OVPN server

[emc1000]

Няма такава мъка. Няма подкарване.

Настройките са като оттук: http://wiki.mikrotik.com/wiki/OpenVPN_Configuration_Step_by_Step

с разликата, че адресите за раздаване от бъдещия сървър са 10,193,12,0/29 и сертификатати ги правя с помощта на openssl, понеже като ги направя в конзолата на тика, не иска да инпортира ключа. Дава:

Sat Nov 02 15:10:24 2013 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Sat Nov 02 15:10:24 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Nov 02 15:10:24 2013 Cannot load private key file private-key.key: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
Sat Nov 02 15:10:24 2013 Error: private key password verification failed
Sat Nov 02 15:10:24 2013 Exiting

След като инпортирам сертификата и ключа, в създадения профил за локален адрес пиша 10,193,10,9.

 

 

При свързване клииентския лог връща:

Sat Nov 02 10:16:23 2013 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Sat Nov 02 10:16:23 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sat Nov 02 10:16:23 2013 Need hold release from management interface, waiting...
Sat Nov 02 10:16:23 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sat Nov 02 10:16:23 2013 MANAGEMENT: CMD 'state on'
Sat Nov 02 10:16:23 2013 MANAGEMENT: CMD 'log all on'
Sat Nov 02 10:16:23 2013 MANAGEMENT: CMD 'hold off'
Sat Nov 02 10:16:23 2013 MANAGEMENT: CMD 'hold release'
Sat Nov 02 10:16:23 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Nov 02 10:16:23 2013 MANAGEMENT: >STATE:1383380183,RESOLVE,,,
Sat Nov 02 10:16:23 2013 Attempting to establish TCP connection with [AF_INET]212.36.1.214:1194
Sat Nov 02 10:16:23 2013 MANAGEMENT: >STATE:1383380183,TCP_CONNECT,,,
Sat Nov 02 10:16:23 2013 TCP connection established with [AF_INET]212.36.1.214:1194
Sat Nov 02 10:16:23 2013 TCPv4_CLIENT link local: [undef]
Sat Nov 02 10:16:23 2013 TCPv4_CLIENT link remote: [AF_INET]212.36.1.214:1194
Sat Nov 02 10:16:23 2013 MANAGEMENT: >STATE:1383380183,WAIT,,,
Sat Nov 02 10:16:23 2013 MANAGEMENT: >STATE:1383380183,AUTH,,,
Sat Nov 02 10:16:23 2013 TLS: Initial packet from [AF_INET]212.36.1.214:1194, sid=6e4db6b2 88661fa3
Sat Nov 02 10:16:25 2013 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: CN=msts-bg.net
Sat Nov 02 10:16:25 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sat Nov 02 10:16:25 2013 TLS Error: TLS object -> incoming plaintext read error
Sat Nov 02 10:16:25 2013 TLS Error: TLS handshake failed
Sat Nov 02 10:16:25 2013 Fatal TLS error (check_tls_errors_co), restarting
Sat Nov 02 10:16:25 2013 SIGUSR1[soft,tls-error] received, process restarting
Sat Nov 02 10:16:25 2013 MANAGEMENT: >STATE:1383380185,RECONNECTING,tls-error,,
Sat Nov 02 10:16:25 2013 Restart pause, 5 second(s)

И така до безкрай ...

Рестартирах, няма подобрение.

 

П.С. Пробвах с друга версия клиент 2.2.2

Sat Nov 02 15:45:24 2013 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Sat Nov 02 15:45:24 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Nov 02 15:45:24 2013 LZO compression initialized
Sat Nov 02 15:45:24 2013 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sat Nov 02 15:45:24 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Nov 02 15:45:24 2013 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Nov 02 15:45:24 2013 Local Options hash (VER=V4): '69109d17'
Sat Nov 02 15:45:24 2013 Expected Remote Options hash (VER=V4): 'c0103fa8'
Sat Nov 02 15:45:24 2013 Attempting to establish TCP connection with 212.36.1.214:1194
Sat Nov 02 15:45:24 2013 TCP connection established with 212.36.1.214:1194
Sat Nov 02 15:45:24 2013 TCPv4_CLIENT link local: [undef]
Sat Nov 02 15:45:24 2013 TCPv4_CLIENT link remote: 212.36.1.214:1194
Sat Nov 02 15:45:24 2013 TLS: Initial packet from 212.36.1.214:1194, sid=b7ce6897 b06bcf34
Sat Nov 02 15:45:25 2013 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /CN=global-serverbg.net
Sat Nov 02 15:45:25 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sat Nov 02 15:45:25 2013 TLS Error: TLS object -> incoming plaintext read error
Sat Nov 02 15:45:25 2013 TLS Error: TLS handshake failed
Sat Nov 02 15:45:25 2013 Fatal TLS error (check_tls_errors_co), restarting
Sat Nov 02 15:45:25 2013 TCP/UDP: Closing socket
Sat Nov 02 15:45:25 2013 SIGUSR1[soft,tls-error] received, process restarting
Sat Nov 02 15:45:25 2013 Restart pause, 5 second(s)

Редактирано 2 Ноември, 2013 от emc1000

[Balthazar]

А каква точно ти е идеята на занятието че нещо ми се губи ?

