PPP/Firewall
Опубликовано Автор: WinBox
Список правил Firewall для работы VPN сервера SSTP, PPTP, L2TP IPsec и OpenVPN
Порты VPN:
/ip f f
add action=accept chain=input comment=PPTP dst-port=1723 protocol=tcp
add action=accept chain=input comment=SSTP dst-port=443 protocol=tcp
add action=accept chain=input comment=SSL dst-port=80 protocol=tcp
add action=accept chain=input comment=L2TP dst-port=1701,500,4500 protocol=udp
add action=accept chain=input comment=OpenVPN dst-port=1194 protocol=udpПроброс порта MikroTik DSTNAT
Личный MikroTik VPN сервер L2TP/SSTP/PPTP
Firewall
Ограничение по странам на MikroTik GeoIP
WinBox
Посмотреть все записи автора WinBox →
Настройка OpenVPN на Ubuntu Server для подключения клиентом Mikrotik
Обновлено:
Опубликовано:
В данной инструкции мы рассмотрим настройку сервера OpenVPN на Ubuntu и конфигурирование Mikrotik для подключения по VPN.
Выполнение настройки сервера OpenVPN
Настройка Mikrotik для подключения к серверу VPN
Настройка доступа к сети Интернет
Настройка анонимности
Проброс портов
Другая информация по OpenVPN
Мы настроим наш сервер, чтобы он слушал на нестандартном порту OpenVPN — 443. Откроем порт в брандмауэре:
iptables -I INPUT -p tcp —dport 443 -j ACCEPT
* если мы будем использовать другой порт, меняем его на соответствующий. Также необходимо обратить внимание на протокол tcp. Необходимо использовать именно его, так как Mikrotik не поддерживаем UDP для подключения к OpenVPN.
Для сохранения правил используем утилиту iptables-persistent:
apt-get install iptables-persistent
netfilter-persistent save
Устанавливаем пакеты:
apt install openvpn easy-rsa
* где openvpn — сам сервер и клиента OpenVPN; easy-rsa — утилита для создания сертификатов.
Создаем каталог, в котором разместим готовые сертификаты для OpenVPN:
mkdir -p /etc/openvpn/keys
Создаем каталог, в который будем помещать все сгенерированные сертификаты:
mkdir /etc/openvpn/easy-rsa
Переходим в созданный нами каталог:
cd /etc/openvpn/easy-rsa
Скопируем в него шаблоны скриптов для формирования сертификатов:
cp -r /usr/share/easy-rsa/* .
Чтобы ускорить процесс создания ключей, создадим следующий файл:
vi vars
export KEY_COUNTRY=»RU»
export KEY_PROVINCE=»Sankt-Petersburg»
export KEY_CITY=»Sankt-Petersburg»
export KEY_ORG=»DMOSK COMPANY»
export KEY_EMAIL=»master@dmosk.ru»
export KEY_CN=»DMOSK»
export KEY_OU=»DMOSK»
export KEY_NAME=»name-openvpn-server.dmosk.ru»
export KEY_ALTNAMES=»name-openvpn-server»
* данные значения могут быть любыми, но лучше их задать осмысленно. Для удобства.
Рассмотрим процесс формирования сертификата с использованием RSA3 пошагово.
1. Инициализируем PKI:
./easyrsa init-pki
2. Создаем корневой сертификат:
./easyrsa build-ca
* после вводим дважды пароль.
На запрос «Common Name» можно просто нажать Enter:
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:
3. Создаем запрос на сертификат для сервера:
./easyrsa gen-req server nopass
* nopass можно упустить, если хотим повысить безопасность с помощью пароля на сертификат.
На запрос «Common Name» можно просто нажать Enter:
Common Name (eg: your user, host, or server name) [server]:
4. Генерируем сам сертификат:
./easyrsa sign-req server server
После ввода команды подтверждаем правильность данных, введя yes:
Type the word ‘yes’ to continue, or any other input to abort.
