Поднимаем OpenVPN сервер на Mikrotik

В некоторых случаях требуется получить доступ например из дома в локальную сеть на работе, это довольно просто можно сделать с помощью OpenVPN. Я опишу каким образом можно это реализовать с помощью микротика, хотя заранее оговорюсь, реализация OpenVPN на этой железке оставляет желать лучшего.

Во-первых: полноценного ethernet туннеля OpenVPN микротик сделать не в состоянии, потому что отсутствует напрочь возможность выдавать IP адреса OVPN клиентам по DHCP, все адреса выдаёт только сам микротик, как его не крути и с чем вокруг него не прыгай;
Во-вторых: не поддерживается сжатие заголовков;
В-третьих: работает только по tcp, в то время как предпочитаемый для OpenVPN – udp.
и если я правильно понимаю, даже на железках с аппаратным ускорением шифрования, опенвпн всё равно будет работать в софтовом режиме, т.е. возможность аппаратного ускорения не задействуется.

Всё это вместе взятое немного раздражает, но с этим, как я считаю, можно смирится, потому что такая реализация имеет ряд плюсов:

  • Безопасность, опенвпн с реализацией авторизации по сертификату очень надёжный канал.
  • В отличии от ipsec у нас практически нет никаких проблем с nat.
  • Возможность настроить клиента для подключения по безопасному каналу практически с любого устройства.
  • Относительная простота настройки, в микротике опенвпн поднимается практически в два щелчка, если сравнивать настройку через конфиг в других железках или ОС.

Итак, настройку я условно разделю на две части, это настройка сервера (на железке) и настройка клиента (windows).

Как настроить клиента для CentOS (Linux) читаем в этой статейке.

Настройка OpenVPN на Mikrotik (Сервер)

Подготовка

Пожалуй подготовительный этап следует начать с генерации сертификатов, поскольку passphrase авторизация считается менее защищённой из-за MITM уязвимости, а мы же не хотим что бы кто-то кроме нас самих мог получить доступ к нашей корпоративной сети. Подробно процесс по созданию сертификатов описан здесь. Добавлю лишь что для самого микротика надо генерировать сертификат сервера, а для клиента сертификат клиента.

После создания сертификатов нам понадобится публичные сертификаты CA и для самого микротика, а так же закрытый ключ микротика, копируем их

открываем WinBox на микротике, переходим в раздел Files и жмём на кнопку Paste

winbox paste

Получается примерно такая картинка

winbox file list

После этого сертификаты необходимо импортировать, для этого идём в раздел System – Certificates и жмём кнопку Import, я первым импортировал публичный сертификат CA

winbox certificates

дальше импортируем публичный сертификат микротика

и закрытый ключ для него

winbox certificates

должна получится примерно такая картинка, обращаем внимание что напротив сертификата микротика должно стоять KT

следующим шагом создаём пул IP адресов для наших OVPN клиентов IP – Pool, жмём кнопку +, я добавил диапазон 172.21.108.2-172.21.108.14, и назвал пул ovpn

следующим этапом создаём PPP профиль, соответственно заходим в раздел PPP вкладка Profiles добавляем профиль кнопкой +, вводим имя, локальный адрес микротика с которым будут работы нашим клиенты, должен лежать в подсети с созданным ранее пулом адресов и указываем пул, остальное оставляем без изменений

Включение

после этого настраиваем сам OpenVPN сервер, делается это в разделе PPP вкладка Interface, кнопка OVPN Server, ставим галку Enabled, mode выставляем ethernet, выбираем созданный ранее профиль, а также ставим галку Require Client Certificate и выбираем сертификат микротика, маску по желанию можно поменять.

winbox openvpn server

Осталось совсем немного, нужно создать пользователя, переходим в раздел PPP – Secrets, вводим имя пользователя, пароль, указываем сервис и профиль.

new ppp secret

Поскольку мы используем сертификаты, надо что бы время на клиенте и на сервере совпадало, поэтому настраиваем sntp клиента, что бы микротик мог синхронизировать время, делается это в разделе System – SNTP Client. Я указал локальный SNTP сервер, вы можете использовать любой публичный сервер в интернете (например ntp3.stratum2.ru и 0.europe.pool.ntp.org) или указать свой внутренний.

winbox sntp client

Осталось настроить разрешающее правило фаервола, переходим в раздел IP – Firewall вкладка Filter Rules.

winbox firewall rule

Здесь надо указать In. Interface – интерфейс по которому к Вам приходит интернет, остальное как на скриншоте.

winbox firewall rule

 

Созданное правило должно находится выше запрещающих правил.

На этом настройка сервера завершена, переходим к настройке клиента.

Настройка клиента OpenVPN Windows для микротика

Не все версии RouterOS нормально работают с OpenVPN. Например версия RouterOS ниже 6.36 не работает с версиями OpenVPN выше 2.3.10, поэтому не забывайте периодически обновлять RouterOS.

При получении ошибки:
OpenSSL: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca

Обновите прошивку!
И проверьте что бы в сертификатах на микротике был импортирован ca.crt!


OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
при возникновении этой ошибки обновляем прошивку, заново импортируем сертификаты в микротике(не надо их генерировать снова, просто удалить и снова добавить)

Конфиг файл тестировался для OpenVPN 2.4.4, последнего на момент написания статьи.

О том где загрузить и как установить OpenVPN клиент описано в статье по созданию сертификатов.

После установки нам необходимо будет перейти в каталог с установленным OpenVPN и добавить файл client.ovpn в каталог config следующего содержания:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
proto tcp-client
# в этой строчке мы указываем адрес в интернете нашего микротика
remote 123.123.123.123
dev tap
 
nobind
persist-key
 
tls-client
#указываем имена публичного CA сертификата
ca ca.crt
# публичного сертификата клиента
cert client.crt
# и его закрытый ключ
key  client.key
#каждые 10 секунд проверять туннель, если нет ответа 120 секунд, переподключаться
keepalive 10 120
verb 3
cipher AES-256-CBC
auth SHA1
pull
#проверка сертификата сервера
#https://openvpn.net/index.php/open-source/documentation/howto.html#mitm
remote-cert-tls server
# эта строка задаёт файл с логином-паролем которые мы прописывали в PPP-Secrets на микротике
auth-user-pass auth.cfg
# в этой части мы задаём настройки сетей которые находятся за микротиком,
# в моём случае 192.168.1.0 с маской 255.255.255.0 это сеть,
# а 172.21.108.1 это адрес микротика который мы указывали в PPP профиле
route-method exe 
route-delay 2 
route 192.168.1.0 255.255.255.0 172.21.108.1

Так же копируем в эту папку публичные сертификаты CA и клиента, и закрытый ключ клиента и создаём файл auth.cfg вида

1
2
user
123

где user – имя пользователя, 123 – пароль, которые мы задавали в PPP-Secrets на микротике

На этом настройка клиента завершена, запускаем OpenVPN GUI и он начинает подключение

Внимание! В Win7 с включённым UAC, а также на Win8 и Win8.1 не зависимо от того включён или выключен UAC запускаем OpenVPN GUI только в режиме Запускать от имени администратора! В противном случаем у Вас не добавятся маршруты или и вовсе не произойдёт подключения.

openvpn win client connection

при успешном подключении в трее появится сообщение

Как и прежде свои вопросы и пожелания вы можете оставлять в комментариях ниже.

  • Bill

    Большое спасибо за ваши статьи! Скажите пожалуйста возможно ли где-то в Mikrotik сделать настройку, которая бы запрещала добавление маршрутов? Чтобы маршрут дописанный в файле *.ovpn не работал.

    • http://vk.com/id3942838 Алексей Варич

      да, через фаервол или через ip route rules, думаю лучше через фаервол.

      • Игорь

        Добрый день. Подскажите пожалуйста. настроил микротик openvpn сервером и компьютер с подключением. Первое подклчение проходит. Вижу авторизацию на микротике, но потом клиент сам отключается. Захожу в службы не могу подключить “службу openvpn” пишет что “была запущена и затем остановлена” Может кто сталкивался,(пробовал и С учетной записью NT AUTHORITYLocalService и NetworkService ).
        Еще вопрос когда все работает не могу подключиться к серверу по RDP за микротиком. Правила фаервола отключил временно, роуты вроде бы мне не нужны. Еще попробую второй микротик клиентом подрубить. Чтобы увидеть комы за микротиком(сервер openvpn) нужно ли прописывать роуты или еще что-нибудь.Спасибо. А так все делал по инструкции все работает,

        • http://vk.com/id3942838 Алексей Варич

          может быть, хз честно говоря на свежеустановленной форточке работает нормально.
          если не можете подключиться по рдп то возможно кривой нат запилили, ну вариантов много с микротиком на самом деле.
          если будет подключать микротик как клиента, да маршруты придётся прописывать, но на серверной части маршруты только скриптом можно прописать, потому что ip у клиента постоянно меняется.

          • Игорь

            Спасибо(при настройке все учел вроде, и с разных компьютеров пробовал клиента openvpn поднять все одинаково отключают службу). Почему выбрал openvpn- потому что у меня микротик находится за роутером, на котором я пробросил порт 1194 и у меня работает какое-то время. PPTP мне не подходило (роутер не поддерживает, да и внеш стат IP для pptp)/
            Подскажите пожалуйста может мне попробовать поднять на mikrotike IPSec или l2tp тунели?
            У меня только особенность микротик находится за роутером, у меня только возможность пробросить порт. Не знаю, достаточно ли этим протоколам проброс порта.

          • http://vk.com/id3942838 Алексей Варич

            в сообщениях посмотрите на что жалуется Просмотр событий – Журналы Windows – приложения
            http://i.imgur.com/i5vsTEk.png
            Айписек через нат с динамическим адресом? )) оно то может и заработает,, но порекомендовать такое никак не могу, опен впн насколько я понимаю работает практически везде, в отличии от всего остального, пожалуй только какой-нибудь directacces будет лучше, но это отнюдь не дешёвый вариант.

