12
返回列表 發帖
gfx86674

Rank: 1
1# 跳轉到 » 倒序看帖
打印
tT
發表於 2015-1-8 12:48 | 只看該作者

[VPN] 讓iOS/Android 用戶透過OpenVPN翻網

本帖最後由 gfx86674 於 2015-1-9 11:26 編輯

相信各位都知道RouterOS很早就支援OpenVPN(OVPN),
但設定iOS/Android可能不是清楚...
所以小弟整理一篇大家都看得懂的,讓各位不用懂腦筋去猜想該怎麼動手.

使用OVPN最基礎的是要建立憑證 ,
不過小弟不再提憑證是如何製做,而是直接開放給有緣人下載使用.
ca.crt  /ca.key  /client.crt /client.key

先把下載的ca.crt 與ca.key 拉放至winbox的files檔案夾 ,
再至/system certificates 用Import進行匯入.
先匯入ca.crt ,再匯入ca.key ,

匯入完成Certificate會標示KT
要使用OVPN  Server ,當然得先開啟它

iOS/Android要指定使用OVPN的ip-mode ,
而Port可以自訂,小弟將原本預設Port:1194 變成現在的1195

修改/PPP Profile的default-encryption設定檔 ,將DNS-Server變更成您的Gateway
確保路由是經您的RouterOS主機查尋遞出的.


建立用戶的OVPN帳號


因ip-mode遮罩被固定為255.255.255.252不能變更 ,設DHCP-Pool意義不大.
所以直接在帳號指定Local/Remote Address .

也因遮罩限定255.255.255.252 ,所以不同帳號請用不同網段區分.
如範例的10.0.1.0/30 ,10.0.2.0/30 ,10.0.3.0/30 如此類推 ,
更禁用戶同帳號重覆登入Server.

若您是使用小弟所提供的憑證,接下只要打開電腦的記事本,
將下面的文字存為client.ovpn即可.
  1. client
  2. dev tun
  3. remote 1.23.123.123 1195
  4. proto tcp
  5. auth-user-pass pw.txt
  6. redirect-gateway
  7. mute-replay-warnings

  9. ;ca.crt
  10. ;client.crt
  11. ;client.key

  13. <ca>
  14. -----BEGIN CERTIFICATE-----
  15. MIIDBDCCAm2gAwIBAgIJAM8oNFlxL3rSMA0GCSqGSIb3DQEBBAUAMGAxCzAJBgNV
  16. BAYTAlRXMQswCQYDVQQIEwJUVzEPMA0GA1UEBxMGVGFpcGVpMQ0wCwYDVQQKEwRo
  17. b21lMSQwIgYJKoZIhvcNAQkBFhV4eHh4eHh4eEB5YWhvby5jb20udHcwHhcNMTIx
  18. MjExMTYyNDIzWhcNMjIxMjA5MTYyNDIzWjBgMQswCQYDVQQGEwJUVzELMAkGA1UE
  19. CBMCVFcxDzANBgNVBAcTBlRhaXBlaTENMAsGA1UEChMEaG9tZTEkMCIGCSqGSIb3
  20. DQEJARYVeHh4eHh4eHhAeWFob28uY29tLnR3MIGfMA0GCSqGSIb3DQEBAQUAA4GN
  21. ADCBiQKBgQDTIffwLYBebqwQBSGb8K9wIF4b5HRVoTqfS8ZTc07TB07DZkGcTOX4
  22. HhEnW093KggwVfzRLXk+xzw2uK6iQjJo+9DJqsVviw8sQivs+ZtxAgiZSEeMfsY+
  23. 03YRXgYm6N684qt25ge/EyhuO6peWNRIcS3nW1FXPJ736e1+l/yVQQIDAQABo4HF
  24. MIHCMB0GA1UdDgQWBBQAirU2p0HRWb6DBzGl+UpFzghiAzCBkgYDVR0jBIGKMIGH
  25. gBQAirU2p0HRWb6DBzGl+UpFzghiA6FkpGIwYDELMAkGA1UEBhMCVFcxCzAJBgNV
  26. BAgTAlRXMQ8wDQYDVQQHEwZUYWlwZWkxDTALBgNVBAoTBGhvbWUxJDAiBgkqhkiG
  27. 9w0BCQEWFXh4eHh4eHh4QHlhaG9vLmNvbS50d4IJAM8oNFlxL3rSMAwGA1UdEwQF
  28. MAMBAf8wDQYJKoZIhvcNAQEEBQADgYEAP/rusq6/L1Ju0F8yJPUtvqq7i2WevRUW
  29. b0s0uy076XX/njvY16QnGeqZSw7mi59TSa2kEkO/nDPcCE88y6Q2yCl+CHx3hZLe
  30. 2zBuxZ4kCaVlAVks8XI2PbqYxASAH8INzDrqfY0ISsGiIVACGnIS9O3DmUtV93De
  31. NLzt4kDBET0=
  32. -----END CERTIFICATE-----
  33. </ca>