Confirm request details: yes
… и вводим пароль, который указывали при создании корневого сертификата:
Enter pass phrase for /etc/openvpn/easy-rsa/pki/private/ca.key:
5. Формируем ключ Диффи-Хеллмана:
./easyrsa gen-dh
Скопируем созданные ключи в рабочий каталог:
cp pki/ca.crt /etc/openvpn/keys/
cp pki/issued/server.crt /etc/openvpn/keys/
cp pki/private/server.key /etc/openvpn/keys/
cp pki/dh.pem /etc/openvpn/keys/
Создаем конфигурационный файл для сервера:
vi /etc/openvpn/server.conf
port 443
proto tcp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh.pem
server 172.16.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
max-clients 32
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 20
daemon
mode server
cipher BF-CBC
* где
- port — сетевой порт (443 позволит избежать проблем при использовании Интернета в общественных местах, но может быть любым из свободных. Порт 1194 является стандартным для OpenVPN).
- proto — используемый транспортный протокол.
- dev — виртуальный сетевой адаптер, который будет создан для работы OpenVPN.
- ca — путь до сертификата корневого центра сертификации.
- cert — путь до открытого сертификата сервера.
- key — путь до закрытого сертификата сервера.
- dh — путь до ключа Диффи — Хеллмана.
- server — задаем IP-адрес сервера в сети VPN.
- ifconfig-pool-persist — путь к файлу для хранения клиентских IP-адресов.
- keepalive X Y — каждые X секунд отправляется ping-запрос на удаленный узел. Если за Y секунд не получено ответа — перезапускать туннель.
- max-clients — максимум одновременных подключений.
- persist-key — не перезагружать ключи при повторной загрузки из-за разрыва соединения.
- persist-tun — не изменять устройства tun/tap при перезапуске сервера.
- status — путь до журнала статусов.
- log-append — путь до файла лога с дополнительным выводом информации.
- verb — уровень логирования событий. От 0 до 9.
- mute — ограничение количества подряд отправляемых в лог событий.
- daemon — работа в режиме демона.
- mode — в каком режиме работает openvpn (сервер или клиент).
- cipher — тип шифрования. В нашем примере это blowfish 128.
Создадим каталог для логов:
mkdir /var/log/openvpn
Разрешаем автоматический старт сервиса vpn и перезапускаем его:
systemctl enable openvpn@server
systemctl restart openvpn@server
Настройка OpenVPN-клиента (Mikrotik)
Сертификат должен быть сформирован на сервер, после чего перенесен на микротик. Рассмотрим процесс подробнее.
На сервере
Создадим каталог, куда поместим сертификаты для обмена:
mkdir /tmp/keys
* сертификаты будут скопированы в каталог /tmp для удобства их переноса на компьютер.
Переходим в каталог easy-rsa:
cd /etc/openvpn/easy-rsa
Создаем сертификат для клиента:
./easyrsa build-client-full client1 nopass
* в данном примере будет создан сертификат для узла client1 (название может быть любым).
Вводим пароль, который указывали при создании корневого сертификата:
Enter pass phrase for /etc/openvpn/easy-rsa/pki/private/ca.key:
Скопируем ключи во временную директорию:
cp pki/issued/client1.crt pki/private/client1.key pki/ca.crt /tmp/keys/
* название client1 зависит от имени сертификата, который мы ему дали при создании.
Разрешим доступ на чтение каталога с ключами всем пользователям:
chmod -R a+r /tmp/keys
Переносим данный каталог с ключами на компьютер, с которого мы будем настраивать Mikrotik. Это можно сделать с помощью различных утилит, например WinSCP.
Подключаемся к роутеру Mikrotik. Это можно сделать с помощью веб-браузера или специальной программы Winbox. Мы рассмотрим вариант с использованием последней.
Заходим в настройки роутера — переходим в раздел Files — кликаем по Upload и выбираем наши 3 сертификата:
Кликаем по OK. Нужные нам файлы окажутся на роутере.