          • Игорь

            ну неет уж) какой динамический IP у сервера.. клиент с динамическим IP. события гляну. сделал по другому немного, потому что горит, отпишусь позже как

  • Владимир

    Спасибо, очень подробная статья, но не получилось…
    Сделал стенд, Mikrotik (192.168.10.103 – внешний для теста) подключил к свитчу и попробовал подключиться c клиента 192.168.10.2
    Не удается подключится, вот что пишет:

    Thu Aug 07 23:20:11 2014 MANAGEMENT: >STATE:1407432011,WAIT,,,
    Thu Aug 07 23:20:11 2014 MANAGEMENT: >STATE:1407432011,AUTH,,,
    Thu Aug 07 23:20:11 2014 TLS: Initial packet from [AF_INET]192.168.10.103:1194, sid=1aefb5d0 6e4813b4
    Thu Aug 07 23:20:11 2014 VERIFY OK: depth=1, C=RU, ST=//////////////////
    Thu Aug 07 23:20:11 2014 VERIFY OK: nsCertType=SERVER
    Thu Aug 07 23:20:11 2014 VERIFY OK: depth=0, C=RU, ST=//////////////////
    Thu Aug 07 23:20:12 2014 Connection reset, restarting [0]
    Thu Aug 07 23:20:12 2014 SIGUSR1[soft,connection-reset] received, process restarting
    Thu Aug 07 23:20:12 2014 MANAGEMENT: >STATE:1407432012,RECONNECTING,connection-reset,,
    Thu Aug 07 23:20:12 2014 Restart pause, 5 second(s)

    На стороне Mikrotik пишет:
    TCP connection established from 192.168.10.2
    ,ovpn-0>: dialing…
    ,ovpn-0>: using encoding -AES-256-CBC/SHA

    и так по кругу. Подскажите что может быть?

    • http://vk.com/id3942838 Алексей Варич

      из того что вы написали ошибок не вижу, попробуйте лог ovpn включить, может там что интересное будет
      /system logging add topics=ovpn action=memory
      но если и в этом случае ничего нового не увидите, то возможно стоит сменить прошивку.

      • Владимир

        Нет, ничего нового в логах Mikrotik не появилось. Прошивка последняя 5.26. Может быть из-за того что где-то на уровне создания сертификата напутал?

        • http://vk.com/id3942838 Алексей Варич

          дата время совпадает на микротике и на сервере? перезагружать микротик пробовали? )

          • Владимир

            Перезагрузка это первое что сделал.
            А как проверить время? SNTP Client уже был настроен, время на микротике актуальное. И опять же не понятно что значит на микротике и на сервере? Ведь микротик и выступает в роли сервера.

          • Алексей

            да верно ) на микротике и на клиенте время должно совпадать, ну хотя бы +/- день, хотя в этом случае вроде другая ошибка.
            для 5.26 инструкция подходит
            дальше, если смотреть ваш лог у вас ST=////// так и написано? Вы поля в сертификате вообще не заполняли?
            Не вижу в логе упоминания про логин-пасс.

          • Владимир

            Нет конечно, там дальше идут все поля, просто я делал не тестовый сертификат, а так сказать рабочий уже, с реальными данными, поэтому и убрал с виду…
            Вот про логин/пароль тоже вопрос, дай думаю проверю, меняю пароль для пользователя на микротике – ничего не меняется…

          • Алексей

            у меня в логе строчка есть
            WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
            у вас её не вижу, возможно в конфиге вы не указали auth.cfg, хотя у меня в инструкции оно указано.
            дальше не вижу тип шифрования в логе, у меня выглядит как
            Data Channel Encrypt: Cipher ‘AES-256-CBC’ initialized with 256 bit key
            да это всё на скрине видно, и опять таки в конфиге есть.

          • Владимир

            Всё верно вы говорите, упустил я её когда копировал, стояла в одну строку с комментарием. Добавил – всё заработало! Большое спасибо!!!
            Осталась одна проблема пинг не проходит до машины во внутренней сети, т.е. пинг до 172.21.108.1 идет, а вот до локалки 192.168.0.X нет, хотя строчку добавил
            route 192.168.0.0 255.255.255.0 172.21.108.1

            в логах тоже вроде бы нормально
            Fri Aug 08 22:33:48 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 172.21.108.14/255.255.255.0 on interface {AE768BEF-4893-430D-8C2A-095661464EC4} [DHCP-serv: 172.21.108.0, lease-time: 31536000]
            Fri Aug 08 22:33:48 2014 Successful ARP Flush on interface [18] {AE768BEF-4893-430D-8C2A-095661464EC4}
            Fri Aug 08 22:33:50 2014 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
            Fri Aug 08 22:33:50 2014 MANAGEMENT: >STATE:1407515630,ADD_ROUTES,,,
            Fri Aug 08 22:33:50 2014 C:WINDOWSsystem32route.exe ADD 192.168.0.0 MASK 255.255.255.0 172.21.108.1
            Fri Aug 08 22:33:50 2014 env_block: add PATH=C:WindowsSystem32;C:WINDOWS;C:WINDOWSSystem32Wbem
            Fri Aug 08 22:33:50 2014 Initialization Sequence Completed
            Fri Aug 08 22:33:50 2014 MANAGEMENT: >STATE:1407515630,CONNECTED,SUCCESS,172.21.108.14,192.168.10.103

          • http://vk.com/id3942838 Алексей Варич

            после того как подключились сделайте в cmd – route print выложите сюда, видно будет в чём может быть проблема.
            и ещё вопрос, с микротика ж 192.168.0.x у вас пингуется? и на машине с адресом 192.168.0.х микротик шлюзом по умолчанию выставлен?

          • Владимир

            Да, машина что за микротиком, получает от него IP через DHCP и он для неё шлюзом прописан, проверил пинг с микротика до неё не идет.
            Видимо надо для начала на стороне микротика разбираться с маршрутами.

          • http://vk.com/id3942838 Алексей Варич

            на микротике маршрут сам добавится как только первый клиент подключится через ovpn. Но может быть например проблема с фаерволом, хотя в конфигурации по дефолту ничего не должно мешать.

          • Владимир

            Да, маршрут добавился, но странный с моей точки зрения, Dst.address мой (который получил клиент на windows), а вот gateway Pref. Source 172.21.108.1. Такое чувство что нужно еще как-то в локальный бридж это запихнуть…

          • http://vk.com/id3942838 Алексей Варич

            никаких бриджей не надо, если с микротика пингуется всё, то проблема врядли в маршрутизации, тут либо нат, либо фаервол, либо проблема с маршрутами где угодно кроме микротика

      • Владимир

        В общем всё равно не пойму в чем дело, локальный адрес mikrotika пингуется, а дальше локалка нет. Как уже писал выше с самого микротика тоже машина не пингуется, думаю в этом дело.

      • Алексей

        фаервол на машине мешает? если с микротика не пингуется, то сам микротик пингуется?

  • http://vk.com/id178154547 Максим Паренко

    Добрый день. Столкнулся со следующей проблемой. Согласно статье настроил сервер на микротике, установил клиент (windows 2003 server) без каких-либо проблем.
    Установил второй клиент (windows 7), добавил сертификаты. Подключение к серверу проходит, но с клиента не пингуется ни микротик (по сети openvpn) ни первый клиент vpn. лог клиента пишет следующее
    Wed Aug 13 15:24:21 2014 Initialization Sequence Completed
    Wed Aug 13 15:24:21 2014 MANAGEMENT: >STATE:1407932661,CONNECTED,SUCCESS,192.168.34.39,37.57.204.136
    Wed Aug 13 15:25:47 2014 [Test-server] Inactivity timeout (–ping-restart), restarting
    Wed Aug 13 15:25:47 2014 C:Windowssystem32route.exe DELETE 192.168.5.0 MASK 255.255.255.0 192.168.34.1
    Wed Aug 13 15:25:47 2014 env_block: add PATH=C:WindowsSystem32;C:WINDOWS;C:WINDOWSSystem32Wbem
    Wed Aug 13 15:25:47 2014 Closing TUN/TAP interface

    После чего процесс openvpn.exe убирается из процессов только путем перезагрузки

    лог микротика пишет
    TCP connection established from **.**.**.**
    :using encoding – AES-256-CBC/SHA1
    client logged in. 192.168.34.39
    connected
    terminating… -peer disconnected
    client logged out
    disconnected

    Создается впечатление, что более одного клиента сервер не принимает – попытка настроить на другом пк привела к таким же результатам.
    Не могли бы подсказать, что это может быть?

    • Алексей

      у каждого клиента должен быть свой сертификат с уникальным CN и для каждого клиента надо создать свою уникальную пару логин-пароль на миkротике

      • http://vk.com/id178154547 Максим Паренко

        Естественно под второго клиента так же генерировался свой сертификат, а на микротике заводилась пара логин-пароль (которая потом указывалась в auth.cfg). Плюс, я так понимаю, при отсутствии сертификатов или несовпадении пары логин-пароль клиент не получал бы адрес от микротика.

      • Алексей

        у меня микротик работает сейчас с 5ью клиентами, но я думаю это не предел, так что версия про то что сервер не принимает больше одного клиента не состоятельна.
        Далее, сталкивался с тем что при авторизации по одному сертификату овпн выкидывает того кто зашёл первым и пускает второго, но это на винде было, как поведёт себя микротик не берусь гадать.
        Не исключено правда что проблема в чём-то другом, например в фаерволе, гадать к сожалению на кофейной гуще не умею, а по той информации что Вы дали могу предположить только одинаковые сертификаты, вы кстати логин так и задавали ? Client?

  • Александр К

    Здравствуйте, Алексей.
    Спасибо за статью, все предельно понятно НО
    У меня та же проблема что и у Максима Паренко.
    Файерволл выключен вообще, сертификаты созданы в соответствии с Вашей статьей.
    Виндовый клиент присоединяется к МТ, но через минуту отключается, убирает роут и висит в состоянии завершения подключения, процесс openvpn.exe не убивается в диспетчере задач до перезагрузки.

    Tue Aug 26 18:37:35 2014 SENT CONTROL [helix-srv]: ‘PUSH_REQUEST’ (status=1)
    Tue Aug 26 18:37:40 2014 SENT CONTROL [helix-srv]: ‘PUSH_REQUEST’ (status=1)
    Tue Aug 26 18:37:45 2014 SENT CONTROL [helix-srv]: ‘PUSH_REQUEST’ (status=1)
    Tue Aug 26 18:37:45 2014 PUSH: Received control message: ‘PUSH_REPLY,ping 20,ping-restart 60,route-gateway 192.168.20.1,ifconfig 192.168.20.5 255.255.255.0’

    Что значит вот это? Я так понимаю не едет пинг до сервера ОВПН

    Какую версию клиента ОВПН Вы использовали на момент написания статьи?
    Заранее спасибо за ответ.
    Очень хочется разобраться, тк бьюсь с овпн уже с начала лета, и пока что безуспешно(
    В режиме IP можно подключить только один виндовый клиент, а надо как минимум 3.

    • Алексей

      Я использовал последнюю стабильную версию. Завтра попробую ещё раз, посмотрю что может быть не так.

      • Александр К

        Большое спасибо. Жду ответа с нетерпением.

