Поднимаем OpenVPN сервер на Mikrotik

18.07.2017 Алексей 249

В некоторых случаях требуется получить доступ например из дома в локальную сеть на работе, это довольно просто можно сделать с помощью OpenVPN. Я опишу каким образом можно это реализовать с помощью микротика, хотя заранее оговорюсь, реализация OpenVPN на этой железке оставляет желать лучшего.

Во-первых: полноценного ethernet туннеля OpenVPN микротик сделать не в состоянии, потому что отсутствует напрочь возможность выдавать IP адреса OVPN клиентам по DHCP, все адреса выдаёт только сам микротик, как его не крути и с чем вокруг него не прыгай;
Во-вторых: не поддерживается сжатие заголовков;
В-третьих: работает только по tcp, в то время как предпочитаемый для OpenVPN — udp.
и если я правильно понимаю, даже на железках с аппаратным ускорением шифрования, опенвпн всё равно будет работать в софтовом режиме, т.е. возможность аппаратного ускорения не задействуется.

Всё это вместе взятое немного раздражает, но с этим, как я считаю, можно смирится, потому что такая реализация имеет ряд плюсов:

Безопасность, опенвпн с реализацией авторизации по сертификату очень надёжный канал.
В отличии от ipsec у нас практически нет никаких проблем с nat.
Возможность настроить клиента для подключения по безопасному каналу практически с любого устройства.
Относительная простота настройки, в микротике опенвпн поднимается практически в два щелчка, если сравнивать настройку через конфиг в других железках или ОС.

Итак, настройку я условно разделю на две части, это настройка сервера (на железке) и настройка клиента (windows).

Как настроить клиента для CentOS (Linux) читаем в этой статейке.

Настройка OpenVPN на Mikrotik (Сервер)

Подготовка

Пожалуй подготовительный этап следует начать с генерации сертификатов, поскольку passphrase авторизация считается менее защищённой из-за MITM уязвимости, а мы же не хотим что бы кто-то кроме нас самих мог получить доступ к нашей корпоративной сети. Подробно процесс по созданию сертификатов описан здесь. Добавлю лишь что для самого микротика надо генерировать сертификат сервера, а для клиента сертификат клиента.

После создания сертификатов нам понадобится публичные сертификаты CA и для самого микротика, а так же закрытый ключ микротика, копируем их

открываем WinBox на микротике, переходим в раздел Files и жмём на кнопку Paste

Получается примерно такая картинка

После этого сертификаты необходимо импортировать, для этого идём в раздел System — Certificates и жмём кнопку Import, я первым импортировал публичный сертификат CA

дальше импортируем публичный сертификат микротика

и закрытый ключ для него

должна получится примерно такая картинка, обращаем внимание что напротив сертификата микротика должно стоять KT

следующим шагом создаём пул IP адресов для наших OVPN клиентов IP — Pool, жмём кнопку +, я добавил диапазон 172.21.108.2-172.21.108.14, и назвал пул ovpn

следующим этапом создаём PPP профиль, соответственно заходим в раздел PPP вкладка Profiles добавляем профиль кнопкой +, вводим имя, локальный адрес микротика с которым будут работы нашим клиенты, должен лежать в подсети с созданным ранее пулом адресов и указываем пул, остальное оставляем без изменений

Включение

после этого настраиваем сам OpenVPN сервер, делается это в разделе PPP вкладка Interface, кнопка OVPN Server, ставим галку Enabled, mode выставляем ethernet, выбираем созданный ранее профиль, а также ставим галку Require Client Certificate и выбираем сертификат микротика, маску по желанию можно поменять. Снимаем галочку с md5, этот метод хэширования сейчас считается небезопасным.

Осталось совсем немного, нужно создать пользователя, переходим в раздел PPP — Secrets, вводим имя пользователя, пароль, указываем сервис и профиль.

Поскольку мы используем сертификаты, надо что бы время на клиенте и на сервере совпадало, поэтому настраиваем sntp клиента, что бы микротик мог синхронизировать время, делается это в разделе System — SNTP Client. Я указал локальный SNTP сервер, вы можете использовать любой публичный сервер в интернете (например ntp3.stratum2.ru и 0.europe.pool.ntp.org) или указать свой внутренний.

Осталось настроить разрешающее правило фаервола, переходим в раздел IP — Firewall вкладка Filter Rules.

Здесь надо указать In. Interface (или In. Interface list) — интерфейс по которому к Вам приходит интернет, остальное как на скриншоте.

Созданное правило должно находится выше запрещающих правил.

На этом настройка сервера завершена, переходим к настройке клиента.

Настройка клиента OpenVPN Windows для микротика

Не все версии RouterOS нормально работают с OpenVPN. Например версия RouterOS ниже 6.36 не работает с версиями OpenVPN выше 2.3.10. Поэтому не забывайте периодически обновлять RouterOS.

При получении ошибки:
OpenSSL: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca

Обновите прошивку!
И проверьте что бы в сертификатах на микротике был импортирован ca.crt!

OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
При возникновении этой ошибки обновляем прошивку. Заново импортируем сертификаты в микротике(не надо их генерировать снова, просто удалить и снова добавить)

Конфиг файл тестировался для OpenVPN 2.5.4, последнего на момент написания статьи и RouterOS 6.47.6

О том где загрузить и как установить OpenVPN клиент описано в статье по созданию сертификатов.

После установки нам необходимо будет переходим в каталог с установленным OpenVPN. Затем добавляем файл client.ovpn в каталог config следующего содержания:

proto tcp-client
# в этой строчке мы указываем адрес в интернете нашего микротика
remote 123.123.123.123
dev tap

nobind
persist-key

tls-client
#указываем имена публичного CA сертификата
ca ca.crt
# публичного сертификата клиента
cert client.crt
# и его закрытый ключ
key  client.key
#каждые 10 секунд проверять туннель, если нет ответа 120 секунд, переподключаться
keepalive 10 120
verb 3
cipher AES-256-CBC
auth SHA1
pull
#проверка сертификата сервера
#https://openvpn.net/index.php/open-source/documentation/howto.html#mitm
remote-cert-tls server
# эта строка задаёт файл с логином-паролем которые мы прописывали в PPP-Secrets на микротике
auth-user-pass auth.cfg
# в этой части мы задаём настройки сетей которые находятся за микротиком,
# в моём случае 192.168.1.0 с маской 255.255.255.0 это сеть,
# а 172.21.108.1 это адрес микротика который мы указывали в PPP профиле
route-method exe 
route-delay 2 
route 192.168.1.0 255.255.255.0 172.21.108.1

proto tcp-client

# в этой строчке мы указываем адрес в интернете нашего микротика

remote 123.123.123.123

dev tap

nobind

persist-key

tls-client

#указываем имена публичного CA сертификата

ca ca.crt

# публичного сертификата клиента

cert client.crt

# и его закрытый ключ

key client.key

#каждые 10 секунд проверять туннель, если нет ответа 120 секунд, переподключаться

keepalive 10 120

verb 3

cipher AES-256-CBC

auth SHA1

pull

#проверка сертификата сервера

#https://openvpn.net/index.php/open-source/documentation/howto.html#mitm

remote-cert-tls server

# эта строка задаёт файл с логином-паролем которые мы прописывали в PPP-Secrets на микротике

auth-user-pass auth.cfg

# в этой части мы задаём настройки сетей которые находятся за микротиком,

# в моём случае 192.168.1.0 с маской 255.255.255.0 это сеть,

# а 172.21.108.1 это адрес микротика который мы указывали в PPP профиле

route-method exe

route-delay 2

route 192.168.1.0 255.255.255.0 172.21.108.1

Так же копируем в эту папку публичные сертификаты CA и клиента, и закрытый ключ клиента. Создаём файл auth.cfg вида

user
123

user

123

где user — имя пользователя, 123 — пароль, которые мы задавали в PPP-Secrets на микротике

На этом настройка клиента завершена, запускаем OpenVPN GUI и он начинает подключение

Внимание! В Win7 с включённым UAC, а также на Win8 и Win8.1 не зависимо от того включён или выключен UAC запускаем OpenVPN GUI только в режиме Запускать от имени администратора! В противном случаем у Вас не добавятся маршруты или и вовсе не произойдёт подключения.

при успешном подключении в трее появится сообщение

Как и прежде свои вопросы и пожелания вы можете оставлять в комментариях ниже.

Bill

Большое спасибо за ваши статьи! Скажите пожалуйста возможно ли где-то в Mikrotik сделать настройку, которая бы запрещала добавление маршрутов? Чтобы маршрут дописанный в файле *.ovpn не работал.
- http://vk.com/id3942838 Алексей Варич
  
  да, через фаервол или через ip route rules, думаю лучше через фаервол.
  - Игорь
    
    Добрый день. Подскажите пожалуйста. настроил микротик openvpn сервером и компьютер с подключением. Первое подклчение проходит. Вижу авторизацию на микротике, но потом клиент сам отключается. Захожу в службы не могу подключить «службу openvpn» пишет что «была запущена и затем остановлена» Может кто сталкивался,(пробовал и С учетной записью NT AUTHORITYLocalService и NetworkService ).
    Еще вопрос когда все работает не могу подключиться к серверу по RDP за микротиком. Правила фаервола отключил временно, роуты вроде бы мне не нужны. Еще попробую второй микротик клиентом подрубить. Чтобы увидеть комы за микротиком(сервер openvpn) нужно ли прописывать роуты или еще что-нибудь.Спасибо. А так все делал по инструкции все работает,
    - http://vk.com/id3942838 Алексей Варич
      
      может быть, хз честно говоря на свежеустановленной форточке работает нормально.
      если не можете подключиться по рдп то возможно кривой нат запилили, ну вариантов много с микротиком на самом деле.
      если будет подключать микротик как клиента, да маршруты придётся прописывать, но на серверной части маршруты только скриптом можно прописать, потому что ip у клиента постоянно меняется.
      - Игорь
        
        Спасибо(при настройке все учел вроде, и с разных компьютеров пробовал клиента openvpn поднять все одинаково отключают службу). Почему выбрал openvpn- потому что у меня микротик находится за роутером, на котором я пробросил порт 1194 и у меня работает какое-то время. PPTP мне не подходило (роутер не поддерживает, да и внеш стат IP для pptp)/
        Подскажите пожалуйста может мне попробовать поднять на mikrotike IPSec или l2tp тунели?
        У меня только особенность микротик находится за роутером, у меня только возможность пробросить порт. Не знаю, достаточно ли этим протоколам проброс порта.
      - http://vk.com/id3942838 Алексей Варич
        
        в сообщениях посмотрите на что жалуется Просмотр событий — Журналы Windows — приложения
        http://i.imgur.com/i5vsTEk.png
        Айписек через нат с динамическим адресом? )) оно то может и заработает,, но порекомендовать такое никак не могу, опен впн насколько я понимаю работает практически везде, в отличии от всего остального, пожалуй только какой-нибудь directacces будет лучше, но это отнюдь не дешёвый вариант.
      - Игорь
        
        ну неет уж) какой динамический IP у сервера.. клиент с динамическим IP. события гляну. сделал по другому немного, потому что горит, отпишусь позже как
Владимир

Спасибо, очень подробная статья, но не получилось…
Сделал стенд, Mikrotik (192.168.10.103 — внешний для теста) подключил к свитчу и попробовал подключиться c клиента 192.168.10.2
Не удается подключится, вот что пишет:
…
Thu Aug 07 23:20:11 2014 MANAGEMENT: >STATE:1407432011,WAIT,,,
Thu Aug 07 23:20:11 2014 MANAGEMENT: >STATE:1407432011,AUTH,,,
Thu Aug 07 23:20:11 2014 TLS: Initial packet from [AF_INET]192.168.10.103:1194, sid=1aefb5d0 6e4813b4
Thu Aug 07 23:20:11 2014 VERIFY OK: depth=1, C=RU, ST=//////////////////
Thu Aug 07 23:20:11 2014 VERIFY OK: nsCertType=SERVER
Thu Aug 07 23:20:11 2014 VERIFY OK: depth=0, C=RU, ST=//////////////////
Thu Aug 07 23:20:12 2014 Connection reset, restarting [0]
Thu Aug 07 23:20:12 2014 SIGUSR1[soft,connection-reset] received, process restarting
Thu Aug 07 23:20:12 2014 MANAGEMENT: >STATE:1407432012,RECONNECTING,connection-reset,,
Thu Aug 07 23:20:12 2014 Restart pause, 5 second(s)

На стороне Mikrotik пишет:
TCP connection established from 192.168.10.2
,ovpn-0>: dialing…
,ovpn-0>: using encoding -AES-256-CBC/SHA

