Open VPN client su OS mikrotik

[kris89]

Buonasera a tutti,
scrivo perchè come da oggetto vorrei connettere un router OS ad un server Open vpn...
nonostante le numerose guide in giro non riesco a raggiungere questo scopo...
in effetti ho creato questi certificati/chiavi sul server :

Codice: Seleziona tutto

- ca.crt
- user.crt
- user.key

Li ho importati nel router (file... upload... poi... sistem, certificate, import.. ), ma non mi connetto in nessun modo..

Codice: Seleziona tutto

Dialing... disconnected... è quello che vedo da web if..

Apro e chiudo una parentesi... Ho diversi computer già connessi a questo server openvpn, suppongo che ometto qualcosa nelle configurazioni..
E' possibile ricevere un aiutino ?

Codice: Seleziona tutto

[admin@MikroTik] > export compact
# jan/10/1970 17:09:40 by RouterOS 5.24
# software id = zZzXxX
#
/interface ethernet
set 0 name=ether1-gateway
set 1 name=ether2-master-local
set 2 master-port=ether2-master-local name=ether3-slave-local
set 3 master-port=ether2-master-local name=ether4-slave-local
set 4 master-port=ether2-master-local name=ether5-slave-local
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=ether2-master-local \
    name=default
/ppp profile
add name=openvpn-out
/interface ovpn-client
add auth=none certificate=cert2 cipher=none comment=VPS connect-to=\
    xy.zz.cCc.mMm disabled=yes mac-address=mm:xx:Zz:vV name=\
    ovpn-out1 port=ZzZz profile=openvpn-out user=client10
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=\
    ether2-master-local
/ip dhcp-client
add comment="default configuration" disabled=no interface=ether1-gateway \
    use-peer-dns=no
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=\
    established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" \
    in-interface=ether1-gateway
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=OVPN \
    src-address=192.168.88.2-192.168.88.254
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway
add action=masquerade chain=srcnat out-interface=ovpn-out1
/ip neighbor discovery
set ether1-gateway disabled=yes
/ip route
add distance=1 gateway=ovpn-out1 routing-mark=OVPN
/tool mac-server
add disabled=no interface=ether2-master-local
add disabled=no interface=ether3-slave-local
add disabled=no interface=ether4-slave-local
add disabled=no interface=ether5-slave-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local

[ppraz]

Ciao, ti do una risposta al volo, per qualcosa di più dettagliato devo fare delle prove:
In riferimento alla tua conf:

Codice: Seleziona tutto

/interface ovpn-client
add auth=none certificate=cert2 cipher=none comment=VPS connect-to=\
    xy.zz.cCc.mMm disabled=yes mac-address=mm:xx:Zz:vV name=\
    ovpn-out1 port=ZzZz profile=openvpn-out user=client10


certificate=cert2 - direi user.crt
cipher=none - non ne sono sicuro...
disabled=yes - assolutamente no

Fammi sapere, eventualmente faccio test più accurati
ciao!

[kris89]

Ciao,

Codice: Seleziona tutto

certificate=cert2 è riferito a client.crt
cipher= li ho provati tutti... anche se il server utilizza quello di default che dovrebbe essere Blowfish 128
disabled=no quando ho fatto l'export compact era disabilitato

Sui vari pc linux connessi a questa vpn vengono utilizzati questi file :

Codice: Seleziona tutto

ca.crt
client.crt
client.key
ta.key (dovrebbe essere una chiave statica, suppongo importante per la connessione al server...)

Grazie per l'aiuto.

[kris89]

Adesso, con un altro server vpn, che non usa chiavi statiche, ( ta.key ), il router OS si connette...
ma appena avvio la vpn non navigo più...
Da terminale non riesco a fare nemmeno ping verso il server...
Le configurazioni sono sempre le stesse del primo compact export... Cosa ometto...??

[ppraz]

Ciao, per la parte certificati imamgino tu abbia seguito passo passo questa guida:
http://wiki.mikrotik.com/wiki/OpenVPN
Spiegano come creare correttamente tutti i file certificati necessari, come creare un profilo e come applicare tutte le regole all'interfaccia openvpn-client

[kris89]

si in effetti ho seguito anche quella guida, ma non riesco ad utilizzare il tunnell...
Nemmeno il ping da new terminal verso il server va...
connection timeout....

[kris89]

Nessuno mi aiuta ?