        Добавляю!!!
        ———————-
        Алексей, я разобрался в чем причина, но несколько криво.
        Весь конфиг в Вашей статье в самом деле полностью работоспособен, проблема с самим клиентом овпн версии 2.3.4 – в режиме tap он успешно подключается к МТ, но намертво виснет тк не ходят пакеты и МТ закрывает соединение (Опция Keepalive Timeout в PPP->OVPN Server – пингует 60 секунд тоннель, если ответа нет то сбрасывает соединение).
        При этом роуты добавляются и на стороне МТ и на стороне клиента. На время проверки я полностью отключал файерволлы на всех концах соединения, менял порт овпн на 443, результат один и тот же. В окне статуса клиента после сброса соединения микротиком висит строчка Ожидается завершение работы… процесс openvpn.exe намертво виснет и не удаляется диспетчером задач, из cmd, выгружается только при перезагрузке.
        Ваш конфиг полностю работоспособен на версиях клиента 2.3.3 и 2.3.2 (ниже не проверял за ненадобностью)
        Версия моего МТ с сервером 6.15, тк он “боевой” обновлять пока что не буду. На данный момент последняя версия прошивки 6.19 – на выходных попробую на тестовом МТ и отпишусь по результатам.

        На вопрос зачем использовать последний клиент овпн? – в нем устранена недавняя дырка OpenSSL Heartbleed и он является на данный момент более безопасным, по крайней мере сами OvpnComm так заявляют =

      • Александр К

        Добавляю!!!
        ———————-

        О как! Полез смотреть прошивки МТ и ченджлоги:
        What’s new in 6.16 (2014-Jul-17 13:12):

        *) 802.11ac support added in wireless-fp package for QCA9880/9882 rev2 (-BR4A) chips;
        *) ip cloud now allows to set which IP to use – detected (public) or local (private);
        *) l2tp, pptp, pppoe – fixed possible packet corruption when encryption was enabled;
        *) ovpn – fixed ethernet mode;
        *) certificates – use SHA256 for fingerprinting;

        4я строчка в чендже – возможно, это то что надо.

        ———————-

        =((( после обновления все равно последний клиент зависает(

      • http://vk.com/id3942838 Алексей Варич

        Да, проблема явно в 234 версии.
        Судя по тому что 233 собрана 14 апреля (OpenVPN 2.3.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Apr 14 2014)
        она должна содержать фикс от heartbleed, так что просто используйте версию 233, а там глядишь и новая рабочая версия клиента под форточку выйдет;)

  • bladegts

    про маршруты не забываем, без маршрутизации никуа не знает куда пакеты слать

    • Алексей

      маршруты в конфиге на стороне клиента прописаны, в статье это есть 😉

  • Александр

    Последняя версия клиента работает с микротиком стабильно openvpn-install-2.3.5-I602-x86_64.exe

    • http://vk.com/id3942838 Алексей Варич

      спасибо, проверю если всё так внесу изменения в статью

  • http://vk.com/id195179805 Алена Старова

    Ребят, а подскажите как сделать так, чтобы имя пользователя и пароль не из файла брал, а запрашивал интерактивный ввод? Так же безопасней будет.. Пожалуйста..

    • Алексей

      логин-пароль вообще только для микротика нужен, у меня там 123 вбито, безопасность обеспечивается в первую очередь за счёт применения сертификата!
      Ну а если у Вас с компа кто-то может стащить файл с логином и паролем, то поставить кейлогер в этом случае не должно быть проблемой.

      • http://vk.com/id195179805 Алена Старова

        Вы пишите, что пара – логин/пароль нужна только для микротика, но ведь мне в конфигурационном файле подключения приходится их указывать..
        Вы уверены, что нельзя никак вызывать окно ввода логина и пароля для подключения?

      • http://vk.com/id3942838 Алексей Варич

        Если бы я писал статью о том как поднять сервер openvpn на windows там бы 100% не было никакого логина и пароля, но на микротике так сделать нельзя, ему нужна пара логин-пароль, хотя в случае использования сертификатов это избыточно.
        Но если для Вас это так важно можете вместо auth-user-pass auth.cfg попробовать auth-retry type interact
        https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage – здесь все ключи собраны которые можно использовать.

      • https://plus.google.com/104621328018052885366 Andrey T

        Вряд ли актуально ещё, но можно просто строку auth-user-pass оставить пустой, не указывая файл.

  • Aleksandr Kobychenko

    Друзья, а я так понимаю что при такой схеме работы связи между клиентами не будет?

    • Алексей

      по дефолту как раз таки будет, если хотите что бы связи не было используйте правила фильтрации.

  • http://vk.com/id3626191 Павел Дадонов

    Делал вроде всё по вашей схеме, при подключении вылазит такая ошибка, не знаю куда копать:
    TLS_ERROR: BIO read tls_read_plaintext error: error:14094413:SSL routines:SSL3_READ_BYTES:sslv3 alert unsupported certificate: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
    TLS Error: TLS object -> incoming plaintext read error
    TLS Error: TLS handshake failed
    Fatal TLS error (check_tls_errors_co), restarting

    Win 7 x64, клиент openvpn-install-2.3.2-I006-x86_64.exe
    Создавал сертификаты на openvpn-install-2.3.6-I603-x86_64.exe

    • http://vk.com/id3942838 Алексей Варич

      А клиент 2.3.2 из каких соображений против 2.3.6 используете?
      так то об ошибке сертификата пишет лог, но я с подобными ошибками не сталкивался.

      • http://vk.com/id3626191 Павел Дадонов

        Да просто на машине другой сертификаты делал. Сейчас на 2.3.2 переделал сертификаты, та же ошибка 🙁
        По инструкции сгенил 3 файла, ca.crt и server.crt и server.key. Их я закинул на Микротик. Их же нужно использовать в папке у клиента и положить их в config вместе с файлами client.ovpn и auth.cfg ?

        Судя по ошибке ssl v3 не поддерживается роутером…

        • http://vk.com/id3942838 Алексей Варич

          нет не их же
          для двух точек сервер-клиент надо создать 3 crt файла ca, server, client. Вроде вполне себе подробно процесс описал, нигде не писал что в папку клиенту надо положить сертификат микротика.

          • http://vk.com/id3626191 Павел Дадонов

            1 Спасибо за оперативные ответы. Методом тыка это выяснил 🙂 Другой вопрос, теперь мне просто генерировать сертификаты для других клиентов с разными commonName, на микротике только пользователей новых добавляем и всё ?
            2 У микротика ip 192.168.88.1, dhcp выдаёт с 10 по 20. vpn pool я сделал от 21 до 40. Но при соединении инет на стороне клиента отваливается. Не могу получить доступ к устройствам за микротиком.

          • http://vk.com/id3942838 Алексей Варич

            1. да
            2. Используйте другую подсеть, не 88,1, 89.1 например.

          • http://vk.com/id3626191 Павел Дадонов

            Спасибо, выручил. Всех благ вам !
            Что нужно прописать чтоб из сети что за микротиком виделись клиенты OpenVPN ?
            Сеть за микротиком 192.168.88.Х а Ovpn 172.21.108.X

  • vega_vl

    Sat May 16 19:04:14 2015 TAP-Windows Driver Version 9.21
    Sat May 16 19:04:14 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 172.21.108.14/255.255.255.0 on interface {1AB1DA40-BC19-4622-8CEA-B633999458D7} [DHCP-serv: 172.21.108.0, lease-time: 31536000]
    Sat May 16 19:04:14 2015 Successful ARP Flush on interface [28] {1AB1DA40-BC19-4622-8CEA-B633999458D7}
    Sat May 16 19:04:16 2015 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
    Sat May 16 19:04:16 2015 MANAGEMENT: >STATE:1431767056,ADD_ROUTES,,,
    Sat May 16 19:04:16 2015 C:Windowssystem32route.exe ADD 192.168.1.0 MASK 255.255.255.0 172.21.108.1
    Sat May 16 19:04:16 2015 env_block: add PATH=C:WindowsSystem32;C:WINDOWS;C:WINDOWSSystem32Wbem
    Sat May 16 19:04:16 2015 Initialization Sequence Completed
    Sat May 16 19:04:16 2015 MANAGEMENT: >STATE:1431767056,CONNECTED,SUCCESS,172.21.108.14,5.121.87.218
    Нужен нормальный интернет на работе а не то что там сейчас есть, подключение идет нормально, после изменения пароля с сложного на простой, но интернет не работает, если есть мысли подскажите, пожалуйста.
    Информация с подключения
    Определенный для подключения DNS-суффикс:
    Описание: TAP-Windows Adapter V9
    Физический адрес: ‎00-FB-3A-C2-DD-55
    DHCP включен: Да
    Адрес IPv4: 172.21.108.14
    Маска подсети IPv4: 255.255.255.0
    Аренда получена: 16 мая 2015 г. 19:04:14
    Аренда истекает: 15 мая 2016 г. 19:04:14
    Шлюз по умолчанию IPv4:
    DHCP-сервер IPv4: 172.21.108.0
    DNS-сервер IPv4:
    WINS-сервер IPv4 :
    Служба NetBIOS через TCP/IP включена: Да

    • http://vk.com/id3942838 Алексей Варич

      Лог выглядит нормально, ошибок не вижу. Микротик перезагружать не пробовали?
      Да ниже был похожий лог, там человек не прописал в конфиге путь к файлу с логином-паролем, у Вас похоже тоже нет этой строчки.

      • vega_vl

        Я добавил информации, какие нужно настройки в микротике посмотреть, сам он нормально настроен интернет во внутреннюю сеть раздает.

        • Алексей

          Вы хотите откуда-то через опенвпн подключиться к микротику и что бы потом через этот канал интернет пошёл, так?

          • vega_vl

            Да, подключение устанавливается а интернета нет.

          • Алексей

            и не должно быть.
            redirect-gateway в конфиг попробуйте добавить.