[emc1000]

Идеята на занятието е да имам впн връзка.

[Balthazar]

Това го разбрах но между какво искаш да комуникира тази връзка какво да ползва от какво да се ползва защо и ссл сертификати тунел между нещо ли се мъчиш да правиш .. няма как да гадаем

[emc1000]

Така ... Малко напредък. След като създадох нови сертификати и ключове с помощта на easy-rsa, стигнах до 

Sun Nov 03 23:15:03 2013 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Sun Nov 03 23:15:03 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Nov 03 23:15:03 2013 Control Channel MTU parms [ L:1543 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Nov 03 23:15:03 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Nov 03 23:15:04 2013 Data Channel MTU parms [ L:1543 D:1450 EF:43 EB:4 ET:0 EL:0 ]
Sun Nov 03 23:15:04 2013 Local Options hash (VER=V4): 'db02a8f8'
Sun Nov 03 23:15:04 2013 Expected Remote Options hash (VER=V4): '7e068940'
Sun Nov 03 23:15:04 2013 Attempting to establish TCP connection with 212.36.1.214:1194
Sun Nov 03 23:15:04 2013 TCP connection established with 212.36.1.214:1194
Sun Nov 03 23:15:04 2013 TCPv4_CLIENT link local: [undef]
Sun Nov 03 23:15:04 2013 TCPv4_CLIENT link remote: 212.36.1.214:1194
Sun Nov 03 23:15:04 2013 TLS: Initial packet from 212.36.1.214:1194, sid=88f7efa4 6acdce25
Sun Nov 03 23:15:04 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Nov 03 23:15:04 2013 VERIFY OK: depth=1, /C=BG/ST=VT/L=Veliko_Turnovo/O=Hilight_Co./OU=Communication/CN=global-serverbg.net/name=Turnovo-BG/emailAddress=dilyan@msts-bg.net
Sun Nov 03 23:15:04 2013 VERIFY OK: nsCertType=SERVER
Sun Nov 03 23:15:04 2013 VERIFY OK: depth=0, /C=BG/ST=VT/L=Veliko_Turnovo/O=Hilight_Co./OU=Communication/CN=global-serverbg.net/name=Turnovo-BG/emailAddress=dilyan@msts-bg.net
Sun Nov 03 23:15:05 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Nov 03 23:15:05 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 03 23:15:05 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Nov 03 23:15:05 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 03 23:15:05 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Nov 03 23:15:05 2013 [global-serverbg.net] Peer Connection Initiated with 212.36.1.214:1194
Sun Nov 03 23:15:08 2013 SENT CONTROL [global-serverbg.net]: 'PUSH_REQUEST' (status=1)
Sun Nov 03 23:15:13 2013 SENT CONTROL [global-serverbg.net]: 'PUSH_REQUEST' (status=1)
Sun Nov 03 23:15:18 2013 SENT CONTROL [global-serverbg.net]: 'PUSH_REQUEST' (status=1)
Sun Nov 03 23:15:18 2013 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 212.50.10.50,dhcp-option WINS 212.50.10.51,ping 20,ping-restart 60,route 10.193.12.0 255.255.255.248,ifconfig 10.193.12.6 10.193.12.7'
Sun Nov 03 23:15:18 2013 OPTIONS IMPORT: timers and/or timeouts modified
Sun Nov 03 23:15:18 2013 OPTIONS IMPORT: --ifconfig/up options modified
Sun Nov 03 23:15:18 2013 OPTIONS IMPORT: route options modified
Sun Nov 03 23:15:18 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Nov 03 23:15:18 2013 ROUTE default_gateway=95.43.182.9
Sun Nov 03 23:15:18 2013 There is a problem in your selection of --ifconfig endpoints [local=10.193.12.6, remote=10.193.12.7].  The local and remote VPN endpoints cannot use the first or last address within a given 255.255.255.252 subnet.  This is a limitation of --dev tun when used with the TAP-WIN32 driver.  Try 'openvpn --show-valid-subnets' option for more info.

[111111]

следователно

On Windows, point-to-point IP support (i.e. --dev tun)
is emulated by the TAP-Win32 driver. The major limitation
imposed by this approach is that the --ifconfig local and
remote endpoints must be part of the same 255.255.255.252
subnet. The following list shows examples of endpoint
pairs which satisfy this requirement. Only the final
component of the IP address pairs is at issue.

As an example, the following option would be correct:
--ifconfig 10.7.0.5 10.7.0.6 (on host A)
--ifconfig 10.7.0.6 10.7.0.5 (on host 
because [5,6] is part of the below list.