и так по кругу. Подскажите что может быть?
- http://vk.com/id3942838 Алексей Варич
  
  из того что вы написали ошибок не вижу, попробуйте лог ovpn включить, может там что интересное будет
  /system logging add topics=ovpn action=memory
  но если и в этом случае ничего нового не увидите, то возможно стоит сменить прошивку.
  - Владимир
    
    Нет, ничего нового в логах Mikrotik не появилось. Прошивка последняя 5.26. Может быть из-за того что где-то на уровне создания сертификата напутал?
    - http://vk.com/id3942838 Алексей Варич
      
      дата время совпадает на микротике и на сервере? перезагружать микротик пробовали? )
      - Владимир
        
        Перезагрузка это первое что сделал.
        А как проверить время? SNTP Client уже был настроен, время на микротике актуальное. И опять же не понятно что значит на микротике и на сервере? Ведь микротик и выступает в роли сервера.
      - Алексей
        
        да верно ) на микротике и на клиенте время должно совпадать, ну хотя бы +/- день, хотя в этом случае вроде другая ошибка.
        для 5.26 инструкция подходит
        дальше, если смотреть ваш лог у вас ST=////// так и написано? Вы поля в сертификате вообще не заполняли?
        Не вижу в логе упоминания про логин-пасс.
      - Владимир
        
        Нет конечно, там дальше идут все поля, просто я делал не тестовый сертификат, а так сказать рабочий уже, с реальными данными, поэтому и убрал с виду…
        Вот про логин/пароль тоже вопрос, дай думаю проверю, меняю пароль для пользователя на микротике — ничего не меняется…
      - Алексей
        
        у меня в логе строчка есть
        WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
        у вас её не вижу, возможно в конфиге вы не указали auth.cfg, хотя у меня в инструкции оно указано.
        дальше не вижу тип шифрования в логе, у меня выглядит как
        Data Channel Encrypt: Cipher ‘AES-256-CBC’ initialized with 256 bit key
        да это всё на скрине видно, и опять таки в конфиге есть.
      - Владимир
        
        Всё верно вы говорите, упустил я её когда копировал, стояла в одну строку с комментарием. Добавил — всё заработало! Большое спасибо!!!
        Осталась одна проблема пинг не проходит до машины во внутренней сети, т.е. пинг до 172.21.108.1 идет, а вот до локалки 192.168.0.X нет, хотя строчку добавил
        route 192.168.0.0 255.255.255.0 172.21.108.1
        
        в логах тоже вроде бы нормально
        Fri Aug 08 22:33:48 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 172.21.108.14/255.255.255.0 on interface {AE768BEF-4893-430D-8C2A-095661464EC4} [DHCP-serv: 172.21.108.0, lease-time: 31536000]
        Fri Aug 08 22:33:48 2014 Successful ARP Flush on interface [18] {AE768BEF-4893-430D-8C2A-095661464EC4}
        Fri Aug 08 22:33:50 2014 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
        Fri Aug 08 22:33:50 2014 MANAGEMENT: >STATE:1407515630,ADD_ROUTES,,,
        Fri Aug 08 22:33:50 2014 C:WINDOWSsystem32route.exe ADD 192.168.0.0 MASK 255.255.255.0 172.21.108.1
        Fri Aug 08 22:33:50 2014 env_block: add PATH=C:WindowsSystem32;C:WINDOWS;C:WINDOWSSystem32Wbem
        Fri Aug 08 22:33:50 2014 Initialization Sequence Completed
        Fri Aug 08 22:33:50 2014 MANAGEMENT: >STATE:1407515630,CONNECTED,SUCCESS,172.21.108.14,192.168.10.103
      - http://vk.com/id3942838 Алексей Варич
        
        после того как подключились сделайте в cmd — route print выложите сюда, видно будет в чём может быть проблема.
        и ещё вопрос, с микротика ж 192.168.0.x у вас пингуется? и на машине с адресом 192.168.0.х микротик шлюзом по умолчанию выставлен?
      - Владимир
        
        Да, машина что за микротиком, получает от него IP через DHCP и он для неё шлюзом прописан, проверил пинг с микротика до неё не идет.
        Видимо надо для начала на стороне микротика разбираться с маршрутами.
      - http://vk.com/id3942838 Алексей Варич
        
        на микротике маршрут сам добавится как только первый клиент подключится через ovpn. Но может быть например проблема с фаерволом, хотя в конфигурации по дефолту ничего не должно мешать.
      - Владимир
        
        Да, маршрут добавился, но странный с моей точки зрения, Dst.address мой (который получил клиент на windows), а вот gateway Pref. Source 172.21.108.1. Такое чувство что нужно еще как-то в локальный бридж это запихнуть…
      - http://vk.com/id3942838 Алексей Варич
        
        никаких бриджей не надо, если с микротика пингуется всё, то проблема врядли в маршрутизации, тут либо нат, либо фаервол, либо проблема с маршрутами где угодно кроме микротика
  - Владимир
    
    В общем всё равно не пойму в чем дело, локальный адрес mikrotika пингуется, а дальше локалка нет. Как уже писал выше с самого микротика тоже машина не пингуется, думаю в этом дело.
  - Алексей
    
    фаервол на машине мешает? если с микротика не пингуется, то сам микротик пингуется?
http://vk.com/id178154547 Максим Паренко

Добрый день. Столкнулся со следующей проблемой. Согласно статье настроил сервер на микротике, установил клиент (windows 2003 server) без каких-либо проблем.
Установил второй клиент (windows 7), добавил сертификаты. Подключение к серверу проходит, но с клиента не пингуется ни микротик (по сети openvpn) ни первый клиент vpn. лог клиента пишет следующее
Wed Aug 13 15:24:21 2014 Initialization Sequence Completed
Wed Aug 13 15:24:21 2014 MANAGEMENT: >STATE:1407932661,CONNECTED,SUCCESS,192.168.34.39,37.57.204.136
Wed Aug 13 15:25:47 2014 [Test-server] Inactivity timeout (—ping-restart), restarting
Wed Aug 13 15:25:47 2014 C:Windowssystem32route.exe DELETE 192.168.5.0 MASK 255.255.255.0 192.168.34.1
Wed Aug 13 15:25:47 2014 env_block: add PATH=C:WindowsSystem32;C:WINDOWS;C:WINDOWSSystem32Wbem
Wed Aug 13 15:25:47 2014 Closing TUN/TAP interface

После чего процесс openvpn.exe убирается из процессов только путем перезагрузки

лог микротика пишет
TCP connection established from **.**.**.**
:using encoding — AES-256-CBC/SHA1
client logged in. 192.168.34.39
connected
terminating… -peer disconnected
client logged out
disconnected

Создается впечатление, что более одного клиента сервер не принимает — попытка настроить на другом пк привела к таким же результатам.
Не могли бы подсказать, что это может быть?
- Алексей
  
  у каждого клиента должен быть свой сертификат с уникальным CN и для каждого клиента надо создать свою уникальную пару логин-пароль на миkротике
  - http://vk.com/id178154547 Максим Паренко
    
    Естественно под второго клиента так же генерировался свой сертификат, а на микротике заводилась пара логин-пароль (которая потом указывалась в auth.cfg). Плюс, я так понимаю, при отсутствии сертификатов или несовпадении пары логин-пароль клиент не получал бы адрес от микротика.
  - Алексей
    
    у меня микротик работает сейчас с 5ью клиентами, но я думаю это не предел, так что версия про то что сервер не принимает больше одного клиента не состоятельна.
    Далее, сталкивался с тем что при авторизации по одному сертификату овпн выкидывает того кто зашёл первым и пускает второго, но это на винде было, как поведёт себя микротик не берусь гадать.
    Не исключено правда что проблема в чём-то другом, например в фаерволе, гадать к сожалению на кофейной гуще не умею, а по той информации что Вы дали могу предположить только одинаковые сертификаты, вы кстати логин так и задавали ? Client?
Александр К

Здравствуйте, Алексей.
Спасибо за статью, все предельно понятно НО
У меня та же проблема что и у Максима Паренко.
Файерволл выключен вообще, сертификаты созданы в соответствии с Вашей статьей.
Виндовый клиент присоединяется к МТ, но через минуту отключается, убирает роут и висит в состоянии завершения подключения, процесс openvpn.exe не убивается в диспетчере задач до перезагрузки.

Tue Aug 26 18:37:35 2014 SENT CONTROL [helix-srv]: ‘PUSH_REQUEST’ (status=1)
Tue Aug 26 18:37:40 2014 SENT CONTROL [helix-srv]: ‘PUSH_REQUEST’ (status=1)
Tue Aug 26 18:37:45 2014 SENT CONTROL [helix-srv]: ‘PUSH_REQUEST’ (status=1)
Tue Aug 26 18:37:45 2014 PUSH: Received control message: ‘PUSH_REPLY,ping 20,ping-restart 60,route-gateway 192.168.20.1,ifconfig 192.168.20.5 255.255.255.0’

Что значит вот это? Я так понимаю не едет пинг до сервера ОВПН

Какую версию клиента ОВПН Вы использовали на момент написания статьи?
Заранее спасибо за ответ.
Очень хочется разобраться, тк бьюсь с овпн уже с начала лета, и пока что безуспешно(
В режиме IP можно подключить только один виндовый клиент, а надо как минимум 3.
- Алексей
  
  Я использовал последнюю стабильную версию. Завтра попробую ещё раз, посмотрю что может быть не так.
  - Александр К
    
    Большое спасибо. Жду ответа с нетерпением.
    
    Добавляю!!!
    ———————-
    Алексей, я разобрался в чем причина, но несколько криво.
    Весь конфиг в Вашей статье в самом деле полностью работоспособен, проблема с самим клиентом овпн версии 2.3.4 — в режиме tap он успешно подключается к МТ, но намертво виснет тк не ходят пакеты и МТ закрывает соединение (Опция Keepalive Timeout в PPP->OVPN Server — пингует 60 секунд тоннель, если ответа нет то сбрасывает соединение).
    При этом роуты добавляются и на стороне МТ и на стороне клиента. На время проверки я полностью отключал файерволлы на всех концах соединения, менял порт овпн на 443, результат один и тот же. В окне статуса клиента после сброса соединения микротиком висит строчка Ожидается завершение работы… процесс openvpn.exe намертво виснет и не удаляется диспетчером задач, из cmd, выгружается только при перезагрузке.
    Ваш конфиг полностю работоспособен на версиях клиента 2.3.3 и 2.3.2 (ниже не проверял за ненадобностью)
    Версия моего МТ с сервером 6.15, тк он «боевой» обновлять пока что не буду. На данный момент последняя версия прошивки 6.19 — на выходных попробую на тестовом МТ и отпишусь по результатам.
    
    На вопрос зачем использовать последний клиент овпн? — в нем устранена недавняя дырка OpenSSL Heartbleed и он является на данный момент более безопасным, по крайней мере сами OvpnComm так заявляют =
  - Александр К
    
    Добавляю!!!
    ———————-
    
    О как! Полез смотреть прошивки МТ и ченджлоги:
    What’s new in 6.16 (2014-Jul-17 13:12):
    
    *) 802.11ac support added in wireless-fp package for QCA9880/9882 rev2 (-BR4A) chips;
    *) ip cloud now allows to set which IP to use — detected (public) or local (private);
    *) l2tp, pptp, pppoe — fixed possible packet corruption when encryption was enabled;
    *) ovpn — fixed ethernet mode;
    *) certificates — use SHA256 for fingerprinting;
    
    4я строчка в чендже — возможно, это то что надо.
    