Переходим в System — Certificates:
Кликаем по Import:
… и по очереди импортируем:
- ca.crt
- client1.crt
- client1.key
* импорт делаем именно в такой последовательности.
Теперь переходим в раздел PPP — создаем новое соединение OVPN Client:
На вкладке Dial Out настраиваем наше соединение:
* где:
- Connect To — адрес сервера OpenVPN, к которому должен подключиться Mikrotik.
- Port — порт, на котором слушает OpenVPN.
- User — учетная запись для авторизации. Мы не настраивали проверку пользователя, но без указания данного поля Mikrotik не даст сохранить настройку.
- Certificate — выбираем сертификат, который импортировали на Mikrotik.
- Auth — алгоритм криптографического хеширования, который должен использоваться для подключения.
- Chiper — криптографический алгоритм шифрования.
- Add Default Route — если поставить данную галочку, все запросы в другую подсети (Интернет) должны пойти через VPN соединение.
Нажимаем OK — наш роутер должен подключиться к серверу.
Настройка доступа к сети Интернет через сервер VPN
Для того, чтобы наш сервер VPN мог раздавать Интернет подключившимся к нему устройствам, выполняем несколько действий.
Создаем файл:
vi /etc/sysctl.d/gateway.conf
net.ipv4.ip_forward=1
Применяем настройку:
sysctl -p /etc/sysctl.d/gateway.conf
Добавляем фаервольные правила. Как правило, управление брандмауэром netfilter в Linux на базе Debian выполняется с помощью утилиты iptables.
Настройка выполняется из расчета, что сеть Интернет настроена через интерфейс ens3:
iptables -t nat -I POSTROUTING -o ens3 -j MASQUERADE
iptables -I FORWARD -i tun0 -o ens3 -m state —state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -i tun0 -o ens3 -j ACCEPT
Предполагается, что tun0 используется для VPN сети (данное имя присваивается серверу OpenVPN по умолчанию), а ens3 — внешней. Посмотреть имена интерфейсов можно командой:
ip a
Сохраняем настройки iptables:
apt-get install iptables-persistent
netfilter-persistent save
Настройка анонимности
В сети есть различные порталы для проверки анонимности. Например, сайты whoer или 2ip. Приведем некоторые настройки для получения 100%-го результата.
1. Отключение icmp. По времени ответа на ping можно определить отдаленность клиента от прокси. Чтобы проверку нельзя было выполнить, отключаем на сервере icmp.
Для этого создаем файл:
vi /etc/sysctl.d/icmp.conf
net.ipv4.icmp_echo_ignore_all=1
И применяем настройки:
sysctl -p /etc/sysctl.d/icmp.conf
2. Настройка MTU.
Для решения проблем с VPN fingerprint, на стороне сервера добавляем 2 опции:
vi /etc/openvpn/server.conf
…
tun-mtu 1500
mssfix 1623
Перезапускаем сервис:
systemctl restart openvpn@server
Проброс портов (Port Forwarding)
Необходим для перенаправление сетевых запросов на Mikrotik, стоящий за VPN.
Настройка выполняется двумя командами:
iptables -t nat -I PREROUTING -p tcp -i ens3 —dport 80 -j DNAT —to-destination 172.16.10.6:80
iptables -I FORWARD -p tcp -d 172.16.10.6 —dport 80 -m state —state NEW,ESTABLISHED,RELATED -j ACCEPT
* где ens3 — внешний сетевой интерфейс. 172.16.10.6 — IP-адрес роутера Mikrotik, который он получит после подключения.
Разрешаем порт:
Не забываем сохранить правила:
netfilter-persistent save
Читайте также
Другие полезные инструкции на тему VPN:
1. Установка и настройка OpenVPN на Linux CentOS 7.
2. Настройка и использование OpenVPN на Ubuntu.
3. Как настроить сервер OpenVPN на Windows.
4. Настройка сервера OpenVPN на CentOS 8.
5. Настройка OpenVPN сервера на Mikrotik.
6. Настройка OpenVPN клиента.
7. Настройка доступа к локальной сети клиентам OpenVPN в Linux.