          • vega_vl

            Спасибо огромное, клиент оказывается ковырять надо было а не микротик, понял свою ошибку)

  • https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков

    Добрый день.
    Thu May 28 14:10:23 2015 WARNING: –ping should normally be used with –ping-restart or –ping-exit
    Thu May 28 14:10:23 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
    Thu May 28 14:10:23 2015 Attempting to establish TCP connection with [AF_INET]95.172.49.145:1194 [nonblock]
    Thu May 28 14:10:23 2015 MANAGEMENT: >STATE:1432811423,TCP_CONNECT,,,
    Thu May 28 14:10:24 2015 TCP connection established with [AF_INET]95.172.49.145:1194
    Thu May 28 14:10:24 2015 TCPv4_CLIENT link local: [undef]
    Thu May 28 14:10:24 2015 TCPv4_CLIENT link remote: [AF_INET]95.172.49.145:1194
    Thu May 28 14:10:24 2015 MANAGEMENT: >STATE:1432811424,WAIT,,,
    Thu May 28 14:10:24 2015 MANAGEMENT: >STATE:1432811424,AUTH,,,
    Thu May 28 14:10:24 2015 TLS: Initial packet from [AF_INET]95.172.49.145:1194, sid=0ee511af 1f024810
    Thu May 28 14:10:24 2015 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
    Thu May 28 14:10:24 2015 VERIFY OK: depth=1, C=RU, ST=NN, L=NizhniyNovgorod, O=CMP, OU=changeme, CN=changeme, name=changeme, emailAddress=anred@r152.su
    Thu May 28 14:10:24 2015 VERIFY OK: nsCertType=SERVER
    Thu May 28 14:10:24 2015 VERIFY OK: depth=0, C=RU, ST=NN, L=NizhniyNovgorod, O=CMP, OU=changeme, CN=mikrotik, name=mikrotik, emailAddress=anred@r152.su
    Thu May 28 14:10:25 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14094413:SSL routines:SSL3_READ_BYTES:sslv3 alert unsupported certificate: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
    Thu May 28 14:10:25 2015 TLS Error: TLS object -> incoming plaintext read error
    Thu May 28 14:10:25 2015 TLS Error: TLS handshake failed
    Thu May 28 14:10:25 2015 Fatal TLS error (check_tls_errors_co), restarting
    Thu May 28 14:10:25 2015 SIGUSR1[soft,tls-error] received, process restarting
    Thu May 28 14:10:25 2015 MANAGEMENT: >STATE:1432811425,RECONNECTING,tls-error,,
    Thu May 28 14:10:25 2015 Restart pause, 5 second(s)

    Вот лог. не могу понять куда лезть. Поможите

    • https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков

      Всё по ману следал. Но отшибает и всё.

      • https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков

        после плясок с таймзоной и перенастройкой сертификатов начал выдавать
        OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 19 2015
        library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
        MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
        Need hold release from management interface, waiting…
        MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
        MANAGEMENT: CMD ‘state on’
        MANAGEMENT: CMD ‘log all on’
        MANAGEMENT: CMD ‘hold off’
        MANAGEMENT: CMD ‘hold release’
        WARNING: –ping should normally be used with –ping-restart or –ping-exit
        Socket Buffers: R=[65536->65536] S=[65536->65536]
        Attempting to establish TCP connection with [AF_INET]95.172.49.145:1194 [nonblock]
        MANAGEMENT: >STATE:1432812603,TCP_CONNECT,,,
        TCP connection established with [AF_INET]95.172.49.145:1194
        TCPv4_CLIENT link local: [undef]
        TCPv4_CLIENT link remote: [AF_INET]95.172.49.145:1194
        MANAGEMENT: >STATE:1432812604,WAIT,,,
        MANAGEMENT: >STATE:1432812604,AUTH,,,
        TLS: Initial packet from [AF_INET]95.172.49.145:1194, sid=b8764f5c 44162e9d
        WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
        VERIFY OK: depth=1, C=RU, ST=NN, L=NizhniyNovgorod, O=CMP, OU=changeme, CN=changeme, name=changeme, emailAddress=anred@r152.su
        VERIFY OK: nsCertType=SERVER
        VERIFY OK: depth=0, C=RU, ST=NN, L=NizhniyNovgorod, O=CMP, OU=changeme, CN=mikrotik, name=mikrotik, emailAddress=anred@r152.su
        Connection reset, restarting [0]
        SIGUSR1[soft,connection-reset] received, process restarting
        MANAGEMENT: >STATE:1432812604,RECONNECTING,connection-reset,,
        Restart pause, 5 second(s)

        • http://vk.com/id3942838 Алексей Варич

          в последнем логе ошибок нет.
          надо на микротике смотреть что не так. Возможно логин-пароль ) Возможно на микротике время неправильно выставлено, возможно сам микротик перезагрузить надо.

          • https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков

            Спасибо.
            У меня возникает побочный вопрос – использование сертификатов обязательно? Везде маны именно с сертификатами.

          • http://vk.com/id3942838 Алексей Варич

            на опенвпн не пробовал по другому настраивать, но наверное можно )
            просто если есть другой вариант, например с использованием фразы-пароля, то он менее безопасен.

          • https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков

            Никак не могу добиться успеха((
            OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 19 2015
            library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
            MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
            Need hold release from management interface, waiting…
            MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
            MANAGEMENT: CMD ‘state on’
            MANAGEMENT: CMD ‘log all on’
            MANAGEMENT: CMD ‘hold off’
            MANAGEMENT: CMD ‘hold release’
            WARNING: –ping should normally be used with –ping-restart or –ping-exit
            Socket Buffers: R=[65536->65536] S=[65536->65536]
            Attempting to establish TCP connection with [AF_INET]95.172.49.145:1194 [nonblock]
            MANAGEMENT: >STATE:1432815294,TCP_CONNECT,,,
            TCP connection established with [AF_INET]95.172.49.145:1194
            TCPv4_CLIENT link local: [undef]
            TCPv4_CLIENT link remote: [AF_INET]95.172.49.145:1194
            MANAGEMENT: >STATE:1432815295,WAIT,,,
            MANAGEMENT: >STATE:1432815295,AUTH,,,
            TLS: Initial packet from [AF_INET]95.172.49.145:1194, sid=b093ff35 2e5bc4ec
            WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
            Connection reset, restarting [0]
            SIGUSR1[soft,connection-reset] received, process restarting
            MANAGEMENT: >STATE:1432815295,RECONNECTING,connection-reset,,
            Restart pause, 5 second(s)
            Тайм зона одинаковая. И у компа и у микротика. Винда 8. Сертификаты делал на 2,3,6.
            микрот – ребутал.
            На микроте в логе пишет:
            TCP connection established from мой IP

          • https://www.facebook.com/app_scoped_user_id/840723969331007/ Антон Агалаков

            Заработало. … пляски с бубном Перенастроил настройку ОVPN сервера.
            5ть раз перезабил логин и пароль пользователя.

  • https://plus.google.com/102053572250392866341 Александр Анохин

    Thu Jun 25 14:15:55 2015 OpenVPN 2.3.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jun 8 2015
    Thu Jun 25 14:15:55 2015 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
    Thu Jun 25 14:15:55 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
    Thu Jun 25 14:15:55 2015 Need hold release from management interface, waiting…
    Thu Jun 25 14:15:56 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
    Thu Jun 25 14:15:56 2015 MANAGEMENT: CMD ‘state on’
    Thu Jun 25 14:15:56 2015 MANAGEMENT: CMD ‘log all on’
    Thu Jun 25 14:15:56 2015 MANAGEMENT: CMD ‘hold off’
    Thu Jun 25 14:15:56 2015 MANAGEMENT: CMD ‘hold release’
    Thu Jun 25 14:15:56 2015 WARNING: –ping should normally be used with –ping-restart or –ping-exit
    Thu Jun 25 14:15:56 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Thu Jun 25 14:15:56 2015 Attempting to establish TCP connection with [AF_INET]83.239.204.74:1194 [nonblock]
    Thu Jun 25 14:15:56 2015 MANAGEMENT: >STATE:1435230956,TCP_CONNECT,,,
    Thu Jun 25 14:16:06 2015 TCP: connect to [AF_INET]***.***.***.***:1194 failed, will try again in 5 seconds: Ïîïûòêà îáúåäèíèòü äèñê ñ ïàïêîé íà îáúåäèíåííîì äèñêå.
    Thu Jun 25 14:16:11 2015 MANAGEMENT: >STATE:1435230971,TCP_CONNECT,,,

    в чем беда может быть? что странно, он подключается без проблем внутри сети
    WIn 7 x64 клиент

    • http://vk.com/id3942838 Алексей Варич

      не указали в конфиге строку с логином-паролем.

      • https://plus.google.com/102053572250392866341 Александр Анохин

        proto tcp-client
        remote ***.***.***.***
        dev tap

        nobind
        persist-key

        tls-client
        ca ca.crt
        cert ClientWork.crt
        key ClientWork.key
        ping 10
        verb 3
        ns-cert-type server
        cipher AES-256-CBC
        auth SHA1
        pull
        auth-user-pass auth.cfg
        route-method exe
        route-delay 2
        route 192.168.20.0 255.255.254.0 192.168.42.1

        тут же в папке лежит auth.cfg с логином и паролем, да и внутри сети ведь заходит нормально…

        • http://vk.com/id3942838 Алексей Варич

          ну ещё как вариант что просто не открыт порт 1194

          • https://plus.google.com/102053572250392866341 Александр Анохин

            все по инструкции, в фаерволе все открыто, как ни прискорбно.

          • http://vk.com/id3942838 Алексей Варич

            попробовал, если подключаться туда где нет опенвпна (ну или порт закрыт) то лог как у Вас получается.
            Микротик перезагружали? разрешающее правило стоит выше запрещающих? Интерфейс правильно указан?

