電訊茶室's Archiver

角色 發表於 2019-4-4 14:32

MikroTik —— Site-to-Site connection using OpenVPN

[i=s] 本帖最後由 角色 於 2019-4-4 14:36 編輯 [/i]

如果你有两只MikrtoTik的routers,那么你可以考虑采用OpenVPN。

以前是不用certificate,但是你要enable OpenVPN server,你必须安装server certificate。大家可以按照[1]去generate certificate,但是所为跟certificates根本用不到,我们先照做。certificate好了,就可import 到OpenVPEN server,那么你就可以enable OpenVPN server了!但是在server side不需要Require Client Certificate。在OpenVPN client side,certificate 选none。至于authentication and cipher要两边一致就可以。现在底层Transport layer还没有收到tls保护,需要再看多一些资料才能完成。

现在的问题:
TLS现在用不了“OpenVPN Server error: TLS failed” [1]。还有用Mikrotik的cert and key generator,必须用passphase,不然generate不到key。

有时间再看[3], 关于tls问题。

References:
[1] [url]https://wiki.mikrotik.com/wiki/Manual:Create_Certificates[/url]
[2] [url]https://forum.mikrotik.com/viewtopic.php?t=88372[/url]
[3] [url]https://wiki.mikrotik.com/wiki/OpenVPN[/url]

角色 發表於 2019-4-4 14:36

[i=s] 本帖最後由 角色 於 2019-4-14 17:14 編輯 [/i]

根据 gfx86674 CHing [1], generated ca,pk12,按照他的settings成功用tls去保护transport layer信息。[code]
/certificate
add common-name=ca name=ca
sign ca ca-crl-host=<host_IP>
add common-name=<host_IP> subject-alt-name=IP:<host_IP> key-usage=tls-server name=server1
sign server1 ca=ca

/certificate
add common-name=rw-client1 name=rw-client1 key-usage=tls-client
sign rw-client1 ca=ca

/certificate
export-certificate rw-client1 export-passphrase=1234567890 type=pkcs12
[/code].

然后download client cert,再upload给client就可以。

References:
[1] [url]http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&ptid=7410&pid=46741[/url]

角色 發表於 2019-4-4 14:36

[i=s] 本帖最後由 角色 於 2019-4-16 18:47 編輯 [/i]

Certificates creation and use information

[url]https://mum.mikrotik.com/presentations/NG17/presentation_4851_1511945783.pdf[/url]
[url]https://mum.mikrotik.com/presentations/ID16/presentation_3277_1476686469.pdf[/url]
[url]https://www.ollegustafsson.com/en/letsencrypt-routeros/[/url]
[url]http://tikdis.com/mikrotik-routeros/configurating-routeros/vpn/[/url]
[url]https://medium.com/@mason.lyu/mikrotik-routeros-vpn-5b151c351b79[/url]
[url]https://gist.github.com/SmartFinn/8324a55a2020c56b267b[/url]
[url]https://manuth.life/openvpn-server-mikrotik-routeros[/url]
[url]https://www.marthur.com/networking/mikrotik-setup-a-site-to-site-openvpn-connection/314/[/url]
[url]http://david.kow.is/blog/2016/12/26/mikrotik-openvpn-client-to-linux-server/[/url]
[url]https://freee.zendesk.com/hc/en-us/articles/201587431-Mikrotik-Router-Setup-by-Freee-[/url]
[url]https://janis-streib.de/post/mikrotik-ovpn-security/[/url]
[url]https://systemzone.net/mikrotik-openvpn-setup-with-windows-client/[/url]

gfx86674 發表於 2019-4-12 16:39

會不會是您方法錯了? 憑證有分:
ca.crt
server.crt
client.crt

ovpn server掛載的為ca.crt或server.crt,
但client端匯入可是要client.crt,而非ca.crt或server.crt。您會不會這地方錯誤了。

角色 發表於 2019-4-12 21:39

谢谢CHing信息!

在OpenVPN server我是用server.crt, 在client side我是用client.crt,但是不成功,我的估计是我没有按照Mikrotik那样gen certificates (估计有一定的要求,我下次我怎样generate certificates也记录下来,看看CHing是否能看出问题所在),需要输入passphase,等我有空的时候,我跟足Mikrotik的网页去gen certificates,看看是否成功。

gfx86674 發表於 2019-4-12 23:46

[quote]谢谢CHing信息!

在OpenVPN server我是用server.crt, 在client side我是用client.crt,但是不成功,我的估 ...
[size=2][color=#999999]角色 發表於 2019-4-12 21:39[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=46733&ptid=7410][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
您匯入的憑證type是pem還是pkcs12? 我是用pkcs12。

角色 發表於 2019-4-13 13:06

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=46736&ptid=7410]6#[/url] [i]gfx86674[/i] [/b]

谢谢CHing的指引。因为我不太熟悉certificates的format,都不知道下面的链接产生出来的certificates and keys是否就是你说的format:

[url]https://wiki.mikrotik.com/wiki/Manual:Create_Certificates[/url]

gfx86674 發表於 2019-4-13 23:09

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=46739&ptid=7410]7#[/url] [i]角色[/i] [/b]
[url=https://wiki.mikrotik.com/wiki/Manual:IP/IPsec]https://wiki.mikrotik.com/wiki/Manual:IP/IPsec[/url]
[attach]4360[/attach]

gfx86674 發表於 2019-4-13 23:35

[i=s] 本帖最後由 gfx86674 於 2019-4-13 23:52 編輯 [/i]

測試大致是:
OVPN:
[attach]4361[/attach]

SSTP:
[attach]4364[/attach]
[color=Red]勾選Verify Server Certificate[/color]會讓sstp client無法連線。

角色 發表於 2019-4-14 11:04

虽然还没有跟着试,但是先感谢CHing的教程,我一有空就会按着做!然后汇报给CHing我的findings。

gfx86674 發表於 2019-4-14 11:33

[i=s] 本帖最後由 gfx86674 於 2019-4-14 11:38 編輯 [/i]

sstp server與client的有個[color=Red]pfs[/color]的方框,
中文譯為"[color=Red]完美轉發安全性(perfect forward secrecy)[/color]"
小弟測試server與client都同為勾選時,連線是不影響的。
不確定這欄位決定vpn之間的握手判斷,還是握手後的封包交換。

角色 發表於 2019-4-14 17:21

[i=s] 本帖最後由 角色 於 2019-4-14 17:32 編輯 [/i]

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=46744&ptid=7410]11#[/url] [i]gfx86674[/i] [/b]

谢谢CHing的信息,你的方法测试过是没有问题,OpenVPN and SSTP都能用,还有你建议的settings也试过。只不过就是握手问题,他们知道我在用OpenVPN or SSTP。用OpenVPN时,根本都连都连不上,但是通过V2Ray's 的 port forwarding (dokodemo)就可以。而SSTP可以连通(用certificates)但是连上不久后又被切断,SSTP又从新连接。

那么针对上面的OpenVPN or SSTP的连接结果,如果阿爷不让你过,在连接时在我手中发现OpenVPN就马上block,而SSTP就慢一点,估计它好像在check一下资料,看看你连接的SSTP server是否已经登记,还是检查别的,得到结果后就切断。

非常感谢CHing的详细说明怎样利用certificates去连接SSTP or OpenVPN servers。

除了我现在采用的OpenVPN over V2Ray's dokodemo method (port forwarding), CHing是否有别的方法进行两边的site-to-site连接呢?我也知道现在很多local ISP已经有filtering,还没有到出海就被blocked了!!!

頁: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.