!

192.168.2.250(клиент) прави пинг към 192.168.0.253(сервър) reply from..... 

192.168.0.253 прави пинг към 192.1682.250  reply from..... 

 

Но не ми се появява в Network нищо ?

Link to comment
Share on other sites

  • 0
  • Administrator

Коментирано е тук доста как и кога в "network" ще ти се появи нещо! Със сигурност с рутиране няма да се появи защото е на трето ниво, за това се ориентирай към нещо на второ ниво било то EoIP или BCP bridge с VPN !

Link to comment
Share on other sites

  • 0

добре, стана работата \\192.168.2.250 

Сега следващата драма... скорост на прехвърляне 280kb :D ?!?!?!?

Edited by _mi_
Link to comment
Share on other sites

  • 0
  • Administrator

разкарай хардуерно неподдържаните кодировки

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
20 minutes ago, 111111 said:

разкарай хардуерно неподдържаните кодировки

как? Ако може малко по-ясно, че от няколко дена се занимавам и все още не са ми ясни доста работи!

Link to comment
Share on other sites

  • 0
  • Administrator

После да ви обеснява човек че OVPN и  IPSec  неструват, повече процесорно време отколкото производителност

На сървъра са настройките за криптиране.

Пусни си един SSTP  и не се занимавай всяко едно устройство поддържа протокола.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Добре ще го пробвам и с него, просто искам да разуча този, така и така съм се хванал...!

Относно процесорното врме - клиентския ми рутер е натоварен между 10-20%, сървърът е на 0%

Настройките на сървъра са Cipher - as128 съм дал!

Забелязвам че на ppp->interface(client) са: ...изображение... а клиента ми е Лаптоп в wlan мрежата.

Ще кажеш че има някъде зададено ограничение на скоростта някъде!

U111ntitled.png.e54d0ec903a0048215658f87b13d0a63.pngUntitasdaled.png.61c3ebbc1ce1f3a58c32eed2d8221c84.png

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.