    ———————-
    
    =((( после обновления все равно последний клиент зависает(
  - http://vk.com/id3942838 Алексей Варич
    
    Да, проблема явно в 234 версии.
    Судя по тому что 233 собрана 14 апреля (OpenVPN 2.3.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Apr 14 2014)
    она должна содержать фикс от heartbleed, так что просто используйте версию 233, а там глядишь и новая рабочая версия клиента под форточку выйдет;)
bladegts

про маршруты не забываем, без маршрутизации никуа не знает куда пакеты слать
- Алексей
  
  маршруты в конфиге на стороне клиента прописаны, в статье это есть 😉
Александр

Последняя версия клиента работает с микротиком стабильно openvpn-install-2.3.5-I602-x86_64.exe
- http://vk.com/id3942838 Алексей Варич
  
  спасибо, проверю если всё так внесу изменения в статью
http://vk.com/id195179805 Алена Старова

Ребят, а подскажите как сделать так, чтобы имя пользователя и пароль не из файла брал, а запрашивал интерактивный ввод? Так же безопасней будет.. Пожалуйста..
- Алексей
  
  логин-пароль вообще только для микротика нужен, у меня там 123 вбито, безопасность обеспечивается в первую очередь за счёт применения сертификата!
  Ну а если у Вас с компа кто-то может стащить файл с логином и паролем, то поставить кейлогер в этом случае не должно быть проблемой.
  - http://vk.com/id195179805 Алена Старова
    
    Вы пишите, что пара — логин/пароль нужна только для микротика, но ведь мне в конфигурационном файле подключения приходится их указывать..
    Вы уверены, что нельзя никак вызывать окно ввода логина и пароля для подключения?
  - http://vk.com/id3942838 Алексей Варич
    
    Если бы я писал статью о том как поднять сервер openvpn на windows там бы 100% не было никакого логина и пароля, но на микротике так сделать нельзя, ему нужна пара логин-пароль, хотя в случае использования сертификатов это избыточно.
    Но если для Вас это так важно можете вместо auth-user-pass auth.cfg попробовать auth-retry type interact
    https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage — здесь все ключи собраны которые можно использовать.
  - https://plus.google.com/104621328018052885366 Andrey T
    
    Вряд ли актуально ещё, но можно просто строку auth-user-pass оставить пустой, не указывая файл.
Aleksandr Kobychenko

Друзья, а я так понимаю что при такой схеме работы связи между клиентами не будет?
- Алексей
  
  по дефолту как раз таки будет, если хотите что бы связи не было используйте правила фильтрации.
http://vk.com/id3626191 Павел Дадонов

Делал вроде всё по вашей схеме, при подключении вылазит такая ошибка, не знаю куда копать:
TLS_ERROR: BIO read tls_read_plaintext error: error:14094413:SSL routines:SSL3_READ_BYTES:sslv3 alert unsupported certificate: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
Fatal TLS error (check_tls_errors_co), restarting

Win 7 x64, клиент openvpn-install-2.3.2-I006-x86_64.exe
Создавал сертификаты на openvpn-install-2.3.6-I603-x86_64.exe
- http://vk.com/id3942838 Алексей Варич
  
  А клиент 2.3.2 из каких соображений против 2.3.6 используете?
  так то об ошибке сертификата пишет лог, но я с подобными ошибками не сталкивался.
  - http://vk.com/id3626191 Павел Дадонов
    
    Да просто на машине другой сертификаты делал. Сейчас на 2.3.2 переделал сертификаты, та же ошибка 🙁
    По инструкции сгенил 3 файла, ca.crt и server.crt и server.key. Их я закинул на Микротик. Их же нужно использовать в папке у клиента и положить их в config вместе с файлами client.ovpn и auth.cfg ?
    
    Судя по ошибке ssl v3 не поддерживается роутером…
    - http://vk.com/id3942838 Алексей Варич
      
      нет не их же
      для двух точек сервер-клиент надо создать 3 crt файла ca, server, client. Вроде вполне себе подробно процесс описал, нигде не писал что в папку клиенту надо положить сертификат микротика.
      - http://vk.com/id3626191 Павел Дадонов
        
        1 Спасибо за оперативные ответы. Методом тыка это выяснил 🙂 Другой вопрос, теперь мне просто генерировать сертификаты для других клиентов с разными commonName, на микротике только пользователей новых добавляем и всё ?
        2 У микротика ip 192.168.88.1, dhcp выдаёт с 10 по 20. vpn pool я сделал от 21 до 40. Но при соединении инет на стороне клиента отваливается. Не могу получить доступ к устройствам за микротиком.
      - http://vk.com/id3942838 Алексей Варич
        
        1. да
        2. Используйте другую подсеть, не 88,1, 89.1 например.
      - http://vk.com/id3626191 Павел Дадонов
        
        Спасибо, выручил. Всех благ вам !
        Что нужно прописать чтоб из сети что за микротиком виделись клиенты OpenVPN ?
        Сеть за микротиком 192.168.88.Х а Ovpn 172.21.108.X
vega_vl

Sat May 16 19:04:14 2015 TAP-Windows Driver Version 9.21
Sat May 16 19:04:14 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 172.21.108.14/255.255.255.0 on interface {1AB1DA40-BC19-4622-8CEA-B633999458D7} [DHCP-serv: 172.21.108.0, lease-time: 31536000]
Sat May 16 19:04:14 2015 Successful ARP Flush on interface [28] {1AB1DA40-BC19-4622-8CEA-B633999458D7}
Sat May 16 19:04:16 2015 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sat May 16 19:04:16 2015 MANAGEMENT: >STATE:1431767056,ADD_ROUTES,,,
Sat May 16 19:04:16 2015 C:Windowssystem32route.exe ADD 192.168.1.0 MASK 255.255.255.0 172.21.108.1
Sat May 16 19:04:16 2015 env_block: add PATH=C:WindowsSystem32;C:WINDOWS;C:WINDOWSSystem32Wbem
Sat May 16 19:04:16 2015 Initialization Sequence Completed
Sat May 16 19:04:16 2015 MANAGEMENT: >STATE:1431767056,CONNECTED,SUCCESS,172.21.108.14,5.121.87.218
Нужен нормальный интернет на работе а не то что там сейчас есть, подключение идет нормально, после изменения пароля с сложного на простой, но интернет не работает, если есть мысли подскажите, пожалуйста.
Информация с подключения
Определенный для подключения DNS-суффикс:
Описание: TAP-Windows Adapter V9
Физический адрес: ‎00-FB-3A-C2-DD-55
DHCP включен: Да
Адрес IPv4: 172.21.108.14
Маска подсети IPv4: 255.255.255.0
Аренда получена: 16 мая 2015 г. 19:04:14
Аренда истекает: 15 мая 2016 г. 19:04:14
Шлюз по умолчанию IPv4:
DHCP-сервер IPv4: 172.21.108.0
DNS-сервер IPv4:
WINS-сервер IPv4 :
Служба NetBIOS через TCP/IP включена: Да
- http://vk.com/id3942838 Алексей Варич
  
  Лог выглядит нормально, ошибок не вижу. Микротик перезагружать не пробовали?
  Да ниже был похожий лог, там человек не прописал в конфиге путь к файлу с логином-паролем, у Вас похоже тоже нет этой строчки.
  - vega_vl
    
    Я добавил информации, какие нужно настройки в микротике посмотреть, сам он нормально настроен интернет во внутреннюю сеть раздает.
    - Алексей
      
      Вы хотите откуда-то через опенвпн подключиться к микротику и что бы потом через этот канал интернет пошёл, так?
      - vega_vl
        
        Да, подключение устанавливается а интернета нет.
      - Алексей
        
        и не должно быть.
        redirect-gateway в конфиг попробуйте добавить.
      - vega_vl
        
        Спасибо огромное, клиент оказывается ковырять надо было а не микротик, понял свою ошибку)
https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков

Добрый день.
Thu May 28 14:10:23 2015 WARNING: —ping should normally be used with —ping-restart or —ping-exit
Thu May 28 14:10:23 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu May 28 14:10:23 2015 Attempting to establish TCP connection with [AF_INET]95.172.49.145:1194 [nonblock]
Thu May 28 14:10:23 2015 MANAGEMENT: >STATE:1432811423,TCP_CONNECT,,,
Thu May 28 14:10:24 2015 TCP connection established with [AF_INET]95.172.49.145:1194
Thu May 28 14:10:24 2015 TCPv4_CLIENT link local: [undef]
Thu May 28 14:10:24 2015 TCPv4_CLIENT link remote: [AF_INET]95.172.49.145:1194
Thu May 28 14:10:24 2015 MANAGEMENT: >STATE:1432811424,WAIT,,,
Thu May 28 14:10:24 2015 MANAGEMENT: >STATE:1432811424,AUTH,,,
Thu May 28 14:10:24 2015 TLS: Initial packet from [AF_INET]95.172.49.145:1194, sid=0ee511af 1f024810
Thu May 28 14:10:24 2015 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
Thu May 28 14:10:24 2015 VERIFY OK: depth=1, C=RU, ST=NN, L=NizhniyNovgorod, O=CMP, OU=changeme, CN=changeme, name=changeme, emailAddress=anred@r152.su
Thu May 28 14:10:24 2015 VERIFY OK: nsCertType=SERVER
Thu May 28 14:10:24 2015 VERIFY OK: depth=0, C=RU, ST=NN, L=NizhniyNovgorod, O=CMP, OU=changeme, CN=mikrotik, name=mikrotik, emailAddress=anred@r152.su
Thu May 28 14:10:25 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14094413:SSL routines:SSL3_READ_BYTES:sslv3 alert unsupported certificate: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
Thu May 28 14:10:25 2015 TLS Error: TLS object -> incoming plaintext read error
Thu May 28 14:10:25 2015 TLS Error: TLS handshake failed
Thu May 28 14:10:25 2015 Fatal TLS error (check_tls_errors_co), restarting
Thu May 28 14:10:25 2015 SIGUSR1[soft,tls-error] received, process restarting
Thu May 28 14:10:25 2015 MANAGEMENT: >STATE:1432811425,RECONNECTING,tls-error,,
Thu May 28 14:10:25 2015 Restart pause, 5 second(s)

Вот лог. не могу понять куда лезть. Поможите
- https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков
  
  Всё по ману следал. Но отшибает и всё.
  - https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков
    
    после плясок с таймзоной и перенастройкой сертификатов начал выдавать
    OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 19 2015
    library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
    MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
    Need hold release from management interface, waiting…
    MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
    MANAGEMENT: CMD ‘state on’
    MANAGEMENT: CMD ‘log all on’
    MANAGEMENT: CMD ‘hold off’
    MANAGEMENT: CMD ‘hold release’
    WARNING: —ping should normally be used with —ping-restart or —ping-exit
    Socket Buffers: R=[65536->65536] S=[65536->65536]
    Attempting to establish TCP connection with [AF_INET]95.172.49.145:1194 [nonblock]
    MANAGEMENT: >STATE:1432812603,TCP_CONNECT,,,
    TCP connection established with [AF_INET]95.172.49.145:1194
    TCPv4_CLIENT link local: [undef]
    TCPv4_CLIENT link remote: [AF_INET]95.172.49.145:1194
    MANAGEMENT: >STATE:1432812604,WAIT,,,
    MANAGEMENT: >STATE:1432812604,AUTH,,,
    TLS: Initial packet from [AF_INET]95.172.49.145:1194, sid=b8764f5c 44162e9d
    WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
    VERIFY OK: depth=1, C=RU, ST=NN, L=NizhniyNovgorod, O=CMP, OU=changeme, CN=changeme, name=changeme, emailAddress=anred@r152.su
    VERIFY OK: nsCertType=SERVER
    VERIFY OK: depth=0, C=RU, ST=NN, L=NizhniyNovgorod, O=CMP, OU=changeme, CN=mikrotik, name=mikrotik, emailAddress=anred@r152.su
    Connection reset, restarting [0]
    SIGUSR1[soft,connection-reset] received, process restarting
    MANAGEMENT: >STATE:1432812604,RECONNECTING,connection-reset,,
    Restart pause, 5 second(s)
    - http://vk.com/id3942838 Алексей Варич
      
      в последнем логе ошибок нет.
      надо на микротике смотреть что не так. Возможно логин-пароль ) Возможно на микротике время неправильно выставлено, возможно сам микротик перезагрузить надо.
      - https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков
        
        Спасибо.
        У меня возникает побочный вопрос — использование сертификатов обязательно? Везде маны именно с сертификатами.
      - http://vk.com/id3942838 Алексей Варич
        
        на опенвпн не пробовал по другому настраивать, но наверное можно )
        просто если есть другой вариант, например с использованием фразы-пароля, то он менее безопасен.
      - https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков
        
        Никак не могу добиться успеха((
        OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 19 2015
        library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
        MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
        Need hold release from management interface, waiting…
        MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
        MANAGEMENT: CMD ‘state on’
        MANAGEMENT: CMD ‘log all on’
        MANAGEMENT: CMD ‘hold off’
        MANAGEMENT: CMD ‘hold release’
        WARNING: —ping should normally be used with —ping-restart or —ping-exit
        Socket Buffers: R=[65536->65536] S=[65536->65536]
        Attempting to establish TCP connection with [AF_INET]95.172.49.145:1194 [nonblock]
        MANAGEMENT: >STATE:1432815294,TCP_CONNECT,,,
        TCP connection established with [AF_INET]95.172.49.145:1194
        TCPv4_CLIENT link local: [undef]
        TCPv4_CLIENT link remote: [AF_INET]95.172.49.145:1194
        MANAGEMENT: >STATE:1432815295,WAIT,,,
        MANAGEMENT: >STATE:1432815295,AUTH,,,
        TLS: Initial packet from [AF_INET]95.172.49.145:1194, sid=b093ff35 2e5bc4ec
        WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
        Connection reset, restarting [0]
        SIGUSR1[soft,connection-reset] received, process restarting
        MANAGEMENT: >STATE:1432815295,RECONNECTING,connection-reset,,
        Restart pause, 5 second(s)
        Тайм зона одинаковая. И у компа и у микротика. Винда 8. Сертификаты делал на 2,3,6.
        микрот — ребутал.
        На микроте в логе пишет:
        TCP connection established from мой IP
      - https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков
        
