Спустя 2 года как я начал знакомится и работать с Mikrotik, первый нормальный разбор по openVPN! Перебрал кучу мануалов по настройке, ни как не получалось подключить клиентов, например компьютер или мобольный телефон, но при этом два Микротика вполне нормально подключались, и вот наконец то! Спасибо ВАМ огромное!
В настоящее время в команде, описываемой на 50-х минутах этого видео надо использовать флаг -traditional, иначе ключ будет не таким как надо. То есть, например openssl rsa -aes256 -in key.key -out key1.key -traditional Надеюсь кому-то сэкономит время! актуально для OpenSSL v.3.0.11
Вы просто супер!!! Пересмотрел кучу видосов, куча док, ну никак не получалось поднять VPN на микротик. Посмотрел ваш вебинар и СРАЗУ все заработало!!! Все очень понятно и доступно! Огромное человеческое спасибо!!!! Ждем новых, полезных видосиков!!!
на 32:12 - remote 192.168.192.62 443 - почему тут указывается локальный адрес? разве не внешний адрес роуета после ната тут должен указываться? а это что за сеть 172.16.16.0 ?
В файле конфигурации со стороны клиента нужно еще и явно указать вид используемого шифрования (в данном случае cipher AES-128-CBC), иначе не взлетит и будет выдавать soft connection reset
Странно, но у меня серверу не важно, какой common name указан в клиентском сертификате, может быть указан любой, и работает он для любого заданного в Secrets логина и пароля.Возможно на сервере установлен параметр username-as-common-name.RouterOS 6.45.8
Снизу в комментариях уже писали о том, что для коннекта нужно явно добавить "cipher AES-256-CBC" (или "AES-128-CBC", в зависимости от того что у вас выбрано в настройках ovpn в роутере) - это работает для клиента под Windows. Хочу добавить, что в конфиге для популярного приложения OpenVPN Connect под Android нужно писать "data-ciphers AES-256-CBC", иначе эта опция на подхватится и мы будем получать ту же ошибку - "SIGUSR1[soft,connection-reset] received, process restarting" на Android-клиенте.
Привет. Впн сервер находится за МТ на котором запрещены forward и outgoing. Mtu discovery работает по icmp. Мешает ли такая конфигурация mt работе mtu discovery?
Очень хорошо зарекомендовал себя на Микротике L2TP+IPsec. Скорость выше, со стабильностью и безопасностью все ок. Клиенты на всех системах уже встроенны
@@Goraev1 так точно, и плюс на клиенте из винды несколько устройств единовременно не могут подключаться с одного роутера. Только 1 устройство одновременно.
Почему нельзя было оставить порт для ovpn по умолчанию: 1194? Это просто чтобы был не стандартный порт и сложнее просканить было или потому что у операторов 1194 может быть закрыт а 443 точно всегда открыт?
Помогите пожалуйста с автозапуском сервиса впн на винде. Ярлык в стартапе отрабатывает. тунель поднимается. если пытаюсь стартовать сервисом (т.е при включении компьютера до ввода пароля пользователя) ничего не происходит. в логах openvpn - Enter private key Password. хотя при первом запуске он был введен и не запрашивал более. Что можно сделать?
Hello guys! I have a question. In our organization we did OpenVPN with Mikrotik devices, 6 shops now is working. But nowadays we changed the main Mikrotik which stays the central office. We copied config old mikrotik how it was, then we put config to new Mikrotik, even certificates was copied as well. Nothing has changed , but Clients did not connect to the new main central office Mikrotik, what you give suggest for me ?? Certificates also copy paste was
Влияет ли длина ключа СА на быстродействие микротика? И нужно ли выставлять 4096 для СА если хочешь шифрование ключом 4096 ? Или можно оставить СА 2048?
там нет никаких отличий. на линуксе нужно tcp, и _не_ добавлять comp-lzo. Микротик даже запушеные в него маршруты примет. У меня есть такие связки. работает без проблем.