FAQ
Как настроить VPN сервер с переадресацией портов?
Когда WAN IP адрес Вашего роутера использует Приватный или Виртуальный IP адрес (private / virtual IP address), Ваш роутер может использовать беспроводную сеть как показано на рисунке ниже. Ваш роутер подключается к Интернет. Ваш роутер соединяется с Интернет, используя другой маршрутизатор (здесь мы его называем как Корневая точка доступа «the Root AP»). Корневая точка доступа присваивает IP адрес Вашего роутера. В этом случае, Вам придется настроить проброс портов, NAT Сервер или Виртуальный сервер на корневой точке доступа для подключения Вашего роутера к интернет по VPN.
VPN тоннель и номера портов
|
VPN server |
Port |
|
PPTP |
TCP 1723, Other 47 |
|
OpenVPN |
UDP 1194 |
|
IPSec |
UDP 500, UDP 4500 |
Ниже объясняется, как настроить переадресацию портов на маршрутизаторе ROOT AP. Для примера, настроим главный роутер (Root AP). С IP-адресом WAN маршрутизатора ASUS — 1.168.x.x и с IP-адрес 192.168.1.100 для второстепенного маршрутизатора.
Примечание: (1) Вы должны иметь разрешение на изменение настроек Root AP. Если у вас нет таких полномочий, обратитесь к администратору сети.
(2) Настройки могут отличаться от различных маршрутизаторов. Чтобы получить подробные инструкции, обратитесь к руководству пользователя Root AP.
Шаг 1: Войдите в Веб-интерфейс Вашего роутера и перейдите на страницу Network Map для проверки WAN IP адрес.
Шаг 2: Настройте главный роутер «Root AP».
Войдите в веб-графический интерфейс главного маршрутизатора Root AP и настройте параметры Переадресации портов (Port Forwarding) / Виртуальный сервер (Virtual server) / NAT сервер, как показано ниже.
PPTP VPN: на экране Port Forwarding (Перенаправление портов) установите для туннеля PPTP: Local Port (Локальный порт) на 1723 и Протокол (Protocol) — TCP, а потом для туннеля GRE введите Диапазон портов (Port Range) — 47 и Протокол (Protocol) — Other.
OpenVPN: на экране Port Forwarding (Перенаправление портов) установите локальный порт 1194 и протокол — UDP для туннеля OpenVPN.
IPSecVPN: на экране Port Forwarding (Перенаправление портов), для тоннеля IPSecVPN установите локальный порт на 500 и протокол — UDP, а потом, для туннеля IPSec установите локальный порт на 4500 и протокол UDP.
Шаг 3: На экране VPN соединение на своем мобильном устройстве или ПК введите IP-адрес WAN домена главного маршрутизатора (Root AP) или DDNS в поле сервера VPN.
Пример:
Если Вы используете OpenVPN, откройте файл конфигурации OpenVPN с помощью текстового редактора, а затем измените адрес на IP-адрес или DDNS интерфейса WAN удаленного главного роутера (Root AP), как выделено синим цветом на скриншоте ниже.
Важно: если тип подключения WAN на главном роутере (Root AP) — PPTP / L2TP / PPPoE, возможно, возникнут проблемы с подключением к VPN.
Эта информация была полезной?
Yes
No
- Приведенная выше информация может быть частично или полностью процитирована с внешних веб-сайтов или источников. Пожалуйста, обратитесь к информации на основе источника, который мы отметили. Пожалуйста, свяжитесь напрямую или спросите у источников, если есть какие-либо дополнительные вопросы, и обратите внимание, что ASUS не имеет отношения к данному контенту / услуге и не несет ответственности за него.
- Эта информация может не подходить для всех продуктов из той же категории / серии. Некоторые снимки экрана и операции могут отличаться от версий программного обеспечения.
