Open VPN site-to-site

[_mi_]

Може ли някой да ми обясни или да ме препрати към линк където е обяснено хубаво как се изгражда VPN-на

Засега съм опитал тази статия http://paulswasteland.blogspot.bg/2015/05/site-to-site-openvpn-using-mikrotik.html, но нещо не се получава...! клиентският рутер вади грешка termination-TLS failed , а при сървъра TPC connection estabilished from .... 

1 - синхронизирах времето

2 - изпълних следни те скриптове  на сървърния рутер ( 192.168.0.0/24 ->с DHCP Server)

/certificate add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
/certificate add name=server-template common-name=server
/certificate add name=client1-template common-name=client1

/certificate sign ca-template ca-crl-host=192.168.0.1 name=myCa  
/certificate sign ca=myCa server-template name=server
/certificate sign ca=myCa client1-template name=client1

/certificate set myCa trusted=yes
/certificate set server trusted=yes

/certificate export-certificate myCa
/certificate export-certificate client1 export-passphrase=xxxxxxxx

3 - Копирах  файловете myCA.crt и client1.crt на клиента и ги импортнах в System->certificates  Import

4 - Извърших настройката на сървъра  по показаният начин.

5 - И извърших настройката на клиента по същият начин от примера.

6 - На Ip->Routes създадох на сървъра destination ip 192.168.2.0/24 (където ми е DHCP сървъра) и gateway -> реалното ip на клиента. 

     На Ip->Routes създадох на клиента destination ip 192.168.0.0/24 (където ми е DHCP сървъра) и gateway -> реалното ip на сървъра.

7 - Рестартирах двата рутера! 

И не стана!  

[JohnTRIVOLTA]

Atheros AR7161 се достигат 15на мегабита или около 2MB/s с крептиране AES256 CBC !

[_mi_]

Така, оказа се че имам комплекс от проблеми! За тестова машина ползвах същия компютър с виртуална машина с усб лан модул, който УЖ 100МБита.....! след като премахнах виртуалната машина и изнесох обстановката на физ. машина от едната страна скоростта достигна 2.5мБайта. Следващата тапа се указа в уплоад скоростта на едната машина 8мбита.... :X..

Както и да е сега всичко си дойде на мястото със скоростта!

в сървъра на /ip routs ми се добавят динамични пътища до 172.16.30.1 до 172.16.30.2 както ми предложи по-горе JohnTRIVOLTA .Също ми излезе динамичен routs des 192.168.2.0/24(който въведох в сикрета на клиента)

НО при клиента когато задам статичен път в routs  dest: 192.168.0.0/24 не мога да се свържа с компютъра, който стой на 192.168.0.252!!

Обаче когато го задам статично dest: 192.168.0.252 всичко си е нормално, но така трябва за всяка машина да задавам ръчно пътя.

Някакви предложения за настройка, така че клиентски машини да се свързват динамично без да им указвам пътя ръчно?

[JohnTRIVOLTA]

Преди 2 часа, _mi_ написа:

Също ми излезе динамичен routs des 192.168.2.0/24(който въведох в сикрета на клиента)

????

В сикрета  си въвеждаш двата адреса за Local и за Remote address - при теб съответно 172.16.30.1 и 172.16.30.2 ! Добавяш рут във всеки рутер за съответната отдалечена  мрежа , в клиентския рутер dst 192.168.2.0/24  gate 172.16.30.2 и в този който е Remote 192.168.0.0/24 gate 172.16.30.1 

[h3ll]

Динамично ти го дава,и остава.Ъ

[_mi_]

СЪРВЪР

 server secret

когато се установи връзка тези два пътя се създават автоматично, което е супер!

 

 

КЛИЕНТ

 

Това е рут на клиента.

AS съм го създал аз и в този вариант всичко си работи нормално между комп. 192.168.2.246 и 192.168.0.253

НО

когато сложа цялата мрежа, пинга от 192.168.2.246 към 192.168.0.253 изчезва, а иначе от 192.168.0.253 към ....2.246 си е има?

 

 

Редактирано 20 Юли, 2017 от _mi_

[JohnTRIVOLTA]

Махни този рут от сикретта , вкарай го само ръчно в рутс и пробвай, остави само адресите - сигурно се потретям вече!

Редактирано 20 Юли, 2017 от JohnTRIVOLTA

[_mi_]

Не е проблема в рута Джони! Чесно казано не знам как го реших, премахна DHCP-тата... не съм сигурен бая бъзиках, но сега всичко си бачка нормално, аз си водя документация и съм записъл къде е проблема, като се върна на работа ще проверя какво беше!

Пуснах му хубав нет и сега правя 3.5мб!

Така, понеже ми стана още по интересно, реших да разширя тестовете и да добавя една десктоп машина windows7 с OPENVPN  програмата .

Но то е ясно, че от първия път няма да стане и сега пак греда . 

МТ1-server , network(eth2)lan 192.168.0.0/24   ----> PC1 IP:192.168.0.2 Gateway:192.168.0.1

MT2-client , network(eth3)lan 192.168.1.0/24    ----->PC2 IP:192.168.1.4 Gateway:192.168.1.1

OVPN-client win7, network(secret) 192.168.0.3         ----->PC3 IP:192.168.0.3 Gateway:192.168.0.1

Реално машините зад сървъра нямат проблем да комуникират с клиентите, но клиентите по между си нещо не се искат! 

Ако някой може да обясни на кратко, как е се прави подобна връзка с моят сценарий?

И нещо много важно, което го прочетох от друг форум, когато се вкарва  клиент(OVPN)... се правят настройките в interface->ethx->ARP -> arp-proxy, иначе по подразбирае е enable , тогава машините зад рутера няма да могат да пингнат клиента(OVPN )!

 

Редактирано 28 Юли, 2017 от _mi_

[JohnTRIVOLTA]

Офф така със схемата по-може да се разбере какво искаш да направиш ! Горе коментирах единствено настройки между 2 рутера /сървър и клиент/ с цел рутиране на съответните локални мрежи т.е. OpenVPN ppp връзката се ползва за транспорт, то и за това и трябва някакъв адрес в двата края 172.16.30.1 и 172.16.30.2 както ти предложих ! 

Ти гледам искаш да екстенднеш локалната мрежа чрез OpenVPN хибридно . Кажи сега от PC3 има ли пинг до OpenVPN адреса на MT2 и кой е той? Ако имаш то имаш ли сорс нат правило в MT2 с дистинейшън 192.168.0.0/24 мрежа и същият този адрес, което трябва да е първо в нат секцията или с дистинейшън 0.0.0.0 с което да излизаш през MT1 в публичното пространство?

[_mi_]

Quote

Ти гледам искаш да екстенднеш локалната мрежа чрез OpenVPN хибридно

Ами да искам да вкарам един външен потребител с програма, пък щом така се нарича, значи искам това да направя!

 

Quote

Кажи сега от PC3 има ли пинг до OpenVPN адреса на MT2 и кой е той?

Няма! 

МТ1-172.16.30.1    МТ2-172.16.30.2       PC3 - local Adr(172.16.30.1) remote adr(192.168.0.3)

 

Мисля, че някъде на сървъра трябва да укажа този потребител!

Не съм правил никакви настройки в НАТ и МАНГЛЕ  освен МАСКАРАДЕ на WAN/PPPOE(MT2) и LAN на двата рутера!

 

Редактирано 31 Юли, 2017 от _mi_