LINUX-BG Adres : http://www.linux-bg.org |
Mikrotik + Openvpn + Android |