41:53 Подскажите в "key usage" оставлены галки по умолчанию хотя в строке создания пользователя через терминал только tls-client. Ведь encipherment это шифрование или он так и так будет работать. Он же оставил crl sign
Кто знает в чем прикол, почему то падают пинги иногда до нуля и теряется вообще связь по VPN с PFsense? Канал вроде не отваливается, интерфейс держит. происходит не часто, может 4 дня может месяц может больше. Если интерфейс отключить и опять включить не решает, а вот перезагрузка помогает. в логах ничего нет. Включил watchdog, но как то это радикально )) в логах про овпн пусто, просто пакеты перстают ходить, но заметил что сначала пинги растут и теряются. На другой стороне pfsense без доступа. Может ли такой глюк быть в микротик, оборудование менял, настраивал вручную два раза
чето не получается( remote это выходит белый адрес микротика? а route сеть к которой он присоединяется? ошибка "connecting to management interface failed" уже раздражает( а видео и впрямь хорошее, но как оказалось, для новичков не совсем разжевано хД
привет, разобрался по этому вопросу? у автора в remote указан внутренний адрес почему то, что тоже непонятно для меня. а что за маршрут прописан так и не понял
Спасибо за видео. Вроде бы все понятно, как дело дошло до настройки, то отрубает подключение, в логе: : disconnected . Пробовал пересоздавать сертификаты, увеличивал размер ключа не помогло. Подскажите в чем дело может быть?
Это по факту txt-файл, но с расширением .ovpn вместо .txt - простой создай новый текстовый документ, впиши в него конфиг и переименуй расширение после точки.
Друзья, как сделать, чтобы клиенты видели друг друга? Им не нужна сеть за микротиком, нужно только видеть друг друга. Сам микротик выступает в роли связующего звена.
Как всегда информативное видео. Подскажите как можно при успешном OpenVPN коннекте добавлять в адресные списки внешние IP. "TCP connection established from IP"
Допустим подняли openvpn Как настроить маршрутизацию ? Пример: (Есть локальная сеть Зона "А" 10.20.30.0/22 и есть сеть vpn "Б" 172.16.30.0/24 шлюз openvpn 172.16.30.1. Компьютер из сети "А" не видит компьютер из зоны Б как сделать так что бы они видели друг друга?
Любопытно узнать как приземлить собственный ip на удалённый микротик, тип берём подсеть и раздаём её удалённым клиентам. Интересно как-то мониторить параметры канала, без его загрузки, смотря, например, на очередь пакетов и скорость, пинги
Перенес сертификаты с одного микротика на другой, перестал работать openvpn c включенной проверкой клиентского сертификата.Если создавать новые клиентские ключи на новом микроте, то все работает нормально, В чем может-быть проблема? [Решение]Не знаю в чем прикол, но переделал сертификаты в Easy-rsa, импортировал и все работает. В сети пишут, что лучше для микротик делать сертификаты сторонними средствами..
я пробовал это сделать специально на одном и том же микротике, создал сертификаты ca, server и client, затем экспортировал их в формате pkcs12 обязательно с паролем, затем удалил СА на микротике - автоматом удалились все сертификаты, затем по очереди, начиная с СА, импортировал сертификаты и все заработало......только теперь при удалении СА все остальные сертификаты не удаляются.....6.47.4
ruclips.net/video/kc4HqRhJ3lE/видео.html 1) кто может пояснить почему настройка сервера openvpn без клиентских сертификатов - не безопасна, (ecryption включено в настройках) ? 2) проверил подключиться с андроида без клиентского сертификата-все подключилось, тоже не понятно почему Роман говорит что не поддерживается....?
Смотрите на моем канале - Программу Deployment OpenVpn для простой установки и настройки собственного OpenVpn сервера и клиентов. Я использую полную и бесплатную community версию OpenVpn, без ограничений по количеству подключений и т.д.
Роман всегда доносит информацию до голодных на знания умов! Спасибо Роман!
Спустя 2 года как я начал знакомится и работать с Mikrotik, первый нормальный разбор по openVPN! Перебрал кучу мануалов по настройке, ни как не получалось подключить клиентов, например компьютер или мобольный телефон, но при этом два Микротика вполне нормально подключались, и вот наконец то! Спасибо ВАМ огромное!