  35. <cert>
  36. -----BEGIN CERTIFICATE-----
  37. MIIDJzCCApCgAwIBAgIBAjANBgkqhkiG9w0BAQQFADBgMQswCQYDVQQGEwJUVzEL
  38. MAkGA1UECBMCVFcxDzANBgNVBAcTBlRhaXBlaTENMAsGA1UEChMEaG9tZTEkMCIG
  39. CSqGSIb3DQEJARYVeHh4eHh4eHhAeWFob28uY29tLnR3MB4XDTEyMTIxMjAxMzA1
  40. OFoXDTIyMTIxMDAxMzA1OFowYDELMAkGA1UEBhMCVFcxCzAJBgNVBAgTAlRXMQ0w
  41. CwYDVQQKEwRob21lMQ8wDQYDVQQDEwZjbGllbnQxJDAiBgkqhkiG9w0BCQEWFXh4
  42. eHh4eHh4QHlhaG9vLmNvbS50dzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA
  43. wUOdzSIu/vGFAoYo8nTzjVzwSftSwxRF9qlMsfFZfE/aVWhUpxFdWFio7qV+oo6j
  44. lSvYsEFGC49rmjs0gpc8eoZo65doMzDwwkN4lxu30Jjqah9HtY5EcZX9R1Gl6t3Q
  45. lhD9nUDEjSDH8SWY81uG60/yvV2V/7WW0eWI2iw4/D0CAwEAAaOB8DCB7TAJBgNV
  46. HRMEAjAAMCwGCWCGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVyYXRlZCBDZXJ0aWZp
  47. Y2F0ZTAdBgNVHQ4EFgQUk6pp88OQjLIFQ+v9UAm6UHC3od4wgZIGA1UdIwSBijCB
  48. h4AUAIq1NqdB0Vm+gwcxpflKRc4IYgOhZKRiMGAxCzAJBgNVBAYTAlRXMQswCQYD
  49. VQQIEwJUVzEPMA0GA1UEBxMGVGFpcGVpMQ0wCwYDVQQKEwRob21lMSQwIgYJKoZI
  50. hvcNAQkBFhV4eHh4eHh4eEB5YWhvby5jb20udHeCCQDPKDRZcS960jANBgkqhkiG
  51. 9w0BAQQFAAOBgQBE2ATIoN2IBunjlIeSz+eXDd4D8du3Si807i/9knICweBY4Wsv
  52. P/9lpozqcklyRdEFG9UjAfYoz54ULEspiPS7oHKd4bIZsabMLBSAxKq4MvEiIto4
  53. EjKCMSt8WTaSAvES63Hva1kqHhWK50eRAg5llS1awdegu2P5nNxxhB9Knw==
  54. -----END CERTIFICATE-----
  55. </cert>