[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
[101,102] [105,106] [109,110] [113,114] [117,118]
[121,122] [125,126] [129,130] [133,134] [137,138]
[141,142] [145,146] [149,150] [153,154] [157,158]
[161,162] [165,166] [169,170] [173,174] [177,178]
[181,182] [185,186] [189,190] [193,194] [197,198]
[201,202] [205,206] [209,210] [213,214] [217,218]
[221,222] [225,226] [229,230] [233,234] [237,238]
[241,242] [245,246] [249,250] [253,254]

[emc1000]

Победихме с помощта на 111111 за което му изказвам голяма благодарност.

П.С. Микротик си е абсолютно дърво за OpenVPN сървър.

[111111]

потвърждавам за ситуацията когато не искаш да правиш тунел ами клиент интерфейс

постни примерния ovpn фаел със секциите за сертификати

/ще е много полезно за следващите които искат да се борят с това недомислие/

 

инак уж отворения впн е пълен с мега бъгове и има само един софтуер под windows 

явно колко става за нещо

[duudah]

Привет на форума!

 

Аз се борих със същите проблеми горе долу по същото време.

Първо с 300 зора тръгна в TAP, но не съм фен и исках да го подкарам в TUN.

 

След десетки опити, част от които с рестарт на рутера (според дискусиите в разни форуми) открих топлата вода. В моя случай това беше проблем с импорт на сертификатите.

 

Сертификата и ключа се импортират и си получават индекси KR и в TAP режим си прави връзка без проблем. Дефакто във всеки момент когато се опитах да подкарам TUN ми даваше мантрата "SIGUSR1[soft,tls-error] received, process restarting".

 

Та след изтриване на всички сертификати, нов уплоуд на ca.crt, server.crt, server.key, 01.pem, dh1024.pem и тяхното импортиране ТОЧНО В ТАЗИ ПОСЛЕДОВАТЕЛНОСТ, всичко заработи без промяна където и да било другаде.

 

Ключове и сертификати генерирам с easy-rsa под win.

 

Ако има интерес мога да постна един степ-бай-степ гайд.

 

Поздрави

[krustanovs]

ми давай с картинки

[111111]

Направо с видео дай

Опен впн-а е една доста голяма недомислица за мен

уж опен а всичко дет работи с него искат пари

или трябва да опишеш роман настройки и при малка промяна в конфигурацията,

втора част на романа

[duudah]

Ами не мога да коментирам дали е недомислица, защото не познавам в детайли други решения. Струва ми се най-доброто и защитено решение към момента от гледна точка на VPN.

Можеш да работиш само със сертификат (ca.crt), потребителски ключ и сертификат и потребителско име и парола.

За съжаление Микротика страда и до колкото виждам разработчиците не са имплементирали разни функции защото били цитирам "сложни".

 

Основен недостатък е че при OpenVPN не можеш да си раздаваш IP адреси с DHCP, а адресите дефакто се раздават по друг начин. Другия недостатък е че не можеш да имаш само "certificate based" аутентикация, а трябва задължително да имаш потребители и пароли - т.н. "secret". И третия голям недостатък е че не можеш да правиш PUSH ROUTE от Микротика или поне аз не съм успял (и чета че не можело).

 

Не зная какво ти иска пари за да работиш с OpenVPN. За моите нужди ("Mikrotik OVPN Server-Win client" и "Mikrotik OVPN Server-dd-wrt router") засега нищо не ми иска пари.

 

Поздрави

[gbdesign]

Много добре си работи даже. Трудно се нацелва точният начин за създаване и импорт на сертификати, всичко останало е песен. За да избегна драмите със сертификатите, всички клиенти ми се уторизират с един и същ, като ползвам и втора ауторизация с юзер и пас. Така всеки клиент си получава правилните IP настройки. Тунелите работят изключително стабилно с години.

[111111]

Тествайте SSTP

 

адреси се дават от пулове dhcp няма нищо общо с кой да е впн протокол

за мен недостатък е глупавия клиент под windows то не са админ права то не са глупости 
липса на default route и т.н.

[pavlan]

нещо не се връзва , за вградения в windows SSTP клиент ли говориш или за опенвпн?

 

SSTP е TCP базиран SSL vpn, общото с openvpn са му само употребата на сертификати

 

м/у др. Openvpn ,дори и миктотишкия може да работи само с user/pass auth.

 

микротика раздава от pool-ове, но нищо общо с dhcp

Редактирано 29 Декември, 2013 от pavlan

[111111]

нещо не се връзва , за вградения в windows SSTP клиент ли говориш или за опенвпн?

 

SSTP е TCP базиран SSL vpn, общото с openvpn са му само употребата на сертификати

 

м/у др. Openvpn ,дори и миктотишкия може да работи само с user/pass auth.

 

микротика раздава от pool-ове, но нищо общо с dhcp

SSTP го дадох като алтернатива за работещ лесно реализируем впн протокол

за DHCP пак прочети какво съм написал