Да, тренер грамотный, очень приятно его слушать, все внятно, последовательно по полочкам разложил, подписался в сердцах на канал )
В новой версии OpenVPN данная схема не работает, можно сделать видео как это исправить?????
В настоящее время в команде, описываемой на 50-х минутах этого видео надо использовать флаг -traditional, иначе ключ будет не таким как надо. То есть, например
openssl rsa -aes256 -in key.key -out key1.key -traditional
Надеюсь кому-то сэкономит время!
актуально для OpenSSL v.3.0.11
Спасибо! Актуально!
Вы просто супер!!! Пересмотрел кучу видосов, куча док, ну никак не получалось поднять VPN на микротик. Посмотрел ваш вебинар и СРАЗУ все заработало!!! Все очень понятно и доступно! Огромное человеческое спасибо!!!! Ждем новых, полезных видосиков!!!
на 32:12 - remote 192.168.192.62 443 - почему тут указывается локальный адрес? разве не внешний адрес роуета после ната тут должен указываться?
а это что за сеть 172.16.16.0 ?
офигенное видео, спасибо, прям то что искал
Скоро будет короткое.
Спасибо! Все четко и понятно, а вот про отзыв сертификатов ничего...
В файле конфигурации со стороны клиента нужно еще и явно указать вид используемого шифрования (в данном случае cipher AES-128-CBC), иначе не взлетит и будет выдавать soft connection reset
Дружище, спасибо за подсказку!!!
Спасибо!))
Спасибо
Огромное человеческое СПАСИБО !!!
Странно, но у меня серверу не важно, какой common name указан в клиентском сертификате, может быть указан любой, и работает он для любого заданного в Secrets логина и пароля.Возможно на сервере установлен параметр username-as-common-name.RouterOS 6.45.8
Снизу в комментариях уже писали о том, что для коннекта нужно явно добавить "cipher AES-256-CBC" (или "AES-128-CBC", в зависимости от того что у вас выбрано в настройках ovpn в роутере) - это работает для клиента под Windows.
Хочу добавить, что в конфиге для популярного приложения OpenVPN Connect под Android нужно писать "data-ciphers AES-256-CBC", иначе эта опция на подхватится и мы будем получать ту же ошибку - "SIGUSR1[soft,connection-reset] received, process restarting" на Android-клиенте.
на сегодня указание cipher AES-256-CBC работает и на винде и на андроиде :)
Хотелось бы посмотреть вариант интима - mikrotik vs mikrotik через openvpn
Благодарю Вас! Все просто и понятно!
Андроид клиент может подключаться без клиентского сертификата, по логину/паролю, по крайней мере у меня заработало. Спасибо за инструкцию!
Спасибо автору! Всё четко по теме. За презентацию отдельное спасибо!
Привет. Впн сервер находится за МТ на котором запрещены forward и outgoing. Mtu discovery работает по icmp. Мешает ли такая конфигурация mt работе mtu discovery?
Очень хорошо зарекомендовал себя на Микротике L2TP+IPsec. Скорость выше, со стабильностью и безопасностью все ок. Клиенты на всех системах уже встроенны
Только некоторые провайдеры дропают
У меня в ssh тоннель заворачивается))) правда, микротик у меня пока нет...
@@Goraev1 так точно, и плюс на клиенте из винды несколько устройств единовременно не могут подключаться с одного роутера. Только 1 устройство одновременно.
Найдите мне клиента для xiaomi на 13 андроиде.
Спасибо за видео
Ваш контент станет еще круче если вы будите добавлять таймкоды.
Здраствуйте спасибо за урок а как делать site to site между двумя микротиками или pfsense+микротик
Почему нельзя было оставить порт для ovpn по умолчанию: 1194? Это просто чтобы был не стандартный порт и сложнее просканить было или потому что у операторов 1194 может быть закрыт а 443 точно всегда открыт?
Здравствуйте! Можно ли поднять OVPN который будет обходить dpi в CHR (RouterOS) ?
It'd be great to have this tutorial in English since I don't speak Russian, but the little I understood was very helpful
Помогите пожалуйста с автозапуском сервиса впн на винде. Ярлык в стартапе отрабатывает. тунель поднимается. если пытаюсь стартовать сервисом (т.е при включении компьютера до ввода пароля пользователя) ничего не происходит. в логах openvpn - Enter private key Password. хотя при первом запуске он был введен и не запрашивал более. Что можно сделать?