  57. <key>
  58. -----BEGIN RSA PRIVATE KEY-----
  59. MIICXAIBAAKBgQDBQ53NIi7+8YUChijydPONXPBJ+1LDFEX2qUyx8Vl8T9pVaFSn
  60. EV1YWKjupX6ijqOVK9iwQUYLj2uaOzSClzx6hmjrl2gzMPDCQ3iXG7fQmOpqH0e1
  61. jkRxlf1HUaXq3dCWEP2dQMSNIMfxJZjzW4brT/K9XZX/tZbR5YjaLDj8PQIDAQAB
  62. AoGAYhEUdq3c2QLm8mPvTTBpEZdSWsgLs++KnOJFh5mnRbwjVulM40WdbyH1/rq9
  63. anEksqIAH1fP2jfZavaV65ogVk1q8sSZ1JfY6m0SDlvlMryPmEHnuWbUIJsvmKRB
  64. nN/BwAkbbOB1s2uRHntgs+ktxVTATnre0iI+P5PVfmluKkECQQDx71mcrEvDSL6t
  65. MYPgmm99OoaCC0JuqNMbh1Qw2hMSzreCJFDeghPOwfYDcj235egXjuLdWJCNdsLk
  66. oTx72P+tAkEAzH/perm9Rq1M7UUhw+nKIJqFRyf+VtR1Wk3j4xQmbRfvBns2YjGR
  67. 4BB7FlVNyP94z/H1X6TZrrNHPMmjQVlA0QJAU2V9T2t5Bk0KJWt/GSpDKjjFawh0
  68. ku6xLrkchWZ20rHdQghAtCLEry3fHtr/eWfP9Gb1vvUrhwgcMHGABvULVQJAD67X
  69. lwPbkioENkYQ+tdZGvr+saBNjxcoEM7cZTPMZp1pRVP5rbojd82LwwCzwHBnMXta
  70. 2ATqdM1m7zB/hqlzoQJBAOM89P0LVPQrcKlp/fN+lIJQQli3jOsUwLNFYbWlqTr8
  71. sa3O2zc8OFj/aPlcSgvmm64H3z5Aa4Pld6lz58ic8bU=
  72. -----END RSA PRIVATE KEY-----
  73. </key>
複製代碼
注意remote 1.23.123.123 1195 是您的地址與port ,要修正成您的.

另外還得存pw.txt ,是存放用戶帳號/密碼用的.
第一行為用戶帳號 ,第二行則為密碼.
  1. bfs
  2. 123456
複製代碼
iOS/Android裝置安裝OpenVPN Connect ,並將client.ovpn/pw.txt上傳並進行匯入

先關閉OpenVPN Connect的Force AES-CBC ciphersuites
若沒意外 ,iOS/Android接下來即順利與OVPN-Server連線.
  
收藏 分享

角色

Rank: 2
2#
發表於 2015-1-8 13:35 | 只看該作者
非常精彩的文章!

我现在还用PPTP Server。用OpenVPN有一个好处就是可以改port!

TOP

carw318

Rank: 1
3#
發表於 2015-1-12 22:34 | 只看該作者
謝謝 , 好有用的資料 !

TOP

yiucsw

Rank: 1
4#
發表於 2015-6-11 11:27 | 只看該作者
要在IPAD 上VPN.
想问 OPENVPN 是不是能支持DDNS?  remote 1.23.123.123 1195 能改成DDNS的Address吗?
在gmail 上open client.ovpn, 要找PW.TXT。好像找不到Path。是不是一定要ITUNE才可以upload client.ovpn? 没有pw.txt, 是不是openvpn 能prompt userid/password?
auth-user-pass pw.txt

TOP

yiucsw

Rank: 1
5#
發表於 2015-6-11 11:54 | 只看該作者
找到了,openvpn 能支持DDNS。
现在Connecting。。
是SetTunnelSocket returned 1
Server Poll timeout, trying next remote entry
不知道是什么Error?

TOP

yiucsw

Rank: 1
6#
發表於 2015-6-11 13:54 | 只看該作者
利用了你的Certication。改了IP Pool, 现在在下一阶段。
不停的Push request to server.
error:  ECP recv EOF
EVENT: TRANPORT_ERROR transport error on 'xxxx' NETWORK_EOF_ERROR [ERR]

知道哪里有问题吗?