        Заработало. … пляски с бубном Перенастроил настройку ОVPN сервера.
        5ть раз перезабил логин и пароль пользователя.
https://plus.google.com/102053572250392866341 Александр Анохин

Thu Jun 25 14:15:55 2015 OpenVPN 2.3.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jun 8 2015
Thu Jun 25 14:15:55 2015 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
Thu Jun 25 14:15:55 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Jun 25 14:15:55 2015 Need hold release from management interface, waiting…
Thu Jun 25 14:15:56 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Jun 25 14:15:56 2015 MANAGEMENT: CMD ‘state on’
Thu Jun 25 14:15:56 2015 MANAGEMENT: CMD ‘log all on’
Thu Jun 25 14:15:56 2015 MANAGEMENT: CMD ‘hold off’
Thu Jun 25 14:15:56 2015 MANAGEMENT: CMD ‘hold release’
Thu Jun 25 14:15:56 2015 WARNING: —ping should normally be used with —ping-restart or —ping-exit
Thu Jun 25 14:15:56 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Jun 25 14:15:56 2015 Attempting to establish TCP connection with [AF_INET]83.239.204.74:1194 [nonblock]
Thu Jun 25 14:15:56 2015 MANAGEMENT: >STATE:1435230956,TCP_CONNECT,,,
Thu Jun 25 14:16:06 2015 TCP: connect to [AF_INET]***.***.***.***:1194 failed, will try again in 5 seconds: Ïîïûòêà îáúåäèíèòü äèñê ñ ïàïêîé íà îáúåäèíåííîì äèñêå.
Thu Jun 25 14:16:11 2015 MANAGEMENT: >STATE:1435230971,TCP_CONNECT,,,

в чем беда может быть? что странно, он подключается без проблем внутри сети
WIn 7 x64 клиент
- http://vk.com/id3942838 Алексей Варич
  
  не указали в конфиге строку с логином-паролем.
  - https://plus.google.com/102053572250392866341 Александр Анохин
    
    proto tcp-client
    remote ***.***.***.***
    dev tap
    
    nobind
    persist-key
    
    tls-client
    ca ca.crt
    cert ClientWork.crt
    key ClientWork.key
    ping 10
    verb 3
    ns-cert-type server
    cipher AES-256-CBC
    auth SHA1
    pull
    auth-user-pass auth.cfg
    route-method exe
    route-delay 2
    route 192.168.20.0 255.255.254.0 192.168.42.1
    
    тут же в папке лежит auth.cfg с логином и паролем, да и внутри сети ведь заходит нормально…
    - http://vk.com/id3942838 Алексей Варич
      
      ну ещё как вариант что просто не открыт порт 1194
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        все по инструкции, в фаерволе все открыто, как ни прискорбно.
      - http://vk.com/id3942838 Алексей Варич
        
        попробовал, если подключаться туда где нет опенвпна (ну или порт закрыт) то лог как у Вас получается.
        Микротик перезагружали? разрешающее правило стоит выше запрещающих? Интерфейс правильно указан?
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        да, перезагружал, правило выше всех стоит, на первом месте, интерфейс верный, вот лог подключения на всякий случай, при подключении внутри сети…
        
        Thu Jun 25 20:23:59 2015 OpenVPN 2.3.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jun 8 2015
        Thu Jun 25 20:23:59 2015 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
        Thu Jun 25 20:23:59 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
        Thu Jun 25 20:23:59 2015 Need hold release from management interface, waiting…
        Thu Jun 25 20:23:59 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
        Thu Jun 25 20:23:59 2015 MANAGEMENT: CMD ‘state on’
        Thu Jun 25 20:23:59 2015 MANAGEMENT: CMD ‘log all on’
        Thu Jun 25 20:23:59 2015 MANAGEMENT: CMD ‘hold off’
        Thu Jun 25 20:23:59 2015 MANAGEMENT: CMD ‘hold release’
        Thu Jun 25 20:23:59 2015 WARNING: —ping should normally be used with —ping-restart or —ping-exit
        Thu Jun 25 20:24:00 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
        Thu Jun 25 20:24:00 2015 Attempting to establish TCP connection with [AF_INET]***,***,***,***:1194 [nonblock]
        Thu Jun 25 20:24:00 2015 MANAGEMENT: >STATE:1435253040,TCP_CONNECT,,,
        Thu Jun 25 20:24:01 2015 TCP connection established with [AF_INET]83.239.204.74:1194
        Thu Jun 25 20:24:01 2015 TCPv4_CLIENT link local: [undef]
        Thu Jun 25 20:24:01 2015 TCPv4_CLIENT link remote: [AF_INET]***,***,***,***:1194
        Thu Jun 25 20:24:01 2015 MANAGEMENT: >STATE:1435253041,WAIT,,,
        Thu Jun 25 20:24:01 2015 MANAGEMENT: >STATE:1435253041,AUTH,,,
        Thu Jun 25 20:24:01 2015 TLS: Initial packet from [AF_INET]***,***,***,***:1194, sid=2bd4b4d7 fc6f61c5
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        Thu Jun 25 20:24:01 2015 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
        Thu Jun 25 20:24:01 2015 VERIFY OK: depth=1, C=RU, ST=OLG, L=Olginka, O=CMP, OU=*****, CN=CA, name=ca, emailAddress=*************@gmail.com
        Thu Jun 25 20:24:01 2015 VERIFY OK: nsCertType=SERVER
        Thu Jun 25 20:24:01 2015 VERIFY OK: depth=0, C=RU, ST=OLG, L=Olginka, O=CMP, OU=*****, CN=Server, name=server, emailAddress=********@gmail.com
        Thu Jun 25 20:24:02 2015 Data Channel Encrypt: Cipher ‘AES-256-CBC’ initialized with 256 bit key
        Thu Jun 25 20:24:02 2015 Data Channel Encrypt: Using 160 bit message hash ‘SHA1’ for HMAC authentication
        Thu Jun 25 20:24:02 2015 Data Channel Decrypt: Cipher ‘AES-256-CBC’ initialized with 256 bit key
        Thu Jun 25 20:24:02 2015 Data Channel Decrypt: Using 160 bit message hash ‘SHA1’ for HMAC authentication
        Thu Jun 25 20:24:02 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 AES256-SHA, 2048 bit RSA
        Thu Jun 25 20:24:02 2015 [Server] Peer Connection Initiated with [AF_INET]***,***,***,***:1194
        Thu Jun 25 20:24:03 2015 MANAGEMENT: >STATE:1435253043,GET_CONFIG,,,
        Thu Jun 25 20:24:04 2015 SENT CONTROL [Server]: ‘PUSH_REQUEST’ (status=1)
        Thu Jun 25 20:24:09 2015 SENT CONTROL [Server]: ‘PUSH_REQUEST’ (status=1)
        Thu Jun 25 20:24:15 2015 SENT CONTROL [Server]: ‘PUSH_REQUEST’ (status=1)
        Thu Jun 25 20:24:15 2015 PUSH: Received control message: ‘PUSH_REPLY,ping 20,ping-restart 60,route-gateway 192.168.42.1,ifconfig 192.168.42.20 255.255.255.0’
        Thu Jun 25 20:24:15 2015 OPTIONS IMPORT: timers and/or timeouts modified
        Thu Jun 25 20:24:15 2015 OPTIONS IMPORT: —ifconfig/up options modified
        Thu Jun 25 20:24:15 2015 OPTIONS IMPORT: route-related options modified
        Thu Jun 25 20:24:15 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
        Thu Jun 25 20:24:15 2015 MANAGEMENT: >STATE:1435253055,ASSIGN_IP,,192.168.42.20,
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        Thu Jun 25 20:24:15 2015 open_tun, tt->ipv6=0
        Thu Jun 25 20:24:15 2015 TAP-WIN32 device [Подключение по локальной сети 2] opened: \.Global{AC80D4AC-6313-4BD8-B5EE-939602C698EE}.tap
        Thu Jun 25 20:24:15 2015 TAP-Windows Driver Version 9.21
        Thu Jun 25 20:24:15 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.42.20/255.255.255.0 on interface {AC80D4AC-6313-4BD8-B5EE-939602C698EE} [DHCP-serv: 192.168.42.0, lease-time: 31536000]
        Thu Jun 25 20:24:15 2015 Successful ARP Flush on interface [16] {AC80D4AC-6313-4BD8-B5EE-939602C698EE}
        Thu Jun 25 20:24:17 2015 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
        Thu Jun 25 20:24:17 2015 MANAGEMENT: >STATE:1435253057,ADD_ROUTES,,,
        Thu Jun 25 20:24:17 2015 C:Windowssystem32route.exe ADD 192.168.20.0 MASK 255.255.254.0 192.168.42.1
        Thu Jun 25 20:24:17 2015 env_block: add PATH=C:WindowsSystem32;C:WINDOWS;C:WINDOWSSystem32Wbem
        Thu Jun 25 20:24:17 2015 Initialization Sequence Completed
        Thu Jun 25 20:24:17 2015 MANAGEMENT: >STATE:1435253057,CONNECTED,SUCCESS,192.168.42.20,***,***,***,***
      - Алексей
        
        зачем мне лог внутри сети )
        лучше скриншоты давайте микротика вашего )
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        вот
      - Алексей
        
        какой дстнат? на кой там это правило?
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        пробовал разные варианты просто, пытался что-то вроде шлюза сделать, от выключения правила ничего не меняется(
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        по какой-то неведомой мне причине не открывается порт, при проверке http://2ip.ru/check-port/?port=1194 вещает, что порт закрыт…
      - Алексей
        
        дстнат точно лишний, тем более такой где ни исходного адреса ни адреса назначения ни интерфейса…
        да и маскарад на 1194 порт тоже не нужен, изнутри можно подключаться и без этих махинаций, других проблем не вижу, только если ip адрес не перепутали.
        вообще я смотрю у вас там всё довольно сложно, так что может быть проблема не только здесь, на вкладке мангл поидее ничего страшного сделать нельзя, разве что в маршрутах ещё может быть загвоздка.
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        в мангле вроде все в порядке, да и маршруты проверил, какой-то косяк с открытием порта, хотя через телнет пробовали- достучаться можно…
        полтргейст какой-то
      - Алексей
        
        а как балансировка между двумя внешними интерфейсами реализована? а пинг то хоть нормально проходит?
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        Второй интерфейс по факту отключен, а пинг кстати вообще не идет
      - Алексей
        
        ну если это микротик то только маршрутизацию могу предположить, потому что в фаерволе всё более менее хорошо.
        может у Вас ip адрес серый?
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        ip белый, щас перенастроил, там на входящие другой ip оказался, но при подключении тоже самое извне
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        может предположительно подскажите, что может быть не так, куда смотреть, может в мангле или в роутсах, в правилах роутс нет ничего если что
      - http://vk.com/id3942838 Алексей Варич
        
        ну давайте скрины мангл, роутс и наверное ip-addresses ток на почту
        посмотреть правда смогу ток ближе к ночи
      - https://plus.google.com/102053572250392866341 Александр Анохин
        
        дабы развеять сомнения
http://facebook.com/profile.php?id=100001616695419 Vladimir Starodubtsev

Добрый день. Понимаю, что статья старая, но может еще кто увидит =)
Сделал OPVN по вашей статье, все получилось, программа подключается и получает ip внутренней сети 192.168.1.200. Но дальше самого микротика 192.168.1.1, я ничего не вижу, пинг идет только до микротика. Могу даже зайти в настройки микротика по OVPN. Понимаю, что где то видать нужно прописать разрешения, но не могу понять где =(
- Алексей
  
  дальше микротика это куда?
  - http://vk.com/id2844437 Владимир Стародубцев
    
    Например до сервера или другого оборудования.
    - Алексей
      
      и какие адреса у сервера и другого оборудования? Маршруты в конфиг файле прописали?
      - http://vk.com/id2844437 Владимир Стародубцев
        
        Вся внутренняя сеть работает, даже l2tp работает и позволяет пинговать все с подключения vpn по l2tp. Сервер например 192.168.1.250, видеонаблюдение 192.168.1.240, и по OVPN ничего не видит дальше микротика. Какой именно должен быть прописан маршрут в конфиге для доступа в туже сеть?
      - Алексей
        
        адреса у опенвпн НЕ должны совпадать с адресами локальной сети, уже был в комментариях вопрос такой.
        т.е. если у вас 192.168.1.0/24 локалка, то для микротика подойдёт к примеру 192.168.0.0/24 подсеть, вообще любая локальная подсеть кроме той что Вы уже используете.
      - http://vk.com/id2844437 Владимир Стародубцев
        
        Поменял ip-pool-ovpn на 172.21.108.2-172.21.108.14, и в PPP Profiles local adress на 172.21.108.1.
        В конфиг файле на компе прописал:
        route 192.168.1.0 255.255.255.0 172.21.108.1
        
        OPVN подключается, получает адрес 172.21.108.2, но снова дальше микротика ничего не видит.
        Где то нужно еще прописать маршруты? Может в ip-routes нужно еще добавить что-то?
        