Hello guys! I have a question. In our organization we did OpenVPN with Mikrotik devices, 6 shops now is working. But nowadays we changed the main Mikrotik which stays the central office. We copied config old mikrotik how it was, then we put config to new Mikrotik, even certificates was copied as well. Nothing has changed , but Clients did not connect to the new main central office Mikrotik, what you give suggest for me ?? Certificates also copy paste was
Поставили бы вы Key Size 8192, была бы не неполная минута, а час или около того. 🙂
Влияет ли длина ключа СА на быстродействие микротика? И нужно ли выставлять 4096 для СА если хочешь шифрование ключом 4096 ? Или можно оставить СА 2048?
Спасибо за видео.Интересно было бы посмотреть видео где mikrotik выступает в роли клиента,а сервер где-то в интернете на debian к примеру.
там нет никаких отличий. на линуксе нужно tcp, и _не_ добавлять comp-lzo. Микротик даже запушеные в него маршруты примет. У меня есть такие связки. работает без проблем.
41:53 Подскажите в "key usage" оставлены галки по умолчанию хотя в строке создания пользователя через терминал только tls-client. Ведь encipherment это шифрование или он так и так будет работать. Он же оставил crl sign
только tls-client оставлять
не получилось(, в логе пишет : disconnected
А почему CSR в этом видео именуют "неким темплейтом"? Я минут 5 не мог понять о чем идет речь, пока подписывать не начали.
Отлично. Подскажите, как выходить во внешний мир через сервер OpenVPN?
так же как и всегда. Форвард + NAT
Кто знает в чем прикол, почему то падают пинги иногда до нуля и теряется вообще связь по VPN с PFsense? Канал вроде не отваливается, интерфейс держит. происходит не часто, может 4 дня может месяц может больше. Если интерфейс отключить и опять включить не решает, а вот перезагрузка помогает. в логах ничего нет. Включил watchdog, но как то это радикально )) в логах про овпн пусто, просто пакеты перстают ходить, но заметил что сначала пинги растут и теряются. На другой стороне pfsense без доступа. Может ли такой глюк быть в микротик, оборудование менял, настраивал вручную два раза
чето не получается(
remote это выходит белый адрес микротика?
а route сеть к которой он присоединяется?
ошибка "connecting to management interface failed" уже раздражает(
а видео и впрямь хорошее, но как оказалось, для новичков не совсем разжевано хД
привет, разобрался по этому вопросу? у автора в remote указан внутренний адрес почему то, что тоже непонятно для меня. а что за маршрут прописан так и не понял
ставил только openvpn server appliance. мне очень понравилось, а тут конечно боль
Подскажите поддержку TLS еще не прикрутили. Затарились микротиками для опен впн а PRITUNL дает авторизацию только через TLS...
Скажите, почему не запускается скан и снупер. Вылетают
Спасибо за видео. Вроде бы все понятно, как дело дошло до настройки, то отрубает подключение, в логе: : disconnected . Пробовал пересоздавать сертификаты, увеличивал размер ключа не помогло. Подскажите в чем дело может быть?
Решено сменой OpenVPN c ver.2.5.2 на ver.2.4.9
откуда взялся файл конфигурации .ovpn - не могу понять. Заполнять шаблон в ручную... а где шаблон брать?... Микротик не создаёт .ovpn?...
Это по факту txt-файл, но с расширением .ovpn вместо .txt - простой создай новый текстовый документ, впиши в него конфиг и переименуй расширение после точки.
@@BFpsk60 благодарю. да.
мне потребовалось достаточно много часов чтоб это понять и какие разделы мне нужны
в презентации все есть. Или взять шаблон из папки OVPN
@@Fantik22тем не менее, на момент просмотра я не понял :(
Друзья, как сделать, чтобы клиенты видели друг друга? Им не нужна сеть за микротиком, нужно только видеть друг друга. Сам микротик выступает в роли связующего звена.
они же будут в одной подсети, автоматически друг друга будут видеть
Все просто и понятно. А как скорость соединения увеличить?