          • https://plus.google.com/102053572250392866341 Александр Анохин

            да, перезагружал, правило выше всех стоит, на первом месте, интерфейс верный, вот лог подключения на всякий случай, при подключении внутри сети…

            Thu Jun 25 20:23:59 2015 OpenVPN 2.3.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jun 8 2015
            Thu Jun 25 20:23:59 2015 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
            Thu Jun 25 20:23:59 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
            Thu Jun 25 20:23:59 2015 Need hold release from management interface, waiting…
            Thu Jun 25 20:23:59 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
            Thu Jun 25 20:23:59 2015 MANAGEMENT: CMD ‘state on’
            Thu Jun 25 20:23:59 2015 MANAGEMENT: CMD ‘log all on’
            Thu Jun 25 20:23:59 2015 MANAGEMENT: CMD ‘hold off’
            Thu Jun 25 20:23:59 2015 MANAGEMENT: CMD ‘hold release’
            Thu Jun 25 20:23:59 2015 WARNING: –ping should normally be used with –ping-restart or –ping-exit
            Thu Jun 25 20:24:00 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
            Thu Jun 25 20:24:00 2015 Attempting to establish TCP connection with [AF_INET]***,***,***,***:1194 [nonblock]
            Thu Jun 25 20:24:00 2015 MANAGEMENT: >STATE:1435253040,TCP_CONNECT,,,
            Thu Jun 25 20:24:01 2015 TCP connection established with [AF_INET]83.239.204.74:1194
            Thu Jun 25 20:24:01 2015 TCPv4_CLIENT link local: [undef]
            Thu Jun 25 20:24:01 2015 TCPv4_CLIENT link remote: [AF_INET]***,***,***,***:1194
            Thu Jun 25 20:24:01 2015 MANAGEMENT: >STATE:1435253041,WAIT,,,
            Thu Jun 25 20:24:01 2015 MANAGEMENT: >STATE:1435253041,AUTH,,,
            Thu Jun 25 20:24:01 2015 TLS: Initial packet from [AF_INET]***,***,***,***:1194, sid=2bd4b4d7 fc6f61c5

          • https://plus.google.com/102053572250392866341 Александр Анохин

            Thu Jun 25 20:24:01 2015 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
            Thu Jun 25 20:24:01 2015 VERIFY OK: depth=1, C=RU, ST=OLG, L=Olginka, O=CMP, OU=*****, CN=CA, name=ca, emailAddress=*************@gmail.com
            Thu Jun 25 20:24:01 2015 VERIFY OK: nsCertType=SERVER
            Thu Jun 25 20:24:01 2015 VERIFY OK: depth=0, C=RU, ST=OLG, L=Olginka, O=CMP, OU=*****, CN=Server, name=server, emailAddress=********@gmail.com
            Thu Jun 25 20:24:02 2015 Data Channel Encrypt: Cipher ‘AES-256-CBC’ initialized with 256 bit key
            Thu Jun 25 20:24:02 2015 Data Channel Encrypt: Using 160 bit message hash ‘SHA1’ for HMAC authentication
            Thu Jun 25 20:24:02 2015 Data Channel Decrypt: Cipher ‘AES-256-CBC’ initialized with 256 bit key
            Thu Jun 25 20:24:02 2015 Data Channel Decrypt: Using 160 bit message hash ‘SHA1’ for HMAC authentication
            Thu Jun 25 20:24:02 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 AES256-SHA, 2048 bit RSA
            Thu Jun 25 20:24:02 2015 [Server] Peer Connection Initiated with [AF_INET]***,***,***,***:1194
            Thu Jun 25 20:24:03 2015 MANAGEMENT: >STATE:1435253043,GET_CONFIG,,,
            Thu Jun 25 20:24:04 2015 SENT CONTROL [Server]: ‘PUSH_REQUEST’ (status=1)
            Thu Jun 25 20:24:09 2015 SENT CONTROL [Server]: ‘PUSH_REQUEST’ (status=1)
            Thu Jun 25 20:24:15 2015 SENT CONTROL [Server]: ‘PUSH_REQUEST’ (status=1)
            Thu Jun 25 20:24:15 2015 PUSH: Received control message: ‘PUSH_REPLY,ping 20,ping-restart 60,route-gateway 192.168.42.1,ifconfig 192.168.42.20 255.255.255.0’
            Thu Jun 25 20:24:15 2015 OPTIONS IMPORT: timers and/or timeouts modified
            Thu Jun 25 20:24:15 2015 OPTIONS IMPORT: –ifconfig/up options modified
            Thu Jun 25 20:24:15 2015 OPTIONS IMPORT: route-related options modified
            Thu Jun 25 20:24:15 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
            Thu Jun 25 20:24:15 2015 MANAGEMENT: >STATE:1435253055,ASSIGN_IP,,192.168.42.20,

          • https://plus.google.com/102053572250392866341 Александр Анохин

            Thu Jun 25 20:24:15 2015 open_tun, tt->ipv6=0
            Thu Jun 25 20:24:15 2015 TAP-WIN32 device [Подключение по локальной сети 2] opened: \.Global{AC80D4AC-6313-4BD8-B5EE-939602C698EE}.tap
            Thu Jun 25 20:24:15 2015 TAP-Windows Driver Version 9.21
            Thu Jun 25 20:24:15 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.42.20/255.255.255.0 on interface {AC80D4AC-6313-4BD8-B5EE-939602C698EE} [DHCP-serv: 192.168.42.0, lease-time: 31536000]
            Thu Jun 25 20:24:15 2015 Successful ARP Flush on interface [16] {AC80D4AC-6313-4BD8-B5EE-939602C698EE}
            Thu Jun 25 20:24:17 2015 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
            Thu Jun 25 20:24:17 2015 MANAGEMENT: >STATE:1435253057,ADD_ROUTES,,,
            Thu Jun 25 20:24:17 2015 C:Windowssystem32route.exe ADD 192.168.20.0 MASK 255.255.254.0 192.168.42.1
            Thu Jun 25 20:24:17 2015 env_block: add PATH=C:WindowsSystem32;C:WINDOWS;C:WINDOWSSystem32Wbem
            Thu Jun 25 20:24:17 2015 Initialization Sequence Completed
            Thu Jun 25 20:24:17 2015 MANAGEMENT: >STATE:1435253057,CONNECTED,SUCCESS,192.168.42.20,***,***,***,***

          • Алексей

            зачем мне лог внутри сети )
            лучше скриншоты давайте микротика вашего )

          • https://plus.google.com/102053572250392866341 Александр Анохин

            вот

          • Алексей

            какой дстнат? на кой там это правило?

          • https://plus.google.com/102053572250392866341 Александр Анохин

            пробовал разные варианты просто, пытался что-то вроде шлюза сделать, от выключения правила ничего не меняется(

          • https://plus.google.com/102053572250392866341 Александр Анохин

            по какой-то неведомой мне причине не открывается порт, при проверке http://2ip.ru/check-port/?port=1194 вещает, что порт закрыт…

          • Алексей

            дстнат точно лишний, тем более такой где ни исходного адреса ни адреса назначения ни интерфейса…
            да и маскарад на 1194 порт тоже не нужен, изнутри можно подключаться и без этих махинаций, других проблем не вижу, только если ip адрес не перепутали.
            вообще я смотрю у вас там всё довольно сложно, так что может быть проблема не только здесь, на вкладке мангл поидее ничего страшного сделать нельзя, разве что в маршрутах ещё может быть загвоздка.

          • https://plus.google.com/102053572250392866341 Александр Анохин

            в мангле вроде все в порядке, да и маршруты проверил, какой-то косяк с открытием порта, хотя через телнет пробовали- достучаться можно…
            полтргейст какой-то

          • Алексей

            а как балансировка между двумя внешними интерфейсами реализована? а пинг то хоть нормально проходит?

          • https://plus.google.com/102053572250392866341 Александр Анохин

            Второй интерфейс по факту отключен, а пинг кстати вообще не идет

          • Алексей

            ну если это микротик то только маршрутизацию могу предположить, потому что в фаерволе всё более менее хорошо.
            может у Вас ip адрес серый?

          • https://plus.google.com/102053572250392866341 Александр Анохин

            ip белый, щас перенастроил, там на входящие другой ip оказался, но при подключении тоже самое извне

          • https://plus.google.com/102053572250392866341 Александр Анохин

            может предположительно подскажите, что может быть не так, куда смотреть, может в мангле или в роутсах, в правилах роутс нет ничего если что

          • http://vk.com/id3942838 Алексей Варич

            ну давайте скрины мангл, роутс и наверное ip-addresses ток на почту 
            посмотреть правда смогу ток ближе к ночи

          • https://plus.google.com/102053572250392866341 Александр Анохин

            дабы развеять сомнения

  • http://facebook.com/profile.php?id=100001616695419 Vladimir Starodubtsev

    Добрый день. Понимаю, что статья старая, но может еще кто увидит =)
    Сделал OPVN по вашей статье, все получилось, программа подключается и получает ip внутренней сети 192.168.1.200. Но дальше самого микротика 192.168.1.1, я ничего не вижу, пинг идет только до микротика. Могу даже зайти в настройки микротика по OVPN. Понимаю, что где то видать нужно прописать разрешения, но не могу понять где =(

    • Алексей

      дальше микротика это куда?

      • http://vk.com/id2844437 Владимир Стародубцев

        Например до сервера или другого оборудования.

        • Алексей

          и какие адреса у сервера и другого оборудования? Маршруты в конфиг файле прописали?

          • http://vk.com/id2844437 Владимир Стародубцев

            Вся внутренняя сеть работает, даже l2tp работает и позволяет пинговать все с подключения vpn по l2tp. Сервер например 192.168.1.250, видеонаблюдение 192.168.1.240, и по OVPN ничего не видит дальше микротика. Какой именно должен быть прописан маршрут в конфиге для доступа в туже сеть?

          • Алексей

            адреса у опенвпн НЕ должны совпадать с адресами локальной сети, уже был в комментариях вопрос такой.
            т.е. если у вас 192.168.1.0/24 локалка, то для микротика подойдёт к примеру 192.168.0.0/24 подсеть, вообще любая локальная подсеть кроме той что Вы уже используете.

          • http://vk.com/id2844437 Владимир Стародубцев

            Поменял ip-pool-ovpn на 172.21.108.2-172.21.108.14, и в PPP Profiles local adress на 172.21.108.1.
            В конфиг файле на компе прописал:
            route 192.168.1.0 255.255.255.0 172.21.108.1

            OPVN подключается, получает адрес 172.21.108.2, но снова дальше микротика ничего не видит.
            Где то нужно еще прописать маршруты? Может в ip-routes нужно еще добавить что-то?

            UPDATE: Проверил логи, в них почему то прописывался старый маршрут. Перезагрузил микротик и по новой с админ провами переписал конфиг для ovpn. В итоге все заработало.

            Теперь осталось решить проблему, как достучаться в сеть 192.168.0.0/24 и 192.168.2.0/24, которые соединяются через vlan от других микротиков. Нужно писать маршрут в ip-routes для 172.21.108.0?

          • http://vk.com/id3942838 Алексей Варич

            в конфиг файле укажите тоже самое что уже поставили только подсеть поменяйте, три записи получится
            route 192.168.0.0 255.255.255.0 172.21.108.1
            route 192.168.2.0 255.255.255.0 172.21.108.1
            и на маршрутизаторе в этих сетях добавьте маршрут в подсеть 172.21.108.0, в дефолтно настроенном микротике придётся ручками добавлять в ip-routes.

  • http://vk.com/id83672038 Alex Alex

    Добрый день,
    Раньше пользовался вашей статьей по настройке, работало без проблем.
    А тут пришлось винду переставлять и настраивал клиента заново.
    Вот уже бьюсь полдня не могу понять в чем причина, при попытке соединиться с помощью клиента виндового появляется окно openvpn со статусом подключение (желтый цвет иконки), после нескольких секунд выдает сообщение: не удалось подключиться к… И НИКАКИХ сообщений в окне клиента не проскакивает, соответственно и в логе.Куда копать даже уже незнаю… Может сталкивались с таким…. ?

    • https://trustore.ru Алексей

      в логе что то должно быть написано всё равно.