- ASUS предоставляет вышеуказанную информацию только для справки. Если у вас есть какие-либо вопросы о содержании, пожалуйста, свяжитесь напрямую с поставщиком вышеуказанного продукта. Обратите внимание, что ASUS не несет ответственности за контент или услуги, предоставляемые вышеуказанным поставщиком продукта.
OpenVPN — это одна из самых современных технологий VPN на сегодняшний день. Основное достоинство OpenVPN — это бесперебойная работа вне зависимости от качества канала интернет и заблокированных портов провайдерских маршрутизаторов. OpenVPN это своего рода «танк», который работает несмотря ни на что.
Поднимем сервер OpenVPN на маршрутизаторе Mikrotik любой модели. Самое главное, чтобы была RouterOS.
Что нужно знать до установки OpenVPN на Mikrotik
Чтобы полноценно использовать OpenVPN-сервер на Mikrotik, вам нужно обновить версию прошивки до версии 7.1 и выше.
В Mikrotik OpenVPN немного урезан. Главные особенности:
- нет поддержки UDP. Только TCP Добавили в стабильной версии RouterOS 7.1. Есть проблемы в работе.;
- нет LZO-компрессии;
Установка сервера OpenVPN на Mikrotik
Подготовка Mikrotik
Любой OpenVPN сервер требует точного времени всех узлов сети. Нужно настроить синхронизацию времени как клиента, так и сервера. Если синхронизация времени на всех десктопных операционных системах работает из коробки, то Mikrotik, на котором будет установлен OpenVPN сервер, нуждается в дополнительной настройке.
Часовой пояс
Первым делом устанавливаем правильный часовой пояс. Для этого нужно перейти в System - Clock и указать часовой пояс.
Через консоль:
system clock set time-zone-autodetect=no time-zone-name=Asia/OmskСинхронизация времени
Указываем NTP-сервера для синхронизации времени:
Сами адреса можно взять отсюда – www.ntp-servers.net
В примере используются эти:
88.147.254.232
88.147.254.230Через консоль это будет выглядеть так:
system ntp client set enabled=yes primary-ntp=88.147.254.232 secondary-ntp=88.147.254.230Создание сертификатов
Нам нужно создать минимум 3 сертификата:
- самоподписанный корневой сертификат для центра сертификации;
- сертификат для нашего роутера Mikrotik, который выступает OpenVPN-сервером;
- сертификат для клиента.
Для клиентов можно выпустить требуемое количество сертификатов.
Позднее, если потребуется вынести OpenVPN-сервер на другое устройство, их с легкостью можно перенести.
Корневой сертификат CA
Создаем корневой сертификат для нашего центра сертификации. Переходим в System - Certificate
Где:
- Name и Common Name — название, которое обычно именуется ca;
- Country, State, Locality, Organization — это произвольные поля, которые заполняются для удобства опознавания сертификатов в будущем;
- Days Valid — это время действия сертификата. Ставим 3650 дней = 10 лет.
На вкладке Key Usage отмечаем только:
- crl sign;
- key cert. sign.
Нажимаем кнопку Apply и затем Sign. В поле CA CRL Host указываем сами на себя – 127.0.0.1. Для запуска генерации сертификата, кликаем на Start. После окончания закрываем все окна.
Через консоль:
certificate add name=ca common-name="ca" key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign sign ca ca-crl-host=127.0.0.1Сертификат для OpenVPN сервера Mikrotik
Создание всех сертификатов очень похожи между собой. На вкладке System - Certificate для сертификата сервера OpenVPN Mikrotik, в полях Name и Common Name указываем ovpn-serv (можно указать любое значение), а на вкладке Key Usage выбираем:
- digital signature;
- key encipherment;
- tls server.
Нажимаем кнопку Apply и затем Sign. В поле CA выбираем – ca. Для запуска генерации сертификата, кликаем на Start. После окончания закрываем все окна.
Через консоль:
certificate add name=ovpn-serv common-name="ovpn-serv" key-size=2048 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server sign ovpn-ser ca="ca"Сертификат для клиента
Настало время выпускать клиентские сертификаты. Процедура та же самая. На вкладке Key Usage выбираем:
- tls client.
