+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

OpenVPN-сервер на RouterOS, режим=ip (tun) и Windows-клиент.

OpenVPN-сервер на RouterOS, режим=ip (tun) и Windows-клиент., RouterOS

KimaHg

Guest

25.11.2009 15:36:00

Привет всем! Коротко: возможно ли использовать Router OS в качестве OpenVPN-сервера с режимом `mode=ip` и одновременно подключить несколько Windows-клиентов?

Длинная версия: Я настроил OpenVPN-сервер на RouterOS 4.2:
enabled: yes
port: 1196
mode: ip
netmask: 27
mac-address: FE:92:EF:66:F1:92
max-mtu: 1450
keepalive-timeout: disabled
default-profile: ovpn-profile
certificate: ovpn
require-client-certificate: yes
auth: sha1,md5
cipher: blowfish128,aes128,aes192,aes256 0 name="ovpn-pool" ranges=10.10.10.2-10.10.10.30
2 Linux-клиента могут подключаться одновременно, используя те же имя пользователя и пароль, что и в `/ppp secrets`, но с разными клиентскими сертификатами. Проблема возникает с Windows-клиентами. Соединение прерывается с сообщением: [...]

Wed Nov 25 15:30:04 2009 [RB450_1B5C01E0965C] Peer Connection Initiated with 213.135.21.86:1196
Wed Nov 25 15:30:06 2009 SENT CONTROL [RB450_1B5C01E0965C]: 'PUSH_REQUEST' (status=1)
Wed Nov 25 15:30:06 2009 PUSH: Received control message: 'PUSH_REPLY,route 10.10.10.0 255.255.255.224,ifconfig 10.10.10.29 10.10.10.1'
Wed Nov 25 15:30:06 2009 OPTIONS IMPORT: --ifconfig/up options modified
Wed Nov 25 15:30:06 2009 OPTIONS IMPORT: route options modified
Wed Nov 25 15:30:06 2009 ROUTE: default_gateway=UNDEF
Wed Nov 25 15:30:06 2009 There is a problem in your selection of --ifconfig endpoints [local=10.10.10.29, remote=10.10.10.1]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of --dev tun when used with the TAP-WIN32 driver. Try 'openvpn --show-valid-subnets' option for more info.
Wed Nov 25 15:30:06 2009 Exiting

Я не понимаю этого. Значит, это работает только с диапазоном IP-пула `ranges=10.10.10.2`? Но тогда одновременно работает только один клиент. Есть ли какое-то решение, кроме использования режима `mode=ethernet`?

qinshaoyou Guest	#2 0 06.03.2013 05:30:00 Решили проблему с тем, что локальные и удаленные VPN-концы должны находиться в одной подсети 255.255.255.252! Большое спасибо!

Volans

Guest

11.11.2013 13:18:00

Приём, трюк с несколькими IP-пулами тоже работает у меня. Но теперь появилась другая проблема. Хочу подключиться с последним OpenVPN Client для Windows, вот мой client.ovpn: proto tcp-client remote server.org 1195 dev tun nobind persist-key tls-client ns-cert-type server ping 10 verb 4 cipher AES-256-CBC auth SHA1 pull auth-user-pass script-security 2 system route-up “route add 192.168.10.0 mask 255.255.255.0 10.10.0.1” -----BEGIN CERTIFICATE----- … -----END CERTIFICATE----- Думаю, что мне придётся использовать команду “route up..”- в client.ovpn, потому что команда “push route..”- от сервера не работает с Windows-клиентами. Проблема в том, что из-за "IP pool"-трюка статическая маршрутизация в client.ovpn больше не работает, потому что IP-адрес сервера (шлюз для статического маршрута) может меняться при каждом подключении. Я не могу найти способ настроить команду “push route..”- на RouterOS OpenVPN сервере, никак. Есть ли способ? Или может, я просто слеп и не вижу решение? //Edit: Оказывается, проблема в том, что RouterOS OpenVPN-сервер не поддерживает команду “push route..”-: http://wiki.mikrotik.com/wiki/MikroTik_RouterOS/Feature_Requests Так что без этой функции я не знаю, как организовать маршрутизацию с меняющимися шлюзами.

sanitycheck

Guest

20.11.2013 20:30:00

Я думаю, я нашел решение проблемы маршрутизации, о которой упоминал Volans. Не используйте многопульную настройку, которую я упоминал ранее; это не часть этого решения. Пусть каждый пользователь Windows входит в систему, используя список секретов, уникальный для него, а не общий VPN-пользователь для использования с несколькими клиентами (например, создайте PPP-секрет под названием paul только для пользователя Windows Paul). Возможно, вы это уже делаете. Также в этом уникальном списке секретов для пользователя Windows зафиксируйте локальный и удаленный адреса из диапазона 255.255.255.252 (удобный список отображается при запуске openvpn --show-valid-subnets в командной строке на машине Windows OpenVPN-клиента). Для зафиксированных адресов в списке секретов пользователя Windows используйте пару чисел вне любого существующего VPN-пула (например, если ваш существующий пул 10.10.10.10-10.10.10.30, используйте пару чисел выше, например, 10.10.10.53 и 10.10.10.54. Укажите уникальную пару адресов для каждого уникального списка секретов пользователя Windows (уверен, вы также можете использовать пары адресов вне вашего /24 общего пула). Остальные настройки могут оставаться такими же, как и у пользователя с общим секретом (если он у вас есть), включая тот же PPP-профиль. Зафиксированные локальный и удаленный адрес в списке секретов пользователя Windows перезапишут параметр удаленного адреса из профиля, который вы указали, но клиент все равно получит DNS-серверы из профиля. На стороне клиента Windows вам все равно нужно настроить маршрут в файле client.ovpn, потому что OpenVPN-сервер Mikrotik не может отправлять маршрут (спасибо patrickmkt за более простой метод). Если серверная LAN использует 192.168.76.0 для подсети, используйте эту строку в файле client.ovpn: route 192.168.76.0 255.255.255.0. Эта конфигурация не сложнее многопульной настройки, упомянутой ранее, и маршруты можно настроить с помощью команды route в файле client.ovpn. Плюс, вы все равно можете иметь общего пользователя, больший VPN-специфический пул адресов и профиль для использования с Linux и Mikrotik ip/tun-клиентами.

patrickmkt Guest	#5 0 21.11.2013 17:48:00 Просто добавь в свой файл конфигурации .ovpn что-то вроде `route 192.168.100.0 255.255.255.0`.

sanitycheck Guest	#6 0 21.11.2013 18:05:00 Отлично, работает. Спасибо. Теперь .bat файл больше не нужен, и client.ovpn можно сделать общим, а не для каждого клиента отдельно. Я отредактирую свой пост. Интересно, почему так много упоминаний о настройке маршрута через route-up?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры