MikroTik —— Site-to-Site connection using OpenVPN
[i=s] 本帖最後由 角色 於 2019-4-4 14:36 編輯 [/i]如果你有两只MikrtoTik的routers,那么你可以考虑采用OpenVPN。
以前是不用certificate,但是你要enable OpenVPN server,你必须安装server certificate。大家可以按照[1]去generate certificate,但是所为跟certificates根本用不到,我们先照做。certificate好了,就可import 到OpenVPEN server,那么你就可以enable OpenVPN server了!但是在server side不需要Require Client Certificate。在OpenVPN client side,certificate 选none。至于authentication and cipher要两边一致就可以。现在底层Transport layer还没有收到tls保护,需要再看多一些资料才能完成。
现在的问题:
TLS现在用不了“OpenVPN Server error: TLS failed” [1]。还有用Mikrotik的cert and key generator,必须用passphase,不然generate不到key。
有时间再看[3], 关于tls问题。
References:
[1] [url]https://wiki.mikrotik.com/wiki/Manual:Create_Certificates[/url]
[2] [url]https://forum.mikrotik.com/viewtopic.php?t=88372[/url]
[3] [url]https://wiki.mikrotik.com/wiki/OpenVPN[/url] [i=s] 本帖最後由 角色 於 2019-4-14 17:14 編輯 [/i]
根据 gfx86674 CHing [1], generated ca,pk12,按照他的settings成功用tls去保护transport layer信息。[code]
/certificate
add common-name=ca name=ca
sign ca ca-crl-host=<host_IP>
add common-name=<host_IP> subject-alt-name=IP:<host_IP> key-usage=tls-server name=server1
sign server1 ca=ca
/certificate
add common-name=rw-client1 name=rw-client1 key-usage=tls-client
sign rw-client1 ca=ca
/certificate
export-certificate rw-client1 export-passphrase=1234567890 type=pkcs12
[/code].
然后download client cert,再upload给client就可以。
References:
[1] [url]http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&ptid=7410&pid=46741[/url] [i=s] 本帖最後由 角色 於 2019-4-16 18:47 編輯 [/i]
Certificates creation and use information
[url]https://mum.mikrotik.com/presentations/NG17/presentation_4851_1511945783.pdf[/url]
[url]https://mum.mikrotik.com/presentations/ID16/presentation_3277_1476686469.pdf[/url]
[url]https://www.ollegustafsson.com/en/letsencrypt-routeros/[/url]
[url]http://tikdis.com/mikrotik-routeros/configurating-routeros/vpn/[/url]
[url]https://medium.com/@mason.lyu/mikrotik-routeros-vpn-5b151c351b79[/url]
[url]https://gist.github.com/SmartFinn/8324a55a2020c56b267b[/url]
[url]https://manuth.life/openvpn-server-mikrotik-routeros[/url]
[url]https://www.marthur.com/networking/mikrotik-setup-a-site-to-site-openvpn-connection/314/[/url]
[url]http://david.kow.is/blog/2016/12/26/mikrotik-openvpn-client-to-linux-server/[/url]
[url]https://freee.zendesk.com/hc/en-us/articles/201587431-Mikrotik-Router-Setup-by-Freee-[/url]
[url]https://janis-streib.de/post/mikrotik-ovpn-security/[/url]
[url]https://systemzone.net/mikrotik-openvpn-setup-with-windows-client/[/url] 會不會是您方法錯了? 憑證有分:
ca.crt
server.crt
client.crt
ovpn server掛載的為ca.crt或server.crt,
但client端匯入可是要client.crt,而非ca.crt或server.crt。您會不會這地方錯誤了。 谢谢CHing信息!
在OpenVPN server我是用server.crt, 在client side我是用client.crt,但是不成功,我的估计是我没有按照Mikrotik那样gen certificates (估计有一定的要求,我下次我怎样generate certificates也记录下来,看看CHing是否能看出问题所在),需要输入passphase,等我有空的时候,我跟足Mikrotik的网页去gen certificates,看看是否成功。 [quote]谢谢CHing信息!
在OpenVPN server我是用server.crt, 在client side我是用client.crt,但是不成功,我的估 ...
[size=2][color=#999999]角色 發表於 2019-4-12 21:39[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=46733&ptid=7410][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
您匯入的憑證type是pem還是pkcs12? 我是用pkcs12。 [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=46736&ptid=7410]6#[/url] [i]gfx86674[/i] [/b]
谢谢CHing的指引。因为我不太熟悉certificates的format,都不知道下面的链接产生出来的certificates and keys是否就是你说的format:
[url]https://wiki.mikrotik.com/wiki/Manual:Create_Certificates[/url] [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=46739&ptid=7410]7#[/url] [i]角色[/i] [/b]
[url=https://wiki.mikrotik.com/wiki/Manual:IP/IPsec]https://wiki.mikrotik.com/wiki/Manual:IP/IPsec[/url]
[attach]4360[/attach] [i=s] 本帖最後由 gfx86674 於 2019-4-13 23:52 編輯 [/i]
測試大致是:
OVPN:
[attach]4361[/attach]
SSTP:
[attach]4364[/attach]
[color=Red]勾選Verify Server Certificate[/color]會讓sstp client無法連線。 虽然还没有跟着试,但是先感谢CHing的教程,我一有空就会按着做!然后汇报给CHing我的findings。 [i=s] 本帖最後由 gfx86674 於 2019-4-14 11:38 編輯 [/i]
sstp server與client的有個[color=Red]pfs[/color]的方框,
中文譯為"[color=Red]完美轉發安全性(perfect forward secrecy)[/color]"
小弟測試server與client都同為勾選時,連線是不影響的。
不確定這欄位決定vpn之間的握手判斷,還是握手後的封包交換。 [i=s] 本帖最後由 角色 於 2019-4-14 17:32 編輯 [/i]
[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=46744&ptid=7410]11#[/url] [i]gfx86674[/i] [/b]
谢谢CHing的信息,你的方法测试过是没有问题,OpenVPN and SSTP都能用,还有你建议的settings也试过。只不过就是握手问题,他们知道我在用OpenVPN or SSTP。用OpenVPN时,根本都连都连不上,但是通过V2Ray's 的 port forwarding (dokodemo)就可以。而SSTP可以连通(用certificates)但是连上不久后又被切断,SSTP又从新连接。
那么针对上面的OpenVPN or SSTP的连接结果,如果阿爷不让你过,在连接时在我手中发现OpenVPN就马上block,而SSTP就慢一点,估计它好像在check一下资料,看看你连接的SSTP server是否已经登记,还是检查别的,得到结果后就切断。
非常感谢CHing的详细说明怎样利用certificates去连接SSTP or OpenVPN servers。
除了我现在采用的OpenVPN over V2Ray's dokodemo method (port forwarding), CHing是否有别的方法进行两边的site-to-site连接呢?我也知道现在很多local ISP已经有filtering,还没有到出海就被blocked了!!!
頁:
[1]