Configurare vpn con mikrotik

[El Berto]

Si, IP pubblico. Per i test utilizzo una SIM ma l'implementazione verrà fatta su indirizzo IP statico.
Io prevedo l'uitilizzo di uno specifico username e password (e relativi cerrificati) per ogni client.

Codice: Seleziona tutto

[admin@Gat_199] /interface> print
Flags: D - dynamic, X - disabled, R - running, S - slave
#     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU MAC-ADDRESS     
[...]
6 DR  <ovpn-OpenVPN_client01-1>           ovpn-in          1500
7 DR  <ovpn-OpenVPN_client01-2>           ovpn-in          1500
8 DR  <ovpn-OpenVPN_client01>             ovpn-in          1500

Intanto non capisco perchè il client01 mi venga riportato più volte se è connesso solo lui.

[admin@Gat_199] /interface ovpn-server server> print
enabled: yes
port: 1194
mode: ip
netmask: 24
mac-address: FE:FD:DF:53:AE:06
max-mtu: 1500
keepalive-timeout: disabled
default-profile: OpenVPN_profile
certificate: OpenVPN_server.crt_0
require-client-certificate: no
auth: sha1,md5
cipher: blowfish128,aes128,aes192,aes256

"require-client-certificate": nella wiki routeros viene impostato "no", mentre su altre guide viene impostato "yes".
Se lo imposto come "yes" nei log del server mi compare un avoce "TLS failed" e non si connette.



1) I certificati
Voglio lavorare con autenticazione usando sia username e password, sia i certificati.
Volendo lavorare sia con client Linux, Windows e MikroTik ho seguito la wiki e ho creato i certificati:

- ca.crt
- ca.key
- OpenVPN_server.crt
- OpenVPN_server.key
- OpenVPN_server.pem
- OpenVPN_client01.crt
- OpenVPN_client01.key
- OpenVPN_client01.pem

Sul server carico:
- OpenVPN_server.crt
- OpenVPN_server.pem
- ca.crt

per poi importarli con il comando import:
KT OpenVPN_server.crt_0
T ca.crt_0

Come da immagine allegata.

Analogamente per il client, dove mi compaiono gli stessi flag KT e T.

Fin qui è corretto?

[El Berto]

Configurazione del client

Upload dei files:
- OpenVPN_client01.crt
- OpenVPN_client01.pem
- ca.crt

Vado a importare i certificati:
/certificate import file=OpenVPN_client01.crt
/certificate import file=OpenVPN_client01.pem
/certificate import file=ca.crt

(immagine in allegato)

Codice: Seleziona tutto

/interface ovpn-client
add add-default-route=no auth=sha1 certificate=OpenVPN_client01.crt_0 cipher=aes256 \
    connect-to=2.127.14.82 disabled=no mac-address=02:CD:62:D8:82:FA max-mtu=1500 mode=ip \
    name=OpenVPN_client01 password="password" port=1194 profile=default-encryption \
    user=test_client01

Nella wiki c'era "profile=default" anzichè default-encryption, ho verificato che funziona con entrambe le opzioni.

[El Berto]

Ok, ora il server.

Il server è già configurato per l'accesso a internet.

Definisco il pool per la VPN:

Codice: Seleziona tutto

/ip pool
add name=OpenVPN_pool ranges=192.168.100.2-192.168.100.200

I certificati li ho già importati 2 post fa.

Codice: Seleziona tutto

[admin@Gat_199] /ppp profile> print detail
Flags: * - default 
1   name="OpenVPN_profile" local-address=192.168.100.1 remote-address=OpenVPN_pool use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=default use-upnp=default
     address-list="" on-up="" on-down=""

Nella wiki il parametro "use-encryption" era impostato su "required", io l'ho messo su "default" perchè altrimenti avevo tantissima latenza. (forse per il fatto che utilizzo una vecchia RB750?)


Utenti:

Codice: Seleziona tutto

[admin@Gat_199] /ppp secret> print detail
Flags: X - disabled
0    name="OpenVPN_client01" service=any caller-id="" password="password" profile=default routes="" limit-bytes-in=0 limit-bytes-out=0 last-logged-out=jan/06/1970 0

Qui ho trovato delle guide discordanti: in alcuni casi "profile" era impostato su "default", in altri era impostato su quello che a me compare "OpenVPN_profile".
A me funziona in entrambi i casi quindi non so quale sia da mettere.


Configurazione del server:

Codice: Seleziona tutto

[admin@Gat_199] /interface ovpn-server server> print
                     enabled: yes
                        port: 1194
                        mode: ip
                     netmask: 24
                 mac-address: FE:FD:DE:A7:0E:2D
                     max-mtu: 1500
           keepalive-timeout: disabled
             default-profile: OpenVPN_profile
                 certificate: OpenVPN_server.crt_0
  require-client-certificate: no
                        auth: sha1,md5
                      cipher: blowfish128,aes128,aes192,aes256
[admin@Gat_199] /interface ovpn-server server>

Con queste impostazioni riesco a connettermi.
Se invece metto:

Codice: Seleziona tutto

  require-client-certificate: yes

Allora non riesco a connettermi, nel log del server mi ritrovo questo:

[OVPN]: <2.254.62.192>: disconnected <TLS failed>

Quindi non capisco se sto effettivamente utilizzando i certificati o mi collego semplicemente con utente e password.

Grazie.

[giancai]

Salve, a me invece dopo aver fatto openvpn mi rilascia errore al momento della connessione:

Unrecognized option or missing or extra parameter in client.ovpn: 3 Client (2.5.4).

Da cosa potrebbe dipendere?

[El Berto]

Puoi postare il file di configurazione? Sembra proprio un problema di lettura dei parametri...
Anzi, mi viene da pensare che stai usando un file di configurazione creato con una differente versione (più recente).

[giancai]

Parli del file client.ovpn? In che senso più recente?

[El Berto]

Stavo facendo una prova installando un server OpenVPN su Ubuntu, ma una versione 20.
Mi viene creato il file client01.ovpn, lo copio sul client Ubuntu (versione 18), ma quando lancio
openvpn client01.vpn
mi mostra un messaggio simile al tuo.
Ho controllato e ho scoperto che su Ubuntu 18 c'è una vecchia versione openvpn, quindi ipotizzi che il tuo client.ovpn sia stato creato con una versione successiva di openvpn.

[giancai]

Quindi da come capisco il file e incongruente. Ciò mi sembra strano dato che il file .ovpn lo creo io o meglio, copiato da un template di una guida che ho seguito e poi modificato. Intanto lo allego. Cosa mi consigli di fare x risolvere? Come lo creo quel file in riferimento alla configurazione che faccio sulla rb???

client.ovpn

client

dev tun

proto tcp-client

remote (my Public Ip)

port 1194

nobind

persist-key

persist-tun

tls-client

remote-cert-tls server

ca Ca.crt

cert Client.crt

key Client.key

verb 4

mute 10

cipher AES-256-CBC

auth SHA1

auth-user-pass secret

auth-nocache

Questo è stato salvato come Clien.ovpn e messo nella cartella config di openvpn

[radiation]

O aggiorni i driver TUN o usi la lersione del client V11.14

[giancai]

O aggiorni i driver TUN o usi la lersione del client V11.14

mi potresti dare una dritta???
succede questo mica perche ho l'ultima versione di openvpn?