Нажимаем кнопку Apply и затем Sign. В поле CA выбираем – ca. Для запуска генерации сертификата, кликаем на Start. После окончания закрываем все окна.
Через консоль:
certificate add name=user1 common-name="user1" key-size=2048 days-valid=365 key-usage=tls-client sign user1 ca="ca"В результате у нас должно получиться минимум 3 сертификата:
Если у Вас будет больше клиентов, то сертификатов будет больше.
Можно выпустить 1 клиентский сертификат и раздать всем пользователям OpenVPN сервера на Mikrotik. Это будет работать, но так делать не нужно. В случае, если Вам нужно будет отозвать один из клиентских сертификатов для уволенного сотрудника, то сделать это будет невозможно. У вас останется возможность только заблокировать учетную запись.
Экспортируем сертификат пользователя
Для экспорта клиентских сертификатов лучше всего использовать формат PKCS12, так как в результате вы получите 1 файл, который проще передать пользователю. Если нужно настроить подключение на телефонах с Android или IOS, то лучше экспортировать в формате PEM, так как далее нужно будет объединять сертификаты в конфигурационный файл.
Если использовать «устаревший» формат PEM, то будет 2 файла:
- user1.crt – открытая часть ключа пользователя;
- user1.key – закрытая часть ключа пользователя.
К ним нужно будет экспортировать корневой сертификат ca.crt. Без него работать не будет.
При формате PKCS12 файл всего один. Разница между PKCS12 и PEM только в удобстве.
При экспорте обязательно указываем 8-значный пароль и имя файла. Если этого не сделать, в файл при экспорте не добавится закрытая часть ключа и пользоваться будет невозможно.
Через консоль с паролем 12345678:
certificate export-certificate user1 type=pkcs12 export-passphrase=12345678Настройка OpenVPN сервера
Назначаем IP-адреса для OpenVPN
Всем подключаемым пользователям необходимо назначить IP-адрес. Сделать это можно либо вручную, либо автоматически используя DHCP. В большинстве случаев используйте второй вариант.
Диапазон адресов
Для автоматической выдачи адресов vpn-клиентам достаточно создать pool-адресов. Для этого переходим в раздел IP - Pool.
Через консоль:
ip pool add name=ovpn-pool ranges=192.168.132.201-192.168.132.220Статические адреса
В исключительных случаях нужно выдать статический IP-адрес. Сделать это можно в разделе PPP - Secret. при создании пользователей:
Где:
- Local Address — адрес Mikrotik;
- Remote Address — статический адрес клиента.
Более подробнее о создании пользователей пойдет ниже.
Создаем профиль пользователей
Профили в Mikrotik позволяют облегчить дальнейшее добавление пользователей. В профиле можно указать общие параметры для всех пользователей. Это избавит от необходимости указывать одни и те же данные для каждого пользователя отдельно.
В разделе PPP - Secret переходим на вкладку Profiles и создаем новый профиль.
На вкладке General:
Редактируем поля:
- Name — название профиля;
- Local Address — адрес Mikrotik;
- Remote Address — созданный ранее pool для OpenVPN. Если подразумевается использовать статические IP, то поле оставляем незаполненным;
- Bridge — выбираем мост сети;
- Change TCP MSS = yes — автоматическая подстройка размера MSS;
- Use UPnP = no — автоматическая настройка сетевых устройств;
На вкладке Protocols:
Редактируем поля:
- Use IPv6 = yes — использование IPv6;
- Use MPLS = yes — передача пакетов с помощью меток. В теории ускоряет прохождение пакетов между маршрутизаторами;
- Use Compression = yes — компрессия Mikrotik;
- Use Encryption = yes — базовое щифрование.
На вкладке Limits:
Редактируем поля:
- Only One = yes — указываем для монопольного входа пользователей.
Создаем пользователей
В разделе PPP - Secret нужно включить возможность аутентификации по пользователю. Для этого кликаем на кнопку PPP Authentication&Accounting и проверяем, чтобы была установлена галочка напротив Accounting.