        UPDATE: Проверил логи, в них почему то прописывался старый маршрут. Перезагрузил микротик и по новой с админ провами переписал конфиг для ovpn. В итоге все заработало.
        
        Теперь осталось решить проблему, как достучаться в сеть 192.168.0.0/24 и 192.168.2.0/24, которые соединяются через vlan от других микротиков. Нужно писать маршрут в ip-routes для 172.21.108.0?
      - http://vk.com/id3942838 Алексей Варич
        
        в конфиг файле укажите тоже самое что уже поставили только подсеть поменяйте, три записи получится
        route 192.168.0.0 255.255.255.0 172.21.108.1
        route 192.168.2.0 255.255.255.0 172.21.108.1
        и на маршрутизаторе в этих сетях добавьте маршрут в подсеть 172.21.108.0, в дефолтно настроенном микротике придётся ручками добавлять в ip-routes.
http://vk.com/id83672038 Alex Alex

Добрый день,
Раньше пользовался вашей статьей по настройке, работало без проблем.
А тут пришлось винду переставлять и настраивал клиента заново.
Вот уже бьюсь полдня не могу понять в чем причина, при попытке соединиться с помощью клиента виндового появляется окно openvpn со статусом подключение (желтый цвет иконки), после нескольких секунд выдает сообщение: не удалось подключиться к… И НИКАКИХ сообщений в окне клиента не проскакивает, соответственно и в логе.Куда копать даже уже незнаю… Может сталкивались с таким…. ?
- http://trustore.ru Алексей
  
  в логе что то должно быть написано всё равно.
  - http://vk.com/id83672038 Alex Alex
    
    Нет абсолютно ничего, ни одной записи.
    
    Только попытка подключиться и сообщение, что это не удалось сделать.
    Уже пробовал на с 3х разных компов, один и тот же результат.
    - http://trustore.ru Алексей
      
      даже когда он ничего не пишет в самом окне подключения, после неудачной попытки можно кликнуть по значку в трее правой кнопкой мышки и выбрать показать лог или что-то в этом духе и там обязательно что-то будет написано.
  - http://vk.com/id83672038 Alex Alex
    
    Разобрался 🙂
    В папке log создавался лог файл с названием как у имя конфига, я не обратил на это внимание, в нем нашел ошибки, которые уже быстро поправил. В основном это были неправильные пути к сертификатам и auth.cfg
    Мне казалось, что эти ошибки должны появляться в окне openvpn во время соединения, видимо ошибся…
    Извиняюсь, что побеспокоил по глупости.
Кирилл

День добрый. Понимаю статья старая, но все же. Проблема такая же как и у Alex Alex, лог именно пустой даже при попытке подключения вывести лог, лог пуст придерживался рекомендации о установке другой версии клиента, результат нулевой.
- http://trustore.ru Алексей
  
  Alex Alex написал что надо сделать ) в папке log есть txt файл с названием как у конфига, в нём ведётся лог.
  Не знаю почему в окне у Вас не отображается текст, может не от админа запускаете gui
https://plus.google.com/107907842921972119388 Какойто Такойтович

Доброго времени суток! Столкнулся с такой же ситуацией, как Alex Alex. Всё по инструкции выше. Был только один лог про пути к файлам сертификатов/ключей и больше не создаются. Запускаю от админа. MikroTik перезагружал. Порт открыт 1194. Из правил в Firewall только NATовский mascuerade и созданное нами в фильтрах. Windows 8.1. Не соединяется, как на внутренние (за MikroTik) адреса так и на сам MikroTik. Как быть?
- http://vk.com/id3942838 Алексей Варич
  
  в папке с программой есть папка log в ней лежит лог файл, что там?
  - https://plus.google.com/107907842921972119388 Какойто Такойтович
    
    Только readme. Был только один лог про пути к файлам.
    - http://vk.com/id3942838 Алексей Варич
      
      т.е. сейчас лог совсем пустой?
      - https://plus.google.com/107907842921972119388 Какойто Такойтович
        
        Да. Пустое окно и вот как на картинке. При нажатии «Показать журнал» предлагает создать файл.
      - http://vk.com/id3942838 Алексей Варич
        
        а файл с расширением ovpn в каталоге conf лежит?
      - https://plus.google.com/107907842921972119388 Какойто Такойтович
        
        Да, с ключиками сертификатами вместе в config. Могу показать файл и сеть. Не один раз уже перепроверил файл и пример вверху, вроде всё так. Картинки сюда не хотят прикладываться.
Виктор

Здравствуйте. Интересно, а никто не пробовал Сервер OpenVPN микротик, а клиент IOS iphone ? сам туннель работает, а вот маршруты прописать до других сетей не получается.
- http://vk.com/id3942838 Алексей Варич
  
  если верить хабру то клиент на ios поддерживает опцию redirect-gateway, в этом случае весь трафик через опенвпн пойдёт и доп маршрутов прописывать не нужно на клиенте.
  - Виктор
    
    Как я понимаю при использовании redirect-gateway все запросы он будет направлять к микротику и интернет использовать тоже микротика? попробовал такой вариант, но почему-то дальше шлюза впн, он ничего больше не видит. и получается что ios это не винда, маршруты туда не добавить(ведь с компьютером отдельно всё работает) и как заставить его видеть другие локальные сети не понятно.
    - http://vk.com/id3942838 Алексей Варич
      
      да все запросы, это как маршрут 0.0.0.0/0, ios скорее всего на базе линукса всё равно сделан, какие то маршруты у него должны быть, иначе как оно работает? )
      а ещё есть косячок, ios поддерживает только tun подключения, у меня в статье описаны tap, суть особо не меняется если вы только ios хотите подключить, то в микротике поменяйте тип с ethernet на ip
      - Виктор
        
        вчера ночью мучался часа три наверно, но всё равно не работает.
        тип tun, ip тоже, при использовании redirect-gateway нет интернета (использую 3g и это хорошо, значит действительно все запросы идут через микротик) если использовать пинг через приложение в телефоне, до шлюза 10.1.1.1 идёт замечательно, далее как отрубает.
        конфигурация подключения проста как 5 копеек. может всё-таки кто-то реализовывал? я не пробовал конфигурацию где в роли сервера openvpn выступает debian или ещё что-нибудь, возможно в таком случае в конфиге сервера можно пробрасывать маршруты и это бы работало, но у меня единственный вариант микротик сервер и мобилы на ios
      - http://vk.com/id3942838 Алексей Варич
        
        маскарад накинуть не пробовали?
      - Виктор
        
        цепочка — srcnat
        src address — 10.1.1.0/24
        dst address — !10.0.0.0/8
        
        далее маскарад… так вы имели ввиду?
        
        если так то всё равно не работает 🙁
      - http://vk.com/id3942838 Алексей Варич
        
        маскарад это одно правило.
        шлюз у вас 10.1.1.1, а ip ios какой получает? и в какую сеть попасть хотите?
      - Виктор
        
        телефон получает 10.1.1.11. на этом же микротике есть ещё локальная сеть 192.168.10.0/24 вот туда хочу попасть. там есть видеопоток и хочется смотреть его через телефон. Конечно можно открыть видеопоток и без впн, но так не хотелось бы поступать. (без впн всё работает как часы, ну оно и понятно)
      - http://vk.com/id3942838 Алексей Варич
        
        для видеопотока лучше l2tp юзать с MPPE128, через опенвпн микротик не особо шустро работает, как правило 2 мегабита, не больше, даёт и по идее должен быть встроенный клиент на любом смартфоне для этого протокола.
      - Виктор
        
        Тогда получается нужно использовать два сервера VPN. Openvpn и L2TP.
        у Openvpn 10.1.1.1 (локальная сеть на сервере микротик 192.168.10.0/24)
        у L2tp 10.1.2.1
        L2tp сейчас прекрасно бегает по локалке микротика 192.168.10.0
        но если попытаться залезть на другой филиал у которого адрес openvpn 10.1.1.2 и локалка 192.168.6.0/24 ответа нет.
        честно говоря никогда так не делал. но получается нам нужно послать пакет с мобилы где будет 10.1.2.2 на совсем другую впн а далее уже её локальную сеть… так можно?
      - http://vk.com/id3942838 Алексей Варич
        
        я не совсем понял что именно можно, если схему более внятно объясните может подскажу )
        я правильно понимаю, есть мобильник который подключается к микротику, а микротик ещё куда то потом?
      - Виктор
        
        Есть 5 офисов, все они соединены через openvpn с сертификатами — 10.1.1.0/24
        Микротик выступает сервером openvpn имея адрес 10.1.1.1
        Есть несколько мобильников которых изначально хотелось тоже запихнуть в openvpn, но раз ios маршруты не прокидывает можно попробовать для мобильников и l2tp.
        в целом мне бы и 2 мб/сек хватило на видео с мобилы.
        так вот у l2tp который я только что создал 10.1.2.0/24
        сервер openvpn и l2tp на одном микротике
        И если мобила подключается к микротику она получает адрес 10.1.2.2 и ей нужно попасть на второй впн openvpn 10.1.1.1 а далее уже в другой филиал 192.168.6.0/24
      - http://vk.com/id3942838 Алексей Варич
        
        /ip firewall nat add chain=srcnat src-address=10.1.2.0/24 action=masquerade
        попробуйте такое правило добавить и поставить его выше всех
      - Виктор
        
        к сожалению не помогло. 192.168.6.0/24 ни в какую не видит, и на время теста firewall был полностью отключен.
      - http://vk.com/id3942838 Алексей Варич
        
        а что в connections показывает? честно, был бы ios у меня под рукой уже помог бы разобраться ради интереса )
      - Виктор
        
        Алексей, спасибо вам за то что навели на мысль! тем кто когда-нибудь прочтёт эту ветку будет напоминание, проверить маршруты на правильность.
        искал ошибку в одном месте, а оказалось маршрут на сеть 10.1.1.0 вёл на убитый интерфейс.
        Нда….
https://www.facebook.com/app_scoped_user_id/10209596234768682/ Il’ya Bulakhovskiy

а что если не указывать в настройках сервера проверку сертификатов клиента??
- http://vk.com/id3942838 Алексей Варич
  
  тогда проверка только по логину-паролю будет идти, но это считается плохим вариантом с точки зрения безопасности.
  сертификаты ж легко можно сгенерировать.
  - https://www.facebook.com/app_scoped_user_id/10209596234768682/ Il’ya Bulakhovskiy
    
    Пробовал без сертификатов. Ничего не получилось. Коннект идет. Но что то не дает:
    Я как понял сертификат для каждого клиента нада делать отдельный??
    - http://vk.com/id3942838 Алексей Варич
      
      да, для каждого клиента отдельный.
      - https://www.facebook.com/app_scoped_user_id/10209596234768682/ Il’ya Bulakhovskiy
        
        Что то не выхдит по Вашей инструкции. Вероятнее всего дело в конф файле опенвпн
      - http://vk.com/id3942838 Алексей Варич
        
        конфиг файл который в статье приведён рабочий.
Евгений

у меня при подключении через виндовс клиент. не видит второй конец туннеля и не видит другую подсеть, хотя маршруты прописаны, и mikrotik с mikrotik без проблем соединяются и видят сети друг друга.
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.164 20
10.0.10.0 255.255.255.0 On-link 10.0.10.198 276
10.0.10.198 255.255.255.255 On-link 10.0.10.198 276
10.0.10.255 255.255.255.255 On-link 10.0.10.198 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 On-link 192.168.1.164 276
192.168.1.164 255.255.255.255 On-link 192.168.1.164 276
192.168.1.255 255.255.255.255 On-link 192.168.1.164 276
192.168.5.0 255.255.255.0 10.0.10.254 10.0.10.198 21
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.0.10.198 276
224.0.0.0 240.0.0.0 On-link 192.168.1.164 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.0.10.198 276
255.255.255.255 255.255.255.255 On-link 192.168.1.164 276
- http://vk.com/id3942838 Алексей Варич
  
