Administrace komentářů

Takhle to podle svych starych poznamek delam ja:

OVPN server:

System/Certificates: vytvářím cert1xyz, keysize defaultně 2048, days valid 9999. Vzápětí dávám "Sign". Ale stejně vidím, že je validní jen do 2039-01-18. Exportovat, stáhnout do PC, smazat z Files.

IP/Pool: přidávám ovpn-server-pool, 192.168.90.10-192.168.90.50.

PPP/Profiles: přidávám ovpn-server-profile, local address 192.168.90.1, remote address ovpn-server-pool.

PPP/Secrets: přidávám name ovpn, password *****, service any, profile ovpn-server-profile.

PPP/Interface/OVPN Server: enabled, mode ethernet (v *.ovpn souboru potom musí tap), default profile ovpn-server-profile, certificate cert1xyz, auth pouze sha1, cipher pouze aes256.

IP/Firewall/Filter Rules: Otevírám pravidlo "allow pptp", dávám "Copy" a upravuji jej na "allow ovpn", dst.port 1194. Při té příležitosti disabluji IPsec NAT, IKE, pptp, l2tp, sstp, in ipsec, out ipsec.

IP/Firewall/Filter Rules: Pravidlo "drop all not incoming from LAN" je moc přísné a nedovoluje se dostat z tunelu do konfigurace mikrotiku, tak jsem ho disabloval.

Ve starších verzích na tomto místě bylo "drop all from WAN" (chain input, in. interface list WAN, action drop).

(Druhou možností by bylo v Interfaces/Interface List přidat ovpn-vpn a pptp-vpn do LAN.)

Na konci je pravidlo "drop all from WAN not DSTNATed" (ale jenom forward, nikoliv input, takze drop all from WAN je asi lepsi).

IP/Firewall/NAT: Z pravidla "masq. vpn traffic" dělám kopii "masq. ovpn traffic", src.address 192.168.90.0/24.

---

Nasel jsem jeste starsi poznamky:

OpenVPN server:

Kvuli openvpn si vytvarim certifikat "cert1" (pro overeni serveru?). Podepsat jej musim v konzoli prikazem "sign cert1", chvili to trva. Lze jej podepsat i ve WinBoxu, nenechat se zmast tim cekanim. Certifikat potom exportuji, tim se objevi ve "Files", odkud lze (pres www, nebo drag&drop z winboxu) downloadovat k sobe na notebook.

Jsou dva mozne typy tunelu tun=ip a tap=ethernet. OpenVPN ve Windows pri pripojeni TUN vyzaduje, aby oba konce tunelu byly v masce 255.255.255.253, coz neni mnoho, takze radsi TAP/ethernet. Mikrotik neumi OpenVPN pres UDP, pouze TCP. Take asi neumi uzivatelske klice, pouze jmeno a heslo.

Na Mikrotiku jsem pridal novy IP/Pool (name "ovpn-server-pool", addresses 192.168.90...), PPP/Profile (name "ovpn-server-profile", local address 192.168.90.1, remote address "ovpn-server-pool"). Do IP/Firewall pridavam Filter Rule podobne pravidlu pro pptp (chain input, protocol tcp, dst. port 1194, action accept) a posunuji jej nad defaultni pravidlo "drop input ether1". Take v IP/Firewall pridavam pravidlo pro NAT (chain srcnat, src. address 192.168.90.0/24, action masquerade), ktere je podobne NATu pro 192.168.89.0/24. V PPP/Secrets jsem si pridal uzivatele (name "ovpn", password "*****", service any, profile ovpn-server-profile). Nastaveni PPP/Interface OVPN Server: enabled yes, port 1194, mode ethernet, ..., default profile "ovpn-server", certificate "cert1", require client certificate no, auth sha1 (mda5 radsi ne), cipher aes256. To na strane serveru staci.

Konfiguracni soubor klienta:

dev tap

proto tcp-client

remote ***.***.***.*** 1194

tls-client

keepalive 10 60

persist-tun

persist-key

cipher AES-256-CBC

auth SHA1

pull

auth-user-pass auth.cfg

ca cert1.crt

route 192.168.88.0 255.255.255.0 192.168.90.1

V souboru auth.cfg je na jednom radku jmeno a na druhem heslo (ovpn/*****).