Indice   FAQ  
Iscriviti  Login
Indice RouterOS RouterOS

Configurare vpn con mikrotik

Tutto su questo sistema operativo linux based - Configurazioni, dubbi, problematiche &....

Re: Configurare vpn con mikrotik

Messaggioda El Berto » dom 15 mar 2020, 17:26

Si, IP pubblico. Per i test utilizzo una SIM ma l'implementazione verrà fatta su indirizzo IP statico.
Io prevedo l'uitilizzo di uno specifico username e password (e relativi cerrificati) per ogni client.


Codice: Seleziona tutto
[admin@Gat_199] /interface> print
Flags: D - dynamic, X - disabled, R - running, S - slave
#     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU MAC-ADDRESS     
[...]
6 DR  <ovpn-OpenVPN_client01-1>           ovpn-in          1500
7 DR  <ovpn-OpenVPN_client01-2>           ovpn-in          1500
8 DR  <ovpn-OpenVPN_client01>             ovpn-in          1500


Intanto non capisco perchè il client01 mi venga riportato più volte se è connesso solo lui.


[admin@Gat_199] /interface ovpn-server server> print
enabled: yes
port: 1194
mode: ip
netmask: 24
mac-address: FE:FD:DF:53:AE:06
max-mtu: 1500
keepalive-timeout: disabled
default-profile: OpenVPN_profile
certificate: OpenVPN_server.crt_0
require-client-certificate: no
auth: sha1,md5
cipher: blowfish128,aes128,aes192,aes256



"require-client-certificate": nella wiki routeros viene impostato "no", mentre su altre guide viene impostato "yes".
Se lo imposto come "yes" nei log del server mi compare un avoce "TLS failed" e non si connette.



1) I certificati
Voglio lavorare con autenticazione usando sia username e password, sia i certificati.
Volendo lavorare sia con client Linux, Windows e MikroTik ho seguito la wiki e ho creato i certificati:

- ca.crt
- ca.key
- OpenVPN_server.crt
- OpenVPN_server.key
- OpenVPN_server.pem
- OpenVPN_client01.crt
- OpenVPN_client01.key
- OpenVPN_client01.pem

Sul server carico:
- OpenVPN_server.crt
- OpenVPN_server.pem
- ca.crt

per poi importarli con il comando import:
KT OpenVPN_server.crt_0
T ca.crt_0

Come da immagine allegata.

Analogamente per il client, dove mi compaiono gli stessi flag KT e T.

Fin qui è corretto?
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
El Berto
Mikrotik-User 4° Liv
Mikrotik-User 4° Liv
 
Messaggi: 219
Iscritto il: lun 3 mag 2010, 10:15

Re: Configurare vpn con mikrotik

Messaggioda El Berto » dom 15 mar 2020, 20:07

Configurazione del client

Upload dei files:
- OpenVPN_client01.crt
- OpenVPN_client01.pem
- ca.crt

Vado a importare i certificati:
/certificate import file=OpenVPN_client01.crt
/certificate import file=OpenVPN_client01.pem
/certificate import file=ca.crt

(immagine in allegato)

Codice: Seleziona tutto
/interface ovpn-client
add add-default-route=no auth=sha1 certificate=OpenVPN_client01.crt_0 cipher=aes256 \
    connect-to=2.127.14.82 disabled=no mac-address=02:CD:62:D8:82:FA max-mtu=1500 mode=ip \
    name=OpenVPN_client01 password="password" port=1194 profile=default-encryption \
    user=test_client01


Nella wiki c'era "profile=default" anzichè default-encryption, ho verificato che funziona con entrambe le opzioni.
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
El Berto
Mikrotik-User 4° Liv
Mikrotik-User 4° Liv
 
Messaggi: 219
Iscritto il: lun 3 mag 2010, 10:15

Re: Configurare vpn con mikrotik

Messaggioda El Berto » dom 15 mar 2020, 20:39

Ok, ora il server.

Il server è già configurato per l'accesso a internet.

Definisco il pool per la VPN:
Codice: Seleziona tutto
/ip pool
add name=OpenVPN_pool ranges=192.168.100.2-192.168.100.200


I certificati li ho già importati 2 post fa.

Codice: Seleziona tutto
[admin@Gat_199] /ppp profile> print detail
Flags: * - default 
1   name="OpenVPN_profile" local-address=192.168.100.1 remote-address=OpenVPN_pool use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=default use-upnp=default
     address-list="" on-up="" on-down=""


Nella wiki il parametro "use-encryption" era impostato su "required", io l'ho messo su "default" perchè altrimenti avevo tantissima latenza. (forse per il fatto che utilizzo una vecchia RB750?)


Utenti:

Codice: Seleziona tutto
[admin@Gat_199] /ppp secret> print detail
Flags: X - disabled
0    name="OpenVPN_client01" service=any caller-id="" password="password" profile=default routes="" limit-bytes-in=0 limit-bytes-out=0 last-logged-out=jan/06/1970 0


Qui ho trovato delle guide discordanti: in alcuni casi "profile" era impostato su "default", in altri era impostato su quello che a me compare "OpenVPN_profile".
A me funziona in entrambi i casi quindi non so quale sia da mettere.


Configurazione del server:

Codice: Seleziona tutto
[admin@Gat_199] /interface ovpn-server server> print
                     enabled: yes
                        port: 1194
                        mode: ip
                     netmask: 24
                 mac-address: FE:FD:DE:A7:0E:2D
                     max-mtu: 1500
           keepalive-timeout: disabled
             default-profile: OpenVPN_profile
                 certificate: OpenVPN_server.crt_0
  require-client-certificate: no
                        auth: sha1,md5
                      cipher: blowfish128,aes128,aes192,aes256
[admin@Gat_199] /interface ovpn-server server>


Con queste impostazioni riesco a connettermi.
Se invece metto:
Codice: Seleziona tutto
  require-client-certificate: yes


Allora non riesco a connettermi, nel log del server mi ritrovo questo:
[OVPN]: <2.254.62.192>: disconnected <TLS failed>


Quindi non capisco se sto effettivamente utilizzando i certificati o mi collego semplicemente con utente e password.

Grazie.
El Berto
Mikrotik-User 4° Liv
Mikrotik-User 4° Liv
 
Messaggi: 219
Iscritto il: lun 3 mag 2010, 10:15


Precedente

Torna a RouterOS

Chi c’è in linea

Visitano il forum: Nessuno e 15 ospiti