  запускать openvpn надо от имени администратора, по другому маршруты не добавляется, хотя может и не в этом проблема.
  Вы таблицу маршрутизации бросили, а я понятия не имею какие у Вас адреса у сервера openvpn, какой режим openvpn используете и что за сеть хотите прокинуть.
  - Евгений
    
    10.0.10.254 -сервер
    10.0.10.198 -клиент
    OpenVPN клиент от админа запущен
    причем со стороны сервера в роутинге я вижу 10.0.10.198 но он не пингуется
    со стороны клиента не пингуются 10.0.10.254
    трасерт показывает от клиента что трафик не знает как ему попасть в туннель, когда его делаю на 192.168.5.33
    
    клиентский конфиг (у клиента первая подсеть)
    dev tun
    proto tcp-client
    remote XXX.XXX.XXX.XXX 1194
    route-delay 3
    client
    tls-client
    ns-cert-type server
    ca «C:\Program Files\OpenVPN\config\ca.crt»
    cert «C:\Program Files\OpenVPN\config\client.crt»
    key «C:\Program Files\OpenVPN\config\client.key»
    cipher AES-128-CBC
    auth-user-pass auth.cfg
    comp-lzo
    mssfix
    tun-mtu 1500
    ping-restart 60
    ping 10
    verb 3
    route-method exe
    route 192.168.5.0 255.255.255.0 10.0.10.254
    - http://vk.com/id3942838 Алексей Варич
      
      а сервер реально 10.0.10.254 или это только адрес для win-туннеля?
      - Евгений
        
        это адрес для туннеля сервер 5.1 на mikrotik
      - http://vk.com/id3942838 Алексей Варич
        
        если режим tun то с win клиентами есть косячок небольшой, можно использовать только /30 подсеть., т.е. клиентский конфиг у Вас правильный, а вот конфиг на стороне микротика судя по роуту от клиента нет.
        Но как при этом Вы ухитрились подключиться я не понимаю, у меня отключался сразу и писал про /30.
      - http://vk.com/id3942838 Алексей Варич
        
        http://prntscr.com/bw0cjh — вот так в secrets попробуйте сделать, для пароля клиента. я tun режим только на линуксе использовал, там настройка чуток по другому делается, поэтому точнее сейчас не скажу.
        в конфиге шлюз на линуксе я так и оставлял 254, с другим и не работало.
      - Евгений
        
        попробовал, но не помогло(
        можно наберу вам?
      - http://vk.com/id3942838 Алексей Варич
        
        если только в понедельник ) сейчас занят
      - Евгений
        
        просто не могу понять почему при подключении по openVPN клиенту во премя трассеровки он напрямую на шлюз ломится, а не в туннель?
      - Евгений
        
        при этом я с телефона по этому конфигу тоже выхожу, но туннельный ip из локалки также не пингуется
      - Евгений
        
        самый прикол, что этот конфиг под линуксом без проблем цепляется
      - Евгений
        
        изменил версию openvpn клиента и конфиг на
        
        proto tcp-client
        # в этой строчке мы указываем адрес в интернете нашего микротика
        remote XXX.XXX.XXX.XXX
        dev tun
        nobind
        persist-key
        tls-client
        #указываем имена публичного CA сертификата
        ca ca.crt
        cert client.crt
        key client.key
        ns-cert-type server
        cipher AES-128-CBC
        auth SHA1
        pull
        auth-user-pass auth.cfg
        route-method exe
        route 192.168.5.0 255.255.255.0 10.0.10.254 #задаёт маршрут в сеть 192.168.0.0/24 через VPN
        
        теперь трасеровка и пинги идут до шлюза 5.1
      - Евгений
        
        включил службу маршрутизации на клиенте и стало всё хорошо))
        спасибо)
      - http://vk.com/id3942838 Алексей Варич
        
        Было бы за что ) Вы вроде как сами проблему решили.
      - Евгений
        
        теперь бы с этим вопросом помогли))) как на микротике реализовать схему openvpn клиенты подключаются к серверу 192.168.5.1
        который по ipsec подключен к 192.168.11.3, нужно чтобы клиенты имели доступ к 11.3.
        сейчас только из 5й подсети есть доступ к 11.3
        P.S. раньше с микротиками не работал)
      - http://vk.com/id3942838 Алексей Варич
        
        сложно всё описываете, я понять не могу, в сети 5.0 у вас понятно микротик шлюз, а в сети 11.0 кто шлюзом работает?
      - Евгений
        
        pfsense
      - http://vk.com/id3942838 Алексей Варич
        
        схемку можете нарисовать что куда и откуда и где соединяется, тогда может подскажу
      - Евгений
        
        на неделе постараюсь сделать, еще одну задачу подкинули просто)
      - Евгений
        
        как на микротике реализовать схему openvpn клиенты подключаются к серверу 192.168.5.1
        который по ipsec подключен к 192.168.11.3, нужно чтобы клиенты имели доступ к 11.3.
        сейчас только из 5й подсети есть доступ к 11.3
http://vk.com/id2844437 Владимир Стародубцев

Добрый день. Извиняюсь за некропостинг, но может мне повезет с ответом =)
Есть 3 сети с микротиками, они соединены через vlan. На одном из микротиков есть белый ip и настроен openvpn. Клиент подключается по openvpn и видит только сеть на одном микротике.

192.168.1.0/24 (микротик с белым айпи), остальные 2 сети с микротиками на vlan: 192.168.0.0/24, 192.168.2.0/24
Сеть vlan 192.168.5.0/24.
Клиент подключается по 172.21.108.2.

Как сделать так, чтобы клиент видел все 3 сети? Понимаю, что нужно прописать маршруты, но уже каких только не прописывал, все равно не видит.
- http://vk.com/id3942838 Алексей Варич
  
  как правило достаточно прописать маршруты, тем более судя по всему часть маршрутов у вас работает, раз сеть 1.0 клиент видит.
  но есть ещё нюанс, в сетках 0.0 2.0 и 5.0 маршрутизаторы должны знать о существовании сети 172.21.108.
  ну и фаервол конечно должен разрешать подобные пакеты.
  - http://vk.com/id2844437 Владимир Стародубцев
    
    В этом и беда. Я не понимаю, как сеть 172.21.108.0 прописать в маршруты, если она описана только в profiles PPP, и не привязана к какому либо порту. Просто если при обычном физическом пробросе для vlan идет: add distance=1 dst-address=192.168.0.0/24 gateway=192.168.5.2
    То, как прописать маршрут для 172.121.108.0, который описан только в profiles PPP и не привязан к порту микротика?
    - http://vk.com/id3942838 Алексей Варич
      
      эту сеть надо прописывать на маршрутизаторах которые отвечают за другие сети, а не на микротике который итак об этой сети знает.
      - http://vk.com/id2844437 Владимир Стародубцев
        
        В теории это понятно. А на практике не получилось. На другом микротике как нужно описать эту 172 сеть, так же в profile PPP и какой тогда маршрут выставить?
      - Алексей
        
        на другом микротике маршрут записывается так же как и маршрут для 1.0
        все маршруты в ip — routes.
      - http://vk.com/id2844437 Владимир Стародубцев
        
        Видать я совсем туг. Пытаюсь 172.21.108.0 подружить хотя бы с vlan 192.168.5.0. Прописал add dst-address=192.168.5.0/24 gateway=172.21.108.1, но маршрут горит unreachable и клиент не видит другие микротики. Я видать не понимаю, как схемотически должны идти данные от клиента 172.21.108.2 до другого роута.
        Добавил правило маскарадинга на локалку 172.21.108.0/24 и я увидел vlan и все микротики 192.168.5.0/24. Теперь осталось заставить увидеть внутренние сети других микротиков.
      - http://vk.com/id2844437 Владимир Стародубцев
        
        Исправление маскардинга помогло, у меня он был настроен не правильно. Всем спасибо за помощь!
      - http://vk.com/id3942838 Алексей Варич
        
        я даже не знаю как вам надо написать что маршруты надо прописывать на других микротиках, вы это просто не читаете.
        маскарад да можно, но это немножко другая история, вопрос не так стоял.
Полиграф Полиграфович

Обновился до 6.40. Настроен OSPF. Уделенные микротики (подключены как OVPN клиенты) перестали анонсировать свои сети. В лога ошибки типа: «Discarding Hello packet: mismatch in network mask». Исправляется, если в свойствах OVPN сервера Netmask 24 заменить на 32.
Николай

Сделал по инструкции, спасибо автору, но напишу с чем столкнулся и как решил проблему:
1) При подключении OpenVPN журнал выдавал ошибки связанные с ping 10 и ns-cert-type server
2) После подключения был доступен только web-интерфейс микротика, при этом сам он не пинговался и серверы вообще не были доступны внутри удалённой сети, к которой было подключение
3) После подключения пропадал интернет
——-
Проблемы 1 и 3 решились изменением конфигурационного файла хх.ovpn:

proto tcp-client
remote xx.xx.xx.xx 1194
dev tun <--- этот параметр я изменил т.к. в настройках микротика - ovpn server - mode - выбрал пункт IP nobind persist-key tls-client ca ca.crt cert XX-client.crt key XX-client.key verb 3 remote-cert-tls server auth-nocache cipher AES-256-CBC auth SHA1 pull auth-user-pass auth.cfg Проблему 2 решил в микротике: меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp
- http://vk.com/id3942838 Алексей Варич
  
  1. я ip не стал указывать, потому что на винде конфиг такой не взлетит, надо будет адрес прописывать ручками что бы ip клиента и шлюз лежали в 30 подсети, но микротик всё равно что с тап что с тан работает почти одинаково, поэтому описал более простой вариант.
  2. ns-cert-type server заменили в какой то версии овпн на remote-cert-tls server, может перепишу когда-нибудь.
  3. бриджей вообще никаких тут не нужно, тем более если вы ip режим поставили, а уж тем более такой паршивый бридж трогать в который итак wifi включён.
  - Николай
    
    1. Подключаюсь из под винды (win8.1×32)
    3. В моём микротике отсутствует wi-fi (RB3011UiAS). По-другому никак не cмог решить проблему отсутствия интернета при подключенном OpenVPN, если знаете как правильнее или лучше, буду благодарен.
https://plus.google.com/117593546931447885527 Артем ТИхонович

Спасибо за статью.
Во внутренню сеть хожу без проблем но хочу ищу через микротик ходить и в интернет. Как такое сделать? Правила nat добавить или маршрут какой-то прописать еще нужно?
- http://vk.com/id3942838 Алексей Варич
  
  в конфиг файле клиента надо redirect-gateway добавить и на микротике маскарад(нат) если его нет на адреса из пула опенвпн
  - https://plus.google.com/117593546931447885527 Артем ТИхонович
    
    Спасибо. пошло. Достаточно было указать redirect-gateway. Маскарад стоял на все сети. Есть ли разница в конфиге клиента tun или tap? Пробую клиента на ios запустить — tap не принимает. С tun пока тоже не получается.В логе так:
    14:23:53 ovpn,info TCP connection established from 195.184.199.28
    14:23:58 ovpn,info TCP connection established from 195.184.199.28
    14:24:01 ovpn,info TCP connection established from 195.184.199.28
    14:24:04 ovpn,info TCP connection established from 195.184.199.28
    14:24:07 ovpn,info TCP connection established from 195.184.199.28
    upd — решил сам по совету ниже в профиле ovpn server указал IP и тогда режим tun заработал
    - http://vk.com/id3942838 Алексей Варич
      
      логирование включите на микротике для ovpn
      разница между tun и tap есть,
      tun — для виндового клиента в ppp secrets надо будет указывать адрес клиента и адрес сервера так что бы они в /30 подсети оба были
      - https://plus.google.com/117593546931447885527 Артем ТИхонович
        
        tun работает в виндоус без проблем. вроде и без этих указаний.
        в логах иос видим что:
        https://pastebin.com/H0UARNXg
        останавливается на этом и пароль не спрашивает от ключа клиента.
        вот файл конфига для иос:
        https://pastebin.com/knpkAFyc
        кажется что-то с криптографией не то…но вот что….
        ну и лог микротика:
        https://pastebin.com/AZfQiit1
      - http://vk.com/id3942838 Алексей Варич
        
        не работает винда если адрес сервера и клиента не укладываются в /30, буквально на этой неделе проверял, это только для tun косяк, с tap никаких проблем.
        routeros то надеюсь свежий?
        #auth-user-pass auth.cfg — как он должен логин пароль спросить? в конфиге нет указания на то что это вообще требуется.
      - https://plus.google.com/117593546931447885527 Артем ТИхонович
        