TOP

yiucsw

Rank: 1
7#
發表於 2015-6-14 00:40 | 只看該作者
回復 1# gfx86674

我用了你的 Certification + RB OVPN Setting。 还有有网络的问题。连不上OVPN?
以下是IPAD 的Log,在RB没有什么Error。

2015-06-14 00:14:37 VERIFY OK: depth=0
cert. version     : 3
serial number     : 02
issuer name       : C=TW, ST=TW, L=Taipei, O=home, emailAddress=xxxxxxxx@yahoo.com.tw
subject name      : C=TW, ST=TW, O=home, CN=client, emailAddress=xxxxxxxx@yahoo.com.tw
issued  on        : 2012-12-12 01:30:58
expires on        : 2022-12-10 01:30:58
signed using      : RSA with MD5
RSA key size      : 1024 bits
basic constraints : CA=false

2015-06-14 00:14:38 TCP recv EOF
2015-06-14 00:14:38 Transport Error: Transport error on 'xxx.xxx.xxx: NETWORK_EOF_ERROR
2015-06-14 00:14:38 EVENT: TRANSPORT_ERROR Transport error on 'xxx.xxx.xxx: NETWORK_EOF_ERROR [ERR]
2015-06-14 00:14:38 Client terminated, restarting in 5...
2015-06-14 00:14:41 RECONNECT TEST: Internet:ReachableViaWiFi/-R -----l- WiFi:ReachableViaWiFi/-R ------d

TOP

gfx86674

Rank: 1
8#
發表於 2015-6-14 11:40 | 只看該作者
本帖最後由 gfx86674 於 2015-6-14 11:45 編輯

回復 7# yiucsw
你是使用什麼版本的RouterOS ?

v6.28有bug ,所以無法連線.
隨後v6.29修正,就正常了;或者選擇降v6.27前的OS版本也可以.

TOP

yiucsw

Rank: 1
9#
發表於 2015-6-17 15:00 | 只看該作者
是最新的版本

TOP

gfx86674

Rank: 1
10#
發表於 2015-6-17 19:01 | 只看該作者
是最新的版本
yiucsw 發表於 2015-6-17 15:00

那您的可能要注意firewall filter的過濾;
或是因nat設置 ,vpn要求被映射到其它的Server主機.

據聞RouterOS_v6.29.1_OpenVPN_bug並未除盡 ,建議換回v6.27

TOP

yiucsw

Rank: 1
11#
發表於 2015-6-25 09:43 | 只看該作者
在Mikrotiklog setting 加了OVPN info,连IPAD 时内有这样的Message:
ovtp disconnected<remote peer uses tun encapsulation while we -tap>
知道在那里改OVPN server 为TUN?
主要是APPLE IPAD用

TOP

yiucsw

Rank: 1
12#
發表於 2015-6-25 09:55 | 只看該作者
在Mikrotik 的 PPP 改OVPN Server 的 Mode 从Ethernet 到IP。现在能Support TUN。
现在是其他的错误。

TOP

gfx86674

Rank: 1
13#
發表於 2015-6-25 14:39 | 只看該作者
回復 11# yiucsw

TOP

yiucsw

Rank: 1
14#
發表於 2015-6-25 15:15 | 只看該作者
谢谢,现在Apple iPad 同 Android 都能支持 OVPN。 想问能加上 mikrotik to mikrotik? mikrotik to mikrotik  能双向吗。

TOP

gfx86674

Rank: 1
15#
發表於 2015-6-25 16:22 | 只看該作者
本帖最後由 gfx86674 於 2015-6-25 16:30 編輯

回復 14# yiucsw
可以,client主機也需匯入與server相同的憑證(ca.crt/ca.key).

做site-to-site 免匯入client.crt/client.key ,
client這兩個憑證只有行動裝置需要, Windows桌機與Mikrotik主機可以省缺不使用.

接下後續設定與pptp site-to-site完全相同,您可以試試.

TOP

12
返回列表