Делаем через консоль:
ppp aaa set accounting=yesПосле этого можно приступать к созданию пользователей:
Где
- Name — имя клиента (только латинские буквы и цифры, спец. символы не всегда работают корректно);
- Password — пароль. Пароль, после создания пользователя, будет скрыт звездочками, но есть способ узнать пароль MikroTik;
- Service = ovpn — сервис, указав который ограничиваем возможность подключения только к OpenVPN;
- Profile = ovpn — созданный ранее профиль;
- Remote Address — статический адрес. Если это не требуется, оставляем поле пустым.
Тоже самое можно сделать через консоль:
ppp secret add name=user1 password=1234567 service=ovpn profile=ovpnЗапуск OpenVPN-сервера
В разделе PPP - Interface кликаем на кнопке OVPN Server и настраиваем как на скриншоте:
Где:
- Protocol = udp — эта возможность появилась в версии RouterOS 7.1;
- Default Profile = ovpn — созданный профиль;
- Certificate = ovpn-serv — выбираем сертификат, который создавали для сервера;
- Require Client Certificate — обязательное наличие сертификата при авторизации;
- Auth = sha1 — хеширование пароля при его первой передаче по незащищенному каналу при аутентификации;
- Cipher = aes 256 — шифрование передачи данных.
И не забываем поставить галочку напротив Enabled, чтобы включить сервер.
Через консоль:
interface ovpn-server server set enabled=yes certificate=ovpn-serv default-profile=ovpn require-client-certificate=yes auth=sha1 cipher=aes256Открываем порт для OpenVPN
В разделе IP - Firewall на первой вкладке Filter Rules добавляем новое правило:
Где:
- Chain = input — так как мы хотим дать доступ извне к самому маршрутизатору, то выбираем цепочку input;
- Protocol = 6 (udp) — протокол UDP, этот протокол начал поддерживаться с версией RouterOS 7.1;
- Dst.Port = 1194 — удаленный порт, который будет открыт на маршрутизаторе.
Через консоль:
ip firewall filter add action=accept chain=input protocol=tcp dst-port=1194Настройка клиентов
Более подробнее о настройке клиентов на разных ОС можно прочитать здесь:
- клиент OpenVPN на MacOS
Проблемы
duplicate packet, dropping
: using encoding - AES-256-CBC/SHA1
TCP connection established from 109.125.24.30
duplicate packet, droppingСама фраза в log`ах duplicate packet, dropping не является ошибкой, если при этом происходит подключение.
Если подключение не происходит, причина чаще всего в несоответствии логина или пароля. Подробнее нужно смотреть логи клиента.
Теги: mikrotik
и OpenVPN
Комментарии
За маршрутизатором с NAT стоит микротик не котором настраивается OpenVPN сервер. В настройках сервера чётко прописан порт 5000. На шлюза пробрасываю 5000й порт в VLAN микротика — порт закрыт.
Добавляю микротик в DMZ, пишу 2 правила: output — input все порты allow always — VPN поднимается. Меняю в правиле input все порты на 5000 — порт закрыт.
Во всех правилах протоколы — both
OVPN нужны ещё какие-то порты?
-
Вопрос задан
-
3714 просмотров
Пригласить эксперта
Нет, не нужны.
OpenVPN использует один порт — или UDP или TCP, в зависимости от настроек openvpn сервера.
Нет, со стороны сервера только один порт, указанный в конфиге. У клиентов — как получится, но тоже настраивается.
разрешите входящий порт на openvpn сервер, разрешите любые исходящие, проверьте
клиент по порту ovpn Только первый раз коннектится, дальше он перекидывается на рандомный порт. насколько помню. в настройках ovpn микротика эти порты настроить нельзя
-
Показать ещё
Загружается…
10 окт. 2023, в 02:14
2000 руб./за проект
10 окт. 2023, в 01:56
2000 руб./за проект
10 окт. 2023, в 01:23
160000 руб./за проект