        6.40.4
        #auth-user-pass auth.cfg — как он должен логин пароль спросить? в конфиге нет указания на то что это вообще требуется.
        Верно но я не представляю как его в иос закинуть этот файл…наверное какой-то другой способ.
        В статье вываливалось окошко с запросом логин-пароля
      - http://vk.com/id3942838 Алексей Варич
        
        попробуйте auth-user-pass
        т.е. без указания файла
      - https://plus.google.com/117593546931447885527 Артем ТИхонович
        
        Спасибще!!!! ОНО!!!
      - https://plus.google.com/117593546931447885527 Артем ТИхонович
        
        и в примере настройки OpenVPN для ios добавлял еще на сервер ключ TLS аутентификации. Обязательно ли это делать? Вот по этой статье делал конвертацию и импорт ключей — https://habrahabr.ru/post/168853/
      - Alexey
        
        /32 сети более чем достаточно, если вы посмотрите в роутах, то маршруты прописаны на /32
      - http://vk.com/id3942838 Алексей Варич
        
        /32 это один адрес, а что бы была передача данных надо минимум 2 адреса, это /30 подсеть
        может в новых версиях что то и поменялось, особо не слежу пока всё работает.
https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

Добрый день, клиенты ovpn после подключение к микротику и не видят локальную сеть. Айпи ovpn 192.168.10.0, айпи лок сети 192.168.1.0. Подскажите пожалуйста как решить данную пролему
- http://vk.com/id3942838 Алексей Варич
  
  я бы начал с того что поменял бы адрес в локальной сети, потом маршруты бы на клиентах проверил
  командой route print
  - https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov
    
    Что бы было мне яснее, зачем менять адреса локальной сети? В микротике IP -> Routers автоматом появляется маршрут подключенного клиента ovpn?
    - http://vk.com/id3942838 Алексей Варич
      
      я разве в мироктике говорил маршрут смотреть?
      а менять потому что 1.0 не самый удачный выбор, не так, самый неудачный выбор.
      - https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov
        
        Извините, route print — постоянный маршрут один виндовый стоит
      - http://vk.com/id3942838 Алексей Варич
        
        ну вот и ответ, либо не добавили маршрут в конфиге, либо запускаете openvpn не то имени администратора
      - https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov
        
        От имени администратора запустил, ничего не поменялось в route print
        route-method exe
        route-delay 2
        route 192.168.10.0 255.255.255.0 192.168.10.254
        В конфиге прописано и это не правильно, подвели вы меня к этой мысли
      - http://vk.com/id3942838 Алексей Варич
        
        надо не 10.0, а 1.0
      - https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov
        
        Поменял в конфиге и в настройках сервера, но все ровно на локальные ресурсы не могу зайти при подключение
      - https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov
        
        Подсказать не получается более?
      - http://vk.com/id3942838 Алексей Варич
        
        я ж не всё время свободен )
        tracert до локально адреса с адреса клиента можете сделать?
        tracert -d 192.168.1.1? по адресу вам виднее.
      - https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov
        
        Извини Алексей
      - https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov
        
        Трасеровка «tracert -d 192.168.1.1» макс скачек 5мс до локального адреса. Я пинг кинул, пинг идет если есть подключение, отключаюсь пинг не идет.
      - https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov
        
        Сделал tracert -d 192.168.1.х (тот ресурс что нужен мне) до сервера дошел 1.1, а за сервер не пошел превысил интервал … и все
      - https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov
        
        Алексей, благодарю, решил проблему … вся суть была в том что айпи локальной сети не должны были быть в одной сети с айпи vpn
      - http://vk.com/id3942838 Алексей Варич
        
        https://2ch.hk/media/src/95299/15136897480120.jpg
      - https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov
        
        Добрый день, могли бы подсказать как настроить конфиг файл для IOS?
      - http://vk.com/id3942838 Алексей Варич
        
        ниже в комментах был вопрос, человек скидывал конфиг
        я сам не настраивал никогда
Vitaly

Здравствуйте! Пока только осваиваю эту тематику. По Вашей статье все получилось. Но не потребовалось ничего вводить при подключении. Логин/пароль насколько понимаю взят из файла auth.cfg, сертификаты скопированы на HDD в папку config. Получается любой человек, имеющий доступ к этим 4 файлам, может подключиться к ovpn серверу? А где же секрет?) Обьясните пожалуйста)
- http://vk.com/id3942838 Алексей Варич
  
  Если человек имеет доступ к вашему хдд, то никакие секреты для него уже не секрет.
  но если хочется логин-пароль повводить, то вместо auth-user-pass auth.cfg можете сделать просто auth-user-pass и тогда будет окошко с запросом пароля.
  - Vitaly
    
    Спасибо! Есть еще вопрос, как только сформулирую — напишу
Артём

Здравстуйте! Прошу помощи у знатаков. Есть проблема подключения Mikrotik 5.24 с OpenVPN 2.2.2.
Нет подключения к серверу на микротике. Лог OpenVPN:
Mon Apr 23 22:41:28 2018 NOTE: OpenVPN 2.1 requires ‘—script-security 2’ or higher to call user-defined scripts or executables
Mon Apr 23 22:41:28 2018 LZO compression initialized
Mon Apr 23 22:41:28 2018 Control Channel MTU parms [ L:1560 D:140 EF:40 EB:0 ET:0 EL:0 ]
Mon Apr 23 22:41:28 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Apr 23 22:41:28 2018 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Apr 23 22:41:28 2018 Local Options hash (VER=V4): ‘bc07730e’
Mon Apr 23 22:41:28 2018 Expected Remote Options hash (VER=V4): ‘b695cb4a’
Mon Apr 23 22:41:28 2018 Attempting to establish TCP connection with xx.xx.xx.xx:1194
Mon Apr 23 22:41:28 2018 TCP connection established with xx.xx.xx.xx:1194
Mon Apr 23 22:41:28 2018 TCPv4_CLIENT link local: [undef]
Mon Apr 23 22:41:28 2018 TCPv4_CLIENT link remote: xx.xx.xx.xx:1194
Mon Apr 23 22:41:28 2018 Connection reset, restarting [0]
Mon Apr 23 22:41:28 2018 TCP/UDP: Closing socket
Mon Apr 23 22:41:28 2018 SIGUSR1[soft,connection-reset] received, process restarting
Mon Apr 23 22:41:28 2018 Restart pause, 5 second(s)

Конфигурации на Mikrotik 5.24 (смотрите ниже)
Конфигурация клиента OpenVPN 2.2.2:

dev tun
proto tcp-client
remote xx.xx.xx.xx 1194
route-delay 3
client
tls-client
ns-cert-type server
ca «C:\\Program Files\\OpenVPN\\config\\ca.crt»
cert «C:\\Program Files\\OpenVPN\\config\\Test-client.crt»
key «C:\\Program Files\\OpenVPN\\config\\Test-client.key»
cipher AES-128-CBC
auth-user-pass auth.cfg
comp-lzo
mssfix
tun-mtu 1500
ping-restart 60
ping 10
verb 3

Все делал по инструкции но не судьба (не работает).
Сертификаты создал и импортировал по инструкции.

Прошу сильно не бить и не матюкать, и прошу помсощи.
Что я сделал не так?
- Артём
  
  Добавлю что порт 1194 в фаерволе открыт.
  Настраивал PPTP Сервер на этом микротике без проблем заходит из интернета..
  
  Возможно проблема с сертификатами. Если есть возможность создать сертификаты и отослать их мне для теста буду примного благодарен.
- Артём
  
  Вопрос снимается. Просто нужно было перезагрузить микротик. :)))))
  А ларчик ведь просто открывался. )))
Dmitry

Добрый день. Спасибо за статью, подключение клиент-микротик работает. Подскажите, как мне завернуть интернет трафик на клиенте через ovpn? На виндовых клиентах l2tp и pptp это работает по умолчанию (использовать удаленный шлюз), а тут нет. Буду очень благодарен….

proto tcp-client
remote ***.***.***.***
dev tap

nobind
persist-key

tls-client
ca ca.crt
cert User2.crt
key User2.key
verb 3
remote-cert-tls server
auth-nocache
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass auth.cfg

P.S.
Я только начал с ovpn знакомство, поэтому возможно мои вопросы покажутся странными))) Но у меня на клиенте не присваивается шлюз…
- http://vk.com/id3942838 Алексей Варич
  
  за это отвечает опция redirect-gateway в конфиг файле клиента.
  - Dmitry
    
    Я очень благодарен
    redirect-gateway def1
    Теперь работает
    Посоветуйте плз годный мануал по кфг, желательно на русском:-)
    - http://vk.com/id3942838 Алексей Варич
      
      не посоветую )
      я нужные параметры на оф сайт в документации искал когда нужно было.
http://facebook.com/profile.php?id=100002172554703 Jack Handers

Настраивал по инструкции, подключение клиента не происходит, в log ошибка:
«Options error: —cert fails with ‘Client.crt’: No such file or directory»
Файлы сертификатов разместил в папке config
- http://vk.com/id3942838 Алексей Варич
  
  он пишет что нет файла client.crt, а у вас есть такой файл в папке?
  - http://facebook.com/profile.php?id=100002172554703 Jack Handers
    
    Спасибо за скорый ответ и за статью!
    Пере проверил несколько раз, ошибка ушла после перезагрузки, пока подключение не произошло но в логе новая информация
    - http://facebook.com/profile.php?id=100002172554703 Jack Handers
      
      Лог стоит на такой строке и далее не идет
      «MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340»
      По внешнему адресу подключился через телнет и порту ovpn подключение происходит
      - http://facebook.com/profile.php?id=100002172554703 Jack Handers
        
        Отвечу на свой вопрос сам ибо вы его уже описали в статье, из-за перезапусков забыл запустить vpnклиент от имени администратора… вот и все
      - http://vk.com/id3942838 Алексей Варич
        
        =)
https://plus.google.com/104252676457701023384 Андрей Толстых

Друзья, всё сделал по инструкции. Прямо до каждой цифры. Клиент из под винды подключился к роутеру на удалённом адресе. Как правильно теперь набрать адрес в браузере, чтобы попасть в веб морду роутера? у микротика это 192.168.88.1
default dhcp у меня по умолчанию 192.168.88.10 — … точно не помню
- http://vk.com/id3942838 Алексей Варич
  
  набирайте адрес который указали в local address в ppp профиле
  - https://plus.google.com/104252676457701023384 Андрей Толстых
    
    Спасибо! Я использовал адреса из статьи, т.е. это адрес 172.21.108.1
    К сожалению это не помогло: ERR_CONNECTION_TIMED_OUT, через браузер я в вебморду микротика не попадаю((.
    Из-за того, что у меня другой dhcp по умолчанию, мне видимо надо вбивать другую строку в ovpn файл? Я указал: route 192.168.88.1 255.255.255.0 172.21.108.1
    первоначально я вбил route 192.168.88.0 255.255.255.0 172.21.108.1 (результат тот же)
    вариант route 192.168.1.0 255.255.255.0 172.21.108.1 тоже не помог((
    Извините, но может проблема в том, что я не подключен? У меня иконка сети ovpn жёлтая((( видимо соединение не завершилось успешно((
    вот log
    Sun Sep 16 15:17:32 2018 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
    Sun Sep 16 15:17:32 2018 Windows version 6.2 (Windows 8 or greater) 64bit
    Sun Sep 16 15:17:32 2018 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10
    Enter Management Password:
    Sun Sep 16 15:17:32 2018 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
    Sun Sep 16 15:17:32 2018 Need hold release from management interface, waiting…
    Sun Sep 16 15:17:33 2018 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
    Sun Sep 16 15:17:33 2018 MANAGEMENT: CMD ‘state on’
    Sun Sep 16 15:17:33 2018 MANAGEMENT: CMD ‘log all on’
    Sun Sep 16 15:17:33 2018 MANAGEMENT: CMD ‘echo all on’
    Sun Sep 16 15:17:33 2018 MANAGEMENT: CMD ‘bytecount 5’
    Sun Sep 16 15:17:33 2018 MANAGEMENT: CMD ‘hold off’
    Sun Sep 16 15:17:33 2018 MANAGEMENT: CMD ‘hold release’
    Sun Sep 16 15:17:33 2018 MANAGEMENT: >STATE:1537100253,RESOLVE,,,,,,
    Sun Sep 16 15:17:33 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]1@@.@@@.@@.224:1194
    Sun Sep 16 15:17:33 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
    Sun Sep 16 15:17:33 2018 Attempting to establish TCP connection with [AF_INET]1@@.@@@.@@.224:1194 [nonblock]
    Sun Sep 16 15:17:33 2018 MANAGEMENT: >STATE:1537100253,TCP_CONNECT,,,,,,
    - http://vk.com/id3942838 Алексей Варич
      