      • http://vk.com/id83672038 Alex Alex

        Нет абсолютно ничего, ни одной записи.

        Только попытка подключиться и сообщение, что это не удалось сделать.
        Уже пробовал на с 3х разных компов, один и тот же результат.

        • https://trustore.ru Алексей

          даже когда он ничего не пишет в самом окне подключения, после неудачной попытки можно кликнуть по значку в трее правой кнопкой мышки и выбрать показать лог или что-то в этом духе и там обязательно что-то будет написано.

      • http://vk.com/id83672038 Alex Alex

        Разобрался 🙂
        В папке log создавался лог файл с названием как у имя конфига, я не обратил на это внимание, в нем нашел ошибки, которые уже быстро поправил. В основном это были неправильные пути к сертификатам и auth.cfg
        Мне казалось, что эти ошибки должны появляться в окне openvpn во время соединения, видимо ошибся…
        Извиняюсь, что побеспокоил по глупости.

  • Кирилл

    День добрый. Понимаю статья старая, но все же. Проблема такая же как и у Alex Alex, лог именно пустой даже при попытке подключения вывести лог, лог пуст придерживался рекомендации о установке другой версии клиента, результат нулевой.

    • https://trustore.ru Алексей

      Alex Alex написал что надо сделать ) в папке log есть txt файл с названием как у конфига, в нём ведётся лог.
      Не знаю почему в окне у Вас не отображается текст, может не от админа запускаете gui

  • https://plus.google.com/107907842921972119388 Какойто Такойтович

    Доброго времени суток! Столкнулся с такой же ситуацией, как Alex Alex. Всё по инструкции выше. Был только один лог про пути к файлам сертификатов/ключей и больше не создаются. Запускаю от админа. MikroTik перезагружал. Порт открыт 1194. Из правил в Firewall только NATовский mascuerade и созданное нами в фильтрах. Windows 8.1. Не соединяется, как на внутренние (за MikroTik) адреса так и на сам MikroTik. Как быть?

    • http://vk.com/id3942838 Алексей Варич

      в папке с программой есть папка log в ней лежит лог файл, что там?

      • https://plus.google.com/107907842921972119388 Какойто Такойтович

        Только readme. Был только один лог про пути к файлам.

        • http://vk.com/id3942838 Алексей Варич

          т.е. сейчас лог совсем пустой?

          • https://plus.google.com/107907842921972119388 Какойто Такойтович

            Да. Пустое окно и вот как на картинке. При нажатии “Показать журнал” предлагает создать файл.

          • http://vk.com/id3942838 Алексей Варич

            а файл с расширением ovpn в каталоге conf лежит?

          • https://plus.google.com/107907842921972119388 Какойто Такойтович

            Да, с ключиками сертификатами вместе в config. Могу показать файл и сеть. Не один раз уже перепроверил файл и пример вверху, вроде всё так. Картинки сюда не хотят прикладываться.

  • Виктор

    Здравствуйте. Интересно, а никто не пробовал Сервер OpenVPN микротик, а клиент IOS iphone ? сам туннель работает, а вот маршруты прописать до других сетей не получается.

    • http://vk.com/id3942838 Алексей Варич

      если верить хабру то клиент на ios поддерживает опцию redirect-gateway, в этом случае весь трафик через опенвпн пойдёт и доп маршрутов прописывать не нужно на клиенте.

      • Виктор

        Как я понимаю при использовании redirect-gateway все запросы он будет направлять к микротику и интернет использовать тоже микротика? попробовал такой вариант, но почему-то дальше шлюза впн, он ничего больше не видит. и получается что ios это не винда, маршруты туда не добавить(ведь с компьютером отдельно всё работает) и как заставить его видеть другие локальные сети не понятно.

        • http://vk.com/id3942838 Алексей Варич

          да все запросы, это как маршрут 0.0.0.0/0, ios скорее всего на базе линукса всё равно сделан, какие то маршруты у него должны быть, иначе как оно работает? )
          а ещё есть косячок, ios поддерживает только tun подключения, у меня в статье описаны tap, суть особо не меняется если вы только ios хотите подключить, то в микротике поменяйте тип с ethernet на ip

          • Виктор

            вчера ночью мучался часа три наверно, но всё равно не работает.
            тип tun, ip тоже, при использовании redirect-gateway нет интернета (использую 3g и это хорошо, значит действительно все запросы идут через микротик) если использовать пинг через приложение в телефоне, до шлюза 10.1.1.1 идёт замечательно, далее как отрубает.
            конфигурация подключения проста как 5 копеек. может всё-таки кто-то реализовывал? я не пробовал конфигурацию где в роли сервера openvpn выступает debian или ещё что-нибудь, возможно в таком случае в конфиге сервера можно пробрасывать маршруты и это бы работало, но у меня единственный вариант микротик сервер и мобилы на ios

          • http://vk.com/id3942838 Алексей Варич

            маскарад накинуть не пробовали?

          • Виктор

            цепочка – srcnat
            src address – 10.1.1.0/24
            dst address – !10.0.0.0/8

            далее маскарад… так вы имели ввиду?

            если так то всё равно не работает 🙁

          • http://vk.com/id3942838 Алексей Варич

            маскарад это одно правило.
            шлюз у вас 10.1.1.1, а ip ios какой получает? и в какую сеть попасть хотите?

          • Виктор

            телефон получает 10.1.1.11. на этом же микротике есть ещё локальная сеть 192.168.10.0/24 вот туда хочу попасть. там есть видеопоток и хочется смотреть его через телефон. Конечно можно открыть видеопоток и без впн, но так не хотелось бы поступать. (без впн всё работает как часы, ну оно и понятно)

          • http://vk.com/id3942838 Алексей Варич

            для видеопотока лучше l2tp юзать с MPPE128, через опенвпн микротик не особо шустро работает, как правило 2 мегабита, не больше, даёт и по идее должен быть встроенный клиент на любом смартфоне для этого протокола.

          • Виктор

            Тогда получается нужно использовать два сервера VPN. Openvpn и L2TP.
            у Openvpn 10.1.1.1 (локальная сеть на сервере микротик 192.168.10.0/24)
            у L2tp 10.1.2.1
            L2tp сейчас прекрасно бегает по локалке микротика 192.168.10.0
            но если попытаться залезть на другой филиал у которого адрес openvpn 10.1.1.2 и локалка 192.168.6.0/24 ответа нет.
            честно говоря никогда так не делал. но получается нам нужно послать пакет с мобилы где будет 10.1.2.2 на совсем другую впн а далее уже её локальную сеть… так можно?

          • http://vk.com/id3942838 Алексей Варич

            я не совсем понял что именно можно, если схему более внятно объясните может подскажу )
            я правильно понимаю, есть мобильник который подключается к микротику, а микротик ещё куда то потом?

          • Виктор

            Есть 5 офисов, все они соединены через openvpn с сертификатами – 10.1.1.0/24
            Микротик выступает сервером openvpn имея адрес 10.1.1.1
            Есть несколько мобильников которых изначально хотелось тоже запихнуть в openvpn, но раз ios маршруты не прокидывает можно попробовать для мобильников и l2tp.
            в целом мне бы и 2 мб/сек хватило на видео с мобилы.
            так вот у l2tp который я только что создал 10.1.2.0/24
            сервер openvpn и l2tp на одном микротике
            И если мобила подключается к микротику она получает адрес 10.1.2.2 и ей нужно попасть на второй впн openvpn 10.1.1.1 а далее уже в другой филиал 192.168.6.0/24

          • http://vk.com/id3942838 Алексей Варич

            /ip firewall nat add chain=srcnat src-address=10.1.2.0/24 action=masquerade
            попробуйте такое правило добавить и поставить его выше всех

          • Виктор

            к сожалению не помогло. 192.168.6.0/24 ни в какую не видит, и на время теста firewall был полностью отключен.

          • http://vk.com/id3942838 Алексей Варич

            а что в connections показывает? честно, был бы ios у меня под рукой уже помог бы разобраться ради интереса )

          • Виктор

            Алексей, спасибо вам за то что навели на мысль! тем кто когда-нибудь прочтёт эту ветку будет напоминание, проверить маршруты на правильность.
            искал ошибку в одном месте, а оказалось маршрут на сеть 10.1.1.0 вёл на убитый интерфейс.
            Нда….

  • https://www.facebook.com/app_scoped_user_id/10209596234768682/ Il’ya Bulakhovskiy

    а что если не указывать в настройках сервера проверку сертификатов клиента??

    • http://vk.com/id3942838 Алексей Варич

      тогда проверка только по логину-паролю будет идти, но это считается плохим вариантом с точки зрения безопасности.
      сертификаты ж легко можно сгенерировать.

      • https://www.facebook.com/app_scoped_user_id/10209596234768682/ Il’ya Bulakhovskiy

        Пробовал без сертификатов. Ничего не получилось. Коннект идет. Но что то не дает:
        Я как понял сертификат для каждого клиента нада делать отдельный??

        • http://vk.com/id3942838 Алексей Варич

          да, для каждого клиента отдельный.

          • https://www.facebook.com/app_scoped_user_id/10209596234768682/ Il’ya Bulakhovskiy

            Что то не выхдит по Вашей инструкции. Вероятнее всего дело в конф файле опенвпн

          • http://vk.com/id3942838 Алексей Варич

            конфиг файл который в статье приведён рабочий.

  • Евгений

    у меня при подключении через виндовс клиент. не видит второй конец туннеля и не видит другую подсеть, хотя маршруты прописаны, и mikrotik с mikrotik без проблем соединяются и видят сети друг друга.
    0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.164 20
    10.0.10.0 255.255.255.0 On-link 10.0.10.198 276
    10.0.10.198 255.255.255.255 On-link 10.0.10.198 276
    10.0.10.255 255.255.255.255 On-link 10.0.10.198 276
    127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
    127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
    127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
    192.168.1.0 255.255.255.0 On-link 192.168.1.164 276
    192.168.1.164 255.255.255.255 On-link 192.168.1.164 276
    192.168.1.255 255.255.255.255 On-link 192.168.1.164 276
    192.168.5.0 255.255.255.0 10.0.10.254 10.0.10.198 21
    224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
    224.0.0.0 240.0.0.0 On-link 10.0.10.198 276
    224.0.0.0 240.0.0.0 On-link 192.168.1.164 276
    255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
    255.255.255.255 255.255.255.255 On-link 10.0.10.198 276
    255.255.255.255 255.255.255.255 On-link 192.168.1.164 276

    • http://vk.com/id3942838 Алексей Варич

      запускать openvpn надо от имени администратора, по другому маршруты не добавляется, хотя может и не в этом проблема.
      Вы таблицу маршрутизации бросили, а я понятия не имею какие у Вас адреса у сервера openvpn, какой режим openvpn используете и что за сеть хотите прокинуть.

