LINUX-BG   Adres : http://www.linux-bg.org
Mikrotik + Openvpn + Android
Ot: Hacko
Publikuvana na: 26-03-2016
Adres na statiiata: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=486330437

Ako niakoi ot vas si e gubil bezuspeshno vremeto za da podkara tazi kombinatsiia, mozhe bi statiiata shte mu e polezna.

No da znaete - pisana e za neprofesionalisti ot neprofesionalist, koito polzva dogadki i hipotezi, ta po-znaeshtite sum siguren, che shte budat taka lyubezni da napishat niakoi drug komentar sus zabelezhki i... zakani :)

Kakto mozhe bi ste chuvali, openvpn izpolzva asimetrichno kriptirane (kazvat mu oshte shifrovane), t.e. polzva dvoika chasten i publichen klyuch s prilezhashtite im sertifikati. Za tselta na nasheto uprazhnenie, shte ni triabvat udostoveritel (izvesten e oshte kato CA, certificate authority), koito shte podpishe sertifikatite na survura i klienta. Ima mnogo nachini da se napravi tova, predpolagam vseki si ima lyubim, no za da e nai-lesno shte polzvam direktno mikrotik i po-tochno ssh vruzka. Razbira se vsichko tova mozhe da se napravi i prez ueb interfeisa ili windows -koto prilozhenie... vupros na vkus.

Sled kato ustanovim SSH vruzka zapochvame:

'Vlizame' v kategoriia sertifikati 
 [MyRouter@MikroTik] > certificate
Generirane na templeiti za sertifikati 
 [MyRouter@MikroTik] /certificate> add name=ca-template common-name=ca key-usage=key-cert-sign,crl-sign
  [MyRouter@MikroTik] /certificate> add name=server-template common-name=server
  [MyRouter@MikroTik] /certificate> add name=clinet1-template common-name=client1
Podpisvane na sertifikati 
 [MyRouter@MikroTik] /certificate> sign ca-template ca-crl-host=VASHIQT_DOMEIN_ILI_VUNSHNIQT_IP name=ca
  [MyRouter@MikroTik] /certificate> sign server-template ca=ca name=server
  [MyRouter@MikroTik] /certificate> sign client1_template ca=ca name=client1

I taka generirahme i podpisahme sertifikatite. Sega shte gi napravim 'dovereni' i shte napravim eksport na klientskiia sertifikat.

Primeren kod na bash 
 [MyRouter@MikroTik] /certificate> set ca trusted=yes
  [MyRouter@MikroTik] /certificate> set server trusted=yes
  
  [MyRouter@MikroTik] /certificate> export-certificate ca
  [MyRouter@MikroTik] /certificate> export-certificate client1 export-passphrase=NQKAKVA_PAROLA
proveriavame dali vsichko e kakto triabva 
 [MyRouter@MikroTik] /certificate> print

Konfigurirane na rutera:

Purvo shte napravim grupa adresi koito shte obsluzhvat VPN -a 
 [MyRouter@MikroTik] /certificate> /ip pool add name=openvpn ranges=10.10.0.2-10.10.0.10

Tova 10.10.0.0 – si e vash izbor, kakto i kolko adresa shte zadelite za da se svurzvat klientite.

Sled tova triabva da dobavim nov profil koito shte se polzva ot VPN -a 
 /ppp profile add name=ovpn local-address=10.10.0.1 remote-address=openvpn
Sledva da si dobavim ime i parola 
 /ppp secret add name="username" password="password" service=ovpn profile=ovpn
Sled tova puskame samiia VPN 
 [MyRouter@MikroTik] /certificate> /interface ovpn-server server set auth=sha1,md5 certificate=server cipher=blowfish128,aes128,aes192,aes256 default-pr
  ofile=ovpn enabled=yes require-client-certificate=no

Sled tova triabva da razreshim vruzka kum ot vunshniia sviat kum rutera (v zavisimost ot konfiguratsiiata na rutera, mozhe da se nalozhi da se prenarediat pravilata, za da srabotiat pravilno):

Primeren kod na bash 
 [MyRouter@MikroTik] /ip firewall filter add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp

 

S tova konfiguratsiiata na survura e zavurshena.

Sega konfiguratsiiata na telefona:

1. Iztegliame si prilozhenie za OpenVPN (osven ako telefonut vi ne go poddurzha). Onova koeto e nai-udobno spored men e: blinkt openvpn

 

Sled tova triabva ot rutera da svalite eksportiranite sertifikati.

Ako izpolzvate web interfeis – namirat se v razdel „Files“.

Kachvate gi na telefona.

Ot prilozhenieto suzdavate nov profil.

 

Sled tova ot purviia tab BASIC se praviat slednite nastroiki:

1. Spirate LZO kompresiiata (poradi niakakva prichina ne se razbira s Mikrotik, veroiatno e nastoika).

2. Type – izbirate User/PW Certificates Ot suotvetnite butoncheta Select izbirate sertifikatite i klyuchovete koito kachihte predi malko.

3. Pishete imeto i parolata koito sa vuvedeni v profila na mikrotik

 

 

Vtori tab ServerList – vuvezhdate adresa na mikrotik -a, i izbirate TCP protokol (osven ako ne razreshite i UDP protokol ot Firewall -a na mirotic).

 

 

Treti tab – IP and DNS – tova veche e spored predpochitaniiata, mozhe da se ostavi kakto si e.

 

 

CHetvurti tab Routing – ako iskate tseliia trafik na telefona da minava prez mikrotik, otbeliazvate suotvetnite nastroiki.

 

 

Peti tab – Autentication/Encription. Vazhno! Mahate otmetkata

Certificate Hostname Check

 

 

SHesti tab – Advanced. Vazhno!

 

 

Nai-dolu shtrakvate vurhu Custom Options

 

 

V prozorcheto pishete:

tls-cipher DEFAULT

 

I ponezhe tova e shtastliviiat vi den, bi triabvalo vsichko da sraboti.

Uspeh! 


<< Podrobno rukovodstvo za ipfw nat | Kak raboti DNS, chast 3 - instalatsiia na DNS cache survur. >>

Avtorite na saita, kakto i tehnite sutrudnitsi zapazvat avtorskite prava vurhu sobstvenite si materiali publikuvani tuk, no te sa copyleft t.e. mogat svobodno da budat kopirani i razprostraniavani s iziskvaneto izrichno da se upomenava imeto na avtora, kakto i da se publikuva na vidno miasto, che te sa vzeti ot originalniia im URL-adres na tozi survur (http://www.linux-bg.org). Avtorskite prava na prevodnite materiali prinadlezhat na tehnite avtori. Ako s publikuvaneto tuk na niakakuv material nevolno sa narusheni nechii prava - sled konstatiraneto na tozi fakt materialut shte bude svalen.

All trademarks, logos and copyrights mentioned on this site are the property of their respective owners.
Linux is copyright by Linus Torvalds.
© Linuks za bulgari EOOD 2007
© Slavei Karadjov 1999 - 2006

All rights reserved.

Изпълнението отне: 0 wallclock secs ( 0.17 usr + 0.03 sys = 0.20 CPU)