      да, иконка зелёная должна быть.
      - https://plus.google.com/104252676457701023384 Андрей Толстых
        
        Я с цветом поборюсь))) подскажите, пожалуйста, по строке в ovpn файле, если у меня сеть за микротиком стандартная? ну т.е. адрес микротика в локальной сети 192.168.88.1
        как в этом случае должна выглядеть команда route? local address в ppp профиле у меня 172.21.108.1
      - http://vk.com/id3942838 Алексей Варич
        
        route 192.168.88.0 255.255.255.0 172.21.108.1
http://vk.com/id2844437 Владимир Стародубцев

Ребят, есть полностью настроенный ovpn на микротик, с винды клиент работает хорошо. А вот с линукс проблемы, в линукс требуется *.pem сертификат и какой-то ключ TLS *.key файл. Кто вкурсе, что за файлы требуются?
- http://vk.com/id3942838 Алексей Варич
  
  есть же статейка рядом как на линуксе клиент настраивать.
  https://trustore.ru/tag/vpn
  - http://vk.com/id2844437 Владимир Стародубцев
    
    Спасибо. Почему то при поиске по интернету, не находил эту статью. А в других статьях tls файлы в ступор ввели =)
https://plus.google.com/109639338660502120880 Slava Voinov

Здравствуйте, беда нереальная. С горем пополам настроил ovpn сервер на микротике и даже подключился к нему, очень долго мучался с фаерволом, так как интернет от провайдера по pppoe приходит. Итог: могу зайти с удаленного клиента OVPN на вебморду микротика по локальному адресу внутренней сети офиса где собственно и стоит микротик, ну и соответственно он пингуется. Клиент сеть за OVPN mikrotik server так и не видит, машины не пингуются, на вебморды серверов зайти по айпишникам не могу. Что делать, ребят?
- http://vk.com/id3942838 Алексей Варич
  
  маршруты прописать очевидно
  - https://plus.google.com/109639338660502120880 Slava Voinov
    
    Алексей, пожалуйста подробнее расскажите. роуты в в файле конфигурации у клиента прописаны, а толку 0.
    - http://vk.com/id3942838 Алексей Варич
      
      может быть неправильные маршруты
      или запустили openvpn не из под админа
      или надо прописать до клиента
      или фаервол блокирует
      - https://plus.google.com/109639338660502120880 Slava Voinov
        
        +OVPN из под админа на клиенте
        +Фаервол отключен на клиенте вообще как и антивирус
        +На микротике запрещающие правила тоже отключал на время — толку нет
        На клиенте а файле конфигурации прописано:
        client
        dev tun
        proto tcp
        remote «статический адрес микротика в сети интернет» 1194
        resolve-retry infinite
        nobind
        persist-key
        persist-tun
        ca ca.crt
        cert client.crt
        key client.key
        remote-cert-tls server
        cipher AES-256-CBC
        verb 3
        auth SHA1
        route-method exe
        route-delay 2
        route 192.168.0.0(адрес внутренней сети офиса) 255.255.255.0 172.168.0.1(адрес микротика в OVPN сети)
        auth-user-pass pass.txt
      - https://plus.google.com/109639338660502120880 Slava Voinov
        
        В «adress list» прописано:
        adress 192.168.0.1/24 network 192.168.0.0 interface bridge-local
        И 2 динамических
        adress «внешний IP» network 1.1.1.1 interface «pppoe-in»
        adress 192.168.0.1 network 172.168.0.142 interface
      - http://vk.com/id3942838 Алексей Варич
        
        dev tun? тогда маршрут неправильный, как оно у вас аще подключилось то, tun интерфейс себе же маску на винде /30 хочет.
      - https://plus.google.com/109639338660502120880 Slava Voinov
        
        во всех мануалах, даже на вики микротика в конфиге клиента на win прописано dev tun.
        Подскажите пожалуйста что конкретно исправить?
        В файле конфигурации маску на 255.255.255.252(/30) поменял, но машины за микротиком так видеть и не начал
      - http://vk.com/id3942838 Алексей Варич
        
        поменяйте на tap и не делайте мозга, вы в моей инструкции где-то tun видите?
      - https://plus.google.com/109639338660502120880 Slava Voinov
        
        Спасибо поменял на dev tap, но теперь желтым и постоянно пытается реконектиться
      - http://vk.com/id3942838 Алексей Варич
        
        tun — ip
        tap — ethernet
        это раз, два remote и local надо поставить нормальные, там /30 не нужна, собственно выше то всё описано.
      - https://plus.google.com/109639338660502120880 Slava Voinov
        
        Здравствуйте еще раз все поменял как у вас в гайде. подключение зеленым горит, но никуда в сетку зайти я не могу( Само собой проверял с отключенным фаерволом и тд. Если с прошлыми настрйоками хотябы на роутер заходило то теперь по нулям.
        
        Апдейт: на микротик все таки заходит. Клиент уже поставил на другую машину. Заново сертификаты сделал по вашему гайду, настройки микротика как у вас и тд. Но проблема таже не вижу ничего в локалке по айпи не могу зайти ни на один сервер. фаервол отключал на вермя проверки само собой дело не в нем.
      - https://plus.google.com/109639338660502120880 Slava Voinov
        
        Ещё 1 апдейт добился того что машины из сети пингуются))
        Но с нужными мне ресурсами есть проблемы. В сети есть второй mikrotik в который по кабелю приходит телефония и перенаправляется на сервер ip-телефонии elastix.
        Так вот достучаться до второго микротика и сервера Elastix я не могу .
        Адрес микротика в сети 192.168.0.251
        Адрес сервера Elastix 192.168.0.128
        При этом в таблице АРП он есть как у 1-ого микротика на который инет приходит так и у второго на который приходит вызов по номеру от провайдера
        С локальных машин легко захожу и на сервер телефонии и на микротик
        В настройках сервера Elastix гейтвеем указан 2-о1 микротик с адресом 192.168.0.251.
        Поменять не могу так как телефония пересатает работать
      - http://vk.com/id3942838 Алексей Варич
        
        дописать маршрут надо в сетку впна на втором микротике
        назначение будет 172.168.0.0/24 а шлюз — 1 микротик.
        хотя не факт что заработает. косячный вариант с двумя шлюзами в одной подсети.
      - https://plus.google.com/109639338660502120880 Slava Voinov
        
        Уже пробовал — не работает((
        Какой альтернативный вариант ? На второй микротик OVPN сервер сделать и порты пробросить через 1-ый?
        По большей части мне только телефония и нужныа в другие офисы
      - http://vk.com/id3942838 Алексей Варич
        
        ну как вариант.
        по хорошему просто надо было подсети разные делать, тогда и маршруты бы нормально заработали, но это сложнее чем порты прокинуть ))
        а ещё есть косячный вариант — прописать маршрут на самом еластике, очень просто делается если что.
https://plus.google.com/106248100308396607901 Андрей Лазуков

Здравствуйте. У меня возникла проблема. Все настройки сделал по инструкции. При подключении выдавал ошибку на ключ ta. Я его сделал и положил в папку config. после этого стал выдавать ошибку
Sun Oct 21 11:54:09 2018 MANAGEMENT: >STATE:1540104849,RESOLVE,,,,,,
Sun Oct 21 11:54:12 2018 RESOLVE: Cannot resolve host address: my-server-1:1194 ()
Sun Oct 21 11:54:12 2018 MANAGEMENT: >STATE:1540104852,RESOLVE,,,,,,
Sun Oct 21 11:54:14 2018 RESOLVE: Cannot resolve host address: my-server-1:1194 ()
Sun Oct 21 11:54:14 2018 Could not determine IPv4/IPv6 protocol
Sun Oct 21 11:54:14 2018 SIGUSR1[soft,init_instance] received, process restarting
Sun Oct 21 11:54:14 2018 MANAGEMENT: >STATE:1540104854,RECONNECTING,init_instance,,,,,
Sun Oct 21 11:54:14 2018 Restart pause, 5 second(s)

и не подключается. Подскажите, куда копать? Почему он пишет my-server-1:1194 (), если в конфиге я указал ip адрес.
- http://vk.com/id3942838 Алексей Варич
  
  что за ключ ta? не знаю таких
  если пишет my-server-1:1194, значит в конфиге указан этот самый my-server-1:1194, других вариантов нет.
  - https://plus.google.com/106248100308396607901 Андрей Лазуков
    
    Все получилось, в начале файла config были закомментированы описания из установочной версии файла. я все снес и заработало. Спасибо за инструкцию.
https://plus.google.com/+ЕвгенийКарпинский Евгений Карпинский

Добрый день. Второй день мучаюсь с проблемой. Настроил VPN сервер на микротике, клиенты подключаются с клиентов пингуется сам роутер (10.3.1.1), но клиенты не имеют доступа друг к другу (ip клиента 10.3.1.11 и 10.3.1.201, сеть 10.3.0.0/16)

Конфиг клиента openvpn:

proto tcp-client
# в этой строчке мы указываем адрес в интернете нашего микротика
remote 192.168.1.210
dev tap
nobind
persist-key
tls-client
#указываем имена публичного CA сертификата
ca ca.crt
# публичного сертификата клиента
cert client.crt
# и его закрытый ключ
key client.key
#каждые 10 секунд проверять туннель, если нет ответа 120 секунд, переподключаться
keepalive 10 120
verb 3
cipher AES-256-CBC
auth SHA1
pull
#проверка сертификата сервера
#https://openvpn.net/index.php/open-source/documentation/howto.html#mitm
remote-cert-tls server
# эта строка задаёт файл с логином-паролем которые мы прописывали в PPP-Secrets на микротике
auth-user-pass auth.cfg
# в этой части мы задаём настройки сетей которые находятся за микротиком,
# в моём случае 192.168.1.0 с маской 255.255.255.0 это сеть,
# а 172.21.108.1 это адрес микротика который мы указывали в PPP профиле
route-method exe
route-delay 2
route 10.3.0.0 255.255.0.0 10.3.1.1

На роутере в фаерволе открыт порт 1194 (ну собственно иначе не было бы подключения)
http://i.piccy.info/i9/d443608c2d9346dd04e5c47ba6db1012/1544173733/82378/1287198/Snymok.jpg

И маршруты на роутере:
http://i.piccy.info/i9/2c13b47a375350d57276246b38b08628/1544173803/39796/1287198/Snymok1.jpg

Чего ему не хватает?
- http://vk.com/id3942838 Алексей Варич
  
  а на клиентах маршруты то смотрели?
https://plus.google.com/108495796580004399718 Alexey Nikolaev

Добрый день.
1) Как можно избавиться от auth.cfg? хочу оставить только сертификат
2) можно ли каким либо образом хранить конфиг маршрутов для пользователей на микротике? Поясню — например если опенвпн сервер на centos, то маршруты я пишу в файлах clientsconfig. Хочется выдать всем сертификаты, а потом уже не изменяя файл конфига опенвпн на клиенте рулить доступами в ту или иную подсеть.
- http://vk.com/id3942838 Алексей Варич
  
  1 — на микротике нельзя
  2 — на микротике нельзя.
  рулить доступами впринципе можно через фаервол, а подсети в конфиге сразу все прописывать.
  всё что можно на микротике сделать это днс отправить, да ip какой-то клиенту присвоить, через нужный профиль в ppp-secrets.
  - https://plus.google.com/108495796580004399718 Alexey Nikolaev
    
    Спасибо. Думаю так и поступлю. Кстати, а как отдать адрес сервера днс?
    - http://vk.com/id3942838 Алексей Варич
      
      всё через профиль
      опять же, через профиль можно задавать address list, а уже листы в фаерволе блочить или разрешать что нужно.
      опять же, фаервол это единственное правильное решение, потому что если вы не прописали подсеть это вовсе не значит что клиент её у себя не сможет прописать, ещё как сможет
      
      ppp — profiles
http://vk.com/id24185797 Антон Лаухин

Алексей , доброго времени суток
Я так понял, что если
1) не делать 2й пул адресов для OVPN-Сервер
2) указать адрес из основного пула в OVPN профиле
3) Тогда 3 команды внизу client.ovpn файла не нужны.
таК?
Спасибо.
- http://trustore.ru Алексей
  
  пул это адреса которые выдаются клиенту.
  а 3 команды внизу это добавление маршрутов, так что выходит что НЕ так.

Комментарии для сайта Cackle