      • Евгений

        10.0.10.254 -сервер
        10.0.10.198 -клиент
        OpenVPN клиент от админа запущен
        причем со стороны сервера в роутинге я вижу 10.0.10.198 но он не пингуется
        со стороны клиента не пингуются 10.0.10.254
        трасерт показывает от клиента что трафик не знает как ему попасть в туннель, когда его делаю на 192.168.5.33

        клиентский конфиг (у клиента первая подсеть)
        dev tun
        proto tcp-client
        remote XXX.XXX.XXX.XXX 1194
        route-delay 3
        client
        tls-client
        ns-cert-type server
        ca “C:\Program Files\OpenVPN\config\ca.crt”
        cert “C:\Program Files\OpenVPN\config\client.crt”
        key “C:\Program Files\OpenVPN\config\client.key”
        cipher AES-128-CBC
        auth-user-pass auth.cfg
        comp-lzo
        mssfix
        tun-mtu 1500
        ping-restart 60
        ping 10
        verb 3
        route-method exe
        route 192.168.5.0 255.255.255.0 10.0.10.254

        • http://vk.com/id3942838 Алексей Варич

          а сервер реально 10.0.10.254 или это только адрес для win-туннеля?

          • Евгений

            это адрес для туннеля сервер 5.1 на mikrotik

          • http://vk.com/id3942838 Алексей Варич

            если режим tun то с win клиентами есть косячок небольшой, можно использовать только /30 подсеть., т.е. клиентский конфиг у Вас правильный, а вот конфиг на стороне микротика судя по роуту от клиента нет.
            Но как при этом Вы ухитрились подключиться я не понимаю, у меня отключался сразу и писал про /30.

          • http://vk.com/id3942838 Алексей Варич

            http://prntscr.com/bw0cjh – вот так в secrets попробуйте сделать, для пароля клиента. я tun режим только на линуксе использовал, там настройка чуток по другому делается, поэтому точнее сейчас не скажу.
            в конфиге шлюз на линуксе я так и оставлял 254, с другим и не работало.

          • Евгений

            попробовал, но не помогло(
            можно наберу вам?

          • http://vk.com/id3942838 Алексей Варич

            если только в понедельник ) сейчас занят

          • Евгений

            просто не могу понять почему при подключении по openVPN клиенту во премя трассеровки он напрямую на шлюз ломится, а не в туннель?

          • Евгений

            при этом я с телефона по этому конфигу тоже выхожу, но туннельный ip из локалки также не пингуется

          • Евгений

            самый прикол, что этот конфиг под линуксом без проблем цепляется

          • Евгений

            изменил версию openvpn клиента и конфиг на

            proto tcp-client
            # в этой строчке мы указываем адрес в интернете нашего микротика
            remote XXX.XXX.XXX.XXX
            dev tun
            nobind
            persist-key
            tls-client
            #указываем имена публичного CA сертификата
            ca ca.crt
            cert client.crt
            key client.key
            ns-cert-type server
            cipher AES-128-CBC
            auth SHA1
            pull
            auth-user-pass auth.cfg
            route-method exe
            route 192.168.5.0 255.255.255.0 10.0.10.254 #задаёт маршрут в сеть 192.168.0.0/24 через VPN

            теперь трасеровка и пинги идут до шлюза 5.1

          • Евгений

            включил службу маршрутизации на клиенте и стало всё хорошо))
            спасибо)

          • http://vk.com/id3942838 Алексей Варич

            Было бы за что ) Вы вроде как сами проблему решили.

          • Евгений

            теперь бы с этим вопросом помогли))) как на микротике реализовать схему openvpn клиенты подключаются к серверу 192.168.5.1
            который по ipsec подключен к 192.168.11.3, нужно чтобы клиенты имели доступ к 11.3.
            сейчас только из 5й подсети есть доступ к 11.3
            P.S. раньше с микротиками не работал)

          • http://vk.com/id3942838 Алексей Варич

            сложно всё описываете, я понять не могу, в сети 5.0 у вас понятно микротик шлюз, а в сети 11.0 кто шлюзом работает?

          • Евгений

            pfsense

          • http://vk.com/id3942838 Алексей Варич

            схемку можете нарисовать что куда и откуда и где соединяется, тогда может подскажу

          • Евгений

            на неделе постараюсь сделать, еще одну задачу подкинули просто)

          • Евгений

            как на микротике реализовать схему openvpn клиенты подключаются к серверу 192.168.5.1
            который по ipsec подключен к 192.168.11.3, нужно чтобы клиенты имели доступ к 11.3.
            сейчас только из 5й подсети есть доступ к 11.3

  • http://vk.com/id2844437 Владимир Стародубцев

    Добрый день. Извиняюсь за некропостинг, но может мне повезет с ответом =)
    Есть 3 сети с микротиками, они соединены через vlan. На одном из микротиков есть белый ip и настроен openvpn. Клиент подключается по openvpn и видит только сеть на одном микротике.

    192.168.1.0/24 (микротик с белым айпи), остальные 2 сети с микротиками на vlan: 192.168.0.0/24, 192.168.2.0/24
    Сеть vlan 192.168.5.0/24.
    Клиент подключается по 172.21.108.2.

    Как сделать так, чтобы клиент видел все 3 сети? Понимаю, что нужно прописать маршруты, но уже каких только не прописывал, все равно не видит.

    • http://vk.com/id3942838 Алексей Варич

      как правило достаточно прописать маршруты, тем более судя по всему часть маршрутов у вас работает, раз сеть 1.0 клиент видит.
      но есть ещё нюанс, в сетках 0.0 2.0 и 5.0 маршрутизаторы должны знать о существовании сети 172.21.108.
      ну и фаервол конечно должен разрешать подобные пакеты.

      • http://vk.com/id2844437 Владимир Стародубцев

        В этом и беда. Я не понимаю, как сеть 172.21.108.0 прописать в маршруты, если она описана только в profiles PPP, и не привязана к какому либо порту. Просто если при обычном физическом пробросе для vlan идет: add distance=1 dst-address=192.168.0.0/24 gateway=192.168.5.2
        То, как прописать маршрут для 172.121.108.0, который описан только в profiles PPP и не привязан к порту микротика?

        • http://vk.com/id3942838 Алексей Варич

          эту сеть надо прописывать на маршрутизаторах которые отвечают за другие сети, а не на микротике который итак об этой сети знает.

          • http://vk.com/id2844437 Владимир Стародубцев

            В теории это понятно. А на практике не получилось. На другом микротике как нужно описать эту 172 сеть, так же в profile PPP и какой тогда маршрут выставить?

          • Алексей

            на другом микротике маршрут записывается так же как и маршрут для 1.0
            все маршруты в ip – routes.

          • http://vk.com/id2844437 Владимир Стародубцев

            Видать я совсем туг. Пытаюсь 172.21.108.0 подружить хотя бы с vlan 192.168.5.0. Прописал add dst-address=192.168.5.0/24 gateway=172.21.108.1, но маршрут горит unreachable и клиент не видит другие микротики. Я видать не понимаю, как схемотически должны идти данные от клиента 172.21.108.2 до другого роута.
            Добавил правило маскарадинга на локалку 172.21.108.0/24 и я увидел vlan и все микротики 192.168.5.0/24. Теперь осталось заставить увидеть внутренние сети других микротиков.

          • http://vk.com/id2844437 Владимир Стародубцев

            Исправление маскардинга помогло, у меня он был настроен не правильно. Всем спасибо за помощь!

          • http://vk.com/id3942838 Алексей Варич

            я даже не знаю как вам надо написать что маршруты надо прописывать на других микротиках, вы это просто не читаете.
            маскарад да можно, но это немножко другая история, вопрос не так стоял.

  • Полиграф Полиграфович

    Обновился до 6.40. Настроен OSPF. Уделенные микротики (подключены как OVPN клиенты) перестали анонсировать свои сети. В лога ошибки типа: “Discarding Hello packet: mismatch in network mask”. Исправляется, если в свойствах OVPN сервера Netmask 24 заменить на 32.

  • Николай

    Сделал по инструкции, спасибо автору, но напишу с чем столкнулся и как решил проблему:
    1) При подключении OpenVPN журнал выдавал ошибки связанные с ping 10 и ns-cert-type server
    2) После подключения был доступен только web-интерфейс микротика, при этом сам он не пинговался и серверы вообще не были доступны внутри удалённой сети, к которой было подключение
    3) После подключения пропадал интернет
    ——-
    Проблемы 1 и 3 решились изменением конфигурационного файла хх.ovpn:

    proto tcp-client
    remote xx.xx.xx.xx 1194
    dev tun < --- этот параметр я изменил т.к. в настройках микротика - ovpn server - mode - выбрал пункт IP nobind persist-key tls-client ca ca.crt cert XX-client.crt key XX-client.key verb 3 remote-cert-tls server auth-nocache cipher AES-256-CBC auth SHA1 pull auth-user-pass auth.cfg Проблему 2 решил в микротике: меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp

    • http://vk.com/id3942838 Алексей Варич

      1. я ip не стал указывать, потому что на винде конфиг такой не взлетит, надо будет адрес прописывать ручками что бы ip клиента и шлюз лежали в 30 подсети, но микротик всё равно что с тап что с тан работает почти одинаково, поэтому описал более простой вариант.
      2. ns-cert-type server заменили в какой то версии овпн на remote-cert-tls server, может перепишу когда-нибудь.
      3. бриджей вообще никаких тут не нужно, тем более если вы ip режим поставили, а уж тем более такой паршивый бридж трогать в который итак wifi включён.

      • Николай

        1. Подключаюсь из под винды (win8.1×32)
        3. В моём микротике отсутствует wi-fi (RB3011UiAS). По-другому никак не cмог решить проблему отсутствия интернета при подключенном OpenVPN, если знаете как правильнее или лучше, буду благодарен.

  • https://plus.google.com/117593546931447885527 Артем ТИхонович

    Спасибо за статью.
    Во внутренню сеть хожу без проблем но хочу ищу через микротик ходить и в интернет. Как такое сделать? Правила nat добавить или маршрут какой-то прописать еще нужно?