Увеличить значение pfifo с 50 до 250 для интерфейса OpenVPN на сервере и на клиенте.
Как всегда информативное видео. Подскажите как можно при успешном OpenVPN коннекте добавлять в адресные списки внешние IP. "TCP connection established from IP"
Спасибо
Не спотыкайтесь на предлогах, пожалуйста.
Синхронизация видео и звука. Необходима.
Так лучше. Есть время снять наушники при кашле ;) Роман, огромное спасибо за вашу работу!
Допустим подняли openvpn Как настроить маршрутизацию ? Пример: (Есть локальная сеть Зона "А" 10.20.30.0/22 и есть сеть vpn "Б" 172.16.30.0/24 шлюз openvpn 172.16.30.1. Компьютер из сети "А" не видит компьютер из зоны Б как сделать так что бы они видели друг друга?
Совершенно согласен. Мучаюсь этим же вопросом. Кстати, у меня не появился мост с адресом...
RIP или OSPF. В простецком варианте RIP. В зоне А прописать сеть для зоны А и p2p соседа из зоны Б. На роутере зоны Б- зеркально.
Я правильно понимаю, что пароль при экспорте сертификатов обязателен. :(
Если не ввести пароль, то экспортируется только отрытый ключ. Для экспорта закрытого ключа нужен пароль.
Куда делись последнее видео?
Любопытно узнать как приземлить собственный ip на удалённый микротик, тип берём подсеть и раздаём её удалённым клиентам. Интересно как-то мониторить параметры канала, без его загрузки, смотря, например, на очередь пакетов и скорость, пинги
о. спс. Сэкономил время. МикротИки, для openvpn не очень-то пригодны.
А что пригодно?
Видео не актуально, по крайней мере создание сертификата
а что с сертификатом? его можно сгенерировать в другом месте
Все актуально. И работает. Была засада с openssl на компе.
Синхронизация видео и звука.
Перенес сертификаты с одного микротика на другой, перестал работать openvpn c включенной проверкой клиентского сертификата.Если создавать новые клиентские ключи на новом микроте, то все работает нормально, В чем может-быть проблема?
[Решение]Не знаю в чем прикол, но переделал сертификаты в Easy-rsa, импортировал и все работает.
В сети пишут, что лучше для микротик делать сертификаты сторонними средствами..
я пробовал это сделать специально на одном и том же микротике, создал сертификаты ca, server и client, затем экспортировал их в формате pkcs12 обязательно с паролем, затем удалил СА на микротике - автоматом удалились все сертификаты, затем по очереди, начиная с СА, импортировал сертификаты и все заработало......только теперь при удалении СА все остальные сертификаты не удаляются.....6.47.4
11:20 ..... лоубэк..... мухахаха.... Loopback ..... говорите правильно.
umenya poyavlyaetsya duplicate packet dropping na loge mikrotike i openvpn client disconnectivaetsya( na openvpn cliente osibka : Tue Nov 03 22:10:06 2020 Connection reset, restarting [0]
Tue Nov 03 22:10:06 2020 SIGUSR1[soft,connection-reset] received, process restarting
Tue Nov 03 22:10:06 2020 MANAGEMENT: >STATE:1604427006,RECONNECTING,connection-reset,,,,,
Tue Nov 03 22:10:06 2020 Restart pause, 80 second(s)
кто читает мой коммент
Есть информация о работе модулья shop.neoseo.ru/istochnik-zakaza. Может аналоги кто знает раочие.
ruclips.net/video/kc4HqRhJ3lE/видео.html
1) кто может пояснить почему настройка сервера openvpn без клиентских сертификатов - не безопасна, (ecryption включено в настройках) ?
2) проверил подключиться с андроида без клиентского сертификата-все подключилось, тоже не понятно почему Роман говорит что не поддерживается....?
Смотрите на моем канале - Программу Deployment OpenVpn для простой установки и настройки собственного OpenVpn сервера и клиентов. Я использую полную и бесплатную community версию OpenVpn, без ограничений по количеству подключений и т.д.
На самом деле козлячий мануал. Если вам показалось иначе, то вы ошибаетесь.