    • http://vk.com/id3942838 Алексей Варич

      в конфиг файле клиента надо redirect-gateway добавить и на микротике маскарад(нат) если его нет на адреса из пула опенвпн

      • https://plus.google.com/117593546931447885527 Артем ТИхонович

        Спасибо. пошло. Достаточно было указать redirect-gateway. Маскарад стоял на все сети. Есть ли разница в конфиге клиента tun или tap? Пробую клиента на ios запустить – tap не принимает. С tun пока тоже не получается.В логе так:
        14:23:53 ovpn,info TCP connection established from 195.184.199.28
        14:23:58 ovpn,info TCP connection established from 195.184.199.28
        14:24:01 ovpn,info TCP connection established from 195.184.199.28
        14:24:04 ovpn,info TCP connection established from 195.184.199.28
        14:24:07 ovpn,info TCP connection established from 195.184.199.28
        upd – решил сам по совету ниже в профиле ovpn server указал IP и тогда режим tun заработал

        • http://vk.com/id3942838 Алексей Варич

          логирование включите на микротике для ovpn
          разница между tun и tap есть,
          tun – для виндового клиента в ppp secrets надо будет указывать адрес клиента и адрес сервера так что бы они в /30 подсети оба были

          • https://plus.google.com/117593546931447885527 Артем ТИхонович

            tun работает в виндоус без проблем. вроде и без этих указаний.
            в логах иос видим что:
            https://pastebin.com/H0UARNXg
            останавливается на этом и пароль не спрашивает от ключа клиента.
            вот файл конфига для иос:
            https://pastebin.com/knpkAFyc
            кажется что-то с криптографией не то…но вот что….
            ну и лог микротика:
            https://pastebin.com/AZfQiit1

          • http://vk.com/id3942838 Алексей Варич

            не работает винда если адрес сервера и клиента не укладываются в /30, буквально на этой неделе проверял, это только для tun косяк, с tap никаких проблем.
            routeros то надеюсь свежий?
            #auth-user-pass auth.cfg – как он должен логин пароль спросить? в конфиге нет указания на то что это вообще требуется.

          • https://plus.google.com/117593546931447885527 Артем ТИхонович

            6.40.4
            #auth-user-pass auth.cfg – как он должен логин пароль спросить? в конфиге нет указания на то что это вообще требуется.
            Верно но я не представляю как его в иос закинуть этот файл…наверное какой-то другой способ.
            В статье вываливалось окошко с запросом логин-пароля

          • http://vk.com/id3942838 Алексей Варич

            попробуйте auth-user-pass
            т.е. без указания файла

          • https://plus.google.com/117593546931447885527 Артем ТИхонович

            Спасибще!!!! ОНО!!!

          • https://plus.google.com/117593546931447885527 Артем ТИхонович

            и в примере настройки OpenVPN для ios добавлял еще на сервер ключ TLS аутентификации. Обязательно ли это делать? Вот по этой статье делал конвертацию и импорт ключей – https://habrahabr.ru/post/168853/

          • Alexey

            /32 сети более чем достаточно, если вы посмотрите в роутах, то маршруты прописаны на /32

          • http://vk.com/id3942838 Алексей Варич

            /32 это один адрес, а что бы была передача данных надо минимум 2 адреса, это /30 подсеть
            может в новых версиях что то и поменялось, особо не слежу пока всё работает.

  • https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

    Добрый день, клиенты ovpn после подключение к микротику и не видят локальную сеть. Айпи ovpn 192.168.10.0, айпи лок сети 192.168.1.0. Подскажите пожалуйста как решить данную пролему

    • http://vk.com/id3942838 Алексей Варич

      я бы начал с того что поменял бы адрес в локальной сети, потом маршруты бы на клиентах проверил
      командой route print

      • https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

        Что бы было мне яснее, зачем менять адреса локальной сети? В микротике IP -> Routers автоматом появляется маршрут подключенного клиента ovpn?

        • http://vk.com/id3942838 Алексей Варич

          я разве в мироктике говорил маршрут смотреть?
          а менять потому что 1.0 не самый удачный выбор, не так, самый неудачный выбор.

          • https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

            Извините, route print – постоянный маршрут один виндовый стоит

          • http://vk.com/id3942838 Алексей Варич

            ну вот и ответ, либо не добавили маршрут в конфиге, либо запускаете openvpn не то имени администратора

          • https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

            От имени администратора запустил, ничего не поменялось в route print
            route-method exe
            route-delay 2
            route 192.168.10.0 255.255.255.0 192.168.10.254
            В конфиге прописано и это не правильно, подвели вы меня к этой мысли

          • http://vk.com/id3942838 Алексей Варич

            надо не 10.0, а 1.0

          • https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

            Поменял в конфиге и в настройках сервера, но все ровно на локальные ресурсы не могу зайти при подключение

          • https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

            Подсказать не получается более?

          • http://vk.com/id3942838 Алексей Варич

            я ж не всё время свободен )
            tracert до локально адреса с адреса клиента можете сделать?
            tracert -d 192.168.1.1? по адресу вам виднее.

          • https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

            Извини Алексей

          • https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

            Трасеровка “tracert -d 192.168.1.1” макс скачек 5мс до локального адреса. Я пинг кинул, пинг идет если есть подключение, отключаюсь пинг не идет.

          • https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

            Сделал tracert -d 192.168.1.х (тот ресурс что нужен мне) до сервера дошел 1.1, а за сервер не пошел превысил интервал … и все

          • https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

            Алексей, благодарю, решил проблему … вся суть была в том что айпи локальной сети не должны были быть в одной сети с айпи vpn

          • http://vk.com/id3942838 Алексей Варич
          • https://www.facebook.com/app_scoped_user_id/1481481741899089/ Maxim Aleksandrovich Anisimov

            Добрый день, могли бы подсказать как настроить конфиг файл для IOS?

          • http://vk.com/id3942838 Алексей Варич

            ниже в комментах был вопрос, человек скидывал конфиг
            я сам не настраивал никогда

  • Vitaly

    Здравствуйте! Пока только осваиваю эту тематику. По Вашей статье все получилось. Но не потребовалось ничего вводить при подключении. Логин/пароль насколько понимаю взят из файла auth.cfg, сертификаты скопированы на HDD в папку config. Получается любой человек, имеющий доступ к этим 4 файлам, может подключиться к ovpn серверу? А где же секрет?) Обьясните пожалуйста)

    • http://vk.com/id3942838 Алексей Варич

      Если человек имеет доступ к вашему хдд, то никакие секреты для него уже не секрет.
      но если хочется логин-пароль повводить, то вместо auth-user-pass auth.cfg можете сделать просто auth-user-pass и тогда будет окошко с запросом пароля.

      • Vitaly

        Спасибо! Есть еще вопрос, как только сформулирую – напишу

  • Артём

    Здравстуйте! Прошу помощи у знатаков. Есть проблема подключения Mikrotik 5.24 с OpenVPN 2.2.2.
    Нет подключения к серверу на микротике. Лог OpenVPN:
    Mon Apr 23 22:41:28 2018 NOTE: OpenVPN 2.1 requires ‘–script-security 2’ or higher to call user-defined scripts or executables
    Mon Apr 23 22:41:28 2018 LZO compression initialized
    Mon Apr 23 22:41:28 2018 Control Channel MTU parms [ L:1560 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Mon Apr 23 22:41:28 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
    Mon Apr 23 22:41:28 2018 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
    Mon Apr 23 22:41:28 2018 Local Options hash (VER=V4): ‘bc07730e’
    Mon Apr 23 22:41:28 2018 Expected Remote Options hash (VER=V4): ‘b695cb4a’
    Mon Apr 23 22:41:28 2018 Attempting to establish TCP connection with xx.xx.xx.xx:1194
    Mon Apr 23 22:41:28 2018 TCP connection established with xx.xx.xx.xx:1194
    Mon Apr 23 22:41:28 2018 TCPv4_CLIENT link local: [undef]
    Mon Apr 23 22:41:28 2018 TCPv4_CLIENT link remote: xx.xx.xx.xx:1194
    Mon Apr 23 22:41:28 2018 Connection reset, restarting [0]
    Mon Apr 23 22:41:28 2018 TCP/UDP: Closing socket
    Mon Apr 23 22:41:28 2018 SIGUSR1[soft,connection-reset] received, process restarting
    Mon Apr 23 22:41:28 2018 Restart pause, 5 second(s)

    Конфигурации на Mikrotik 5.24 (смотрите ниже)
    Конфигурация клиента OpenVPN 2.2.2:

    dev tun
    proto tcp-client
    remote xx.xx.xx.xx 1194
    route-delay 3
    client
    tls-client
    ns-cert-type server
    ca “C:\\Program Files\\OpenVPN\\config\\ca.crt”
    cert “C:\\Program Files\\OpenVPN\\config\\Test-client.crt”
    key “C:\\Program Files\\OpenVPN\\config\\Test-client.key”
    cipher AES-128-CBC
    auth-user-pass auth.cfg
    comp-lzo
    mssfix
    tun-mtu 1500
    ping-restart 60
    ping 10
    verb 3

    Все делал по инструкции но не судьба (не работает).
    Сертификаты создал и импортировал по инструкции.

    Прошу сильно не бить и не матюкать, и прошу помсощи.
    Что я сделал не так?

    • Артём

      Добавлю что порт 1194 в фаерволе открыт.
      Настраивал PPTP Сервер на этом микротике без проблем заходит из интернета..

      Возможно проблема с сертификатами. Если есть возможность создать сертификаты и отослать их мне для теста буду примного благодарен.

    • Артём

      Вопрос снимается. Просто нужно было перезагрузить микротик. :)))))
      А ларчик ведь просто открывался. )))

  • Dmitry

    Добрый день. Спасибо за статью, подключение клиент-микротик работает. Подскажите, как мне завернуть интернет трафик на клиенте через ovpn? На виндовых клиентах l2tp и pptp это работает по умолчанию (использовать удаленный шлюз), а тут нет. Буду очень благодарен….

    proto tcp-client
    remote ***.***.***.***
    dev tap

    nobind
    persist-key

    tls-client
    ca ca.crt
    cert User2.crt
    key User2.key
    verb 3
    remote-cert-tls server
    auth-nocache
    cipher AES-256-CBC
    auth SHA1
    pull
    auth-user-pass auth.cfg

    P.S.
    Я только начал с ovpn знакомство, поэтому возможно мои вопросы покажутся странными))) Но у меня на клиенте не присваивается шлюз…

    • http://vk.com/id3942838 Алексей Варич

      за это отвечает опция redirect-gateway в конфиг файле клиента.

      • Dmitry

        Я очень благодарен
        redirect-gateway def1
        Теперь работает
        Посоветуйте плз годный мануал по кфг, желательно на русском:-)

        • http://vk.com/id3942838 Алексей Варич

          не посоветую )
          я нужные параметры на оф сайт в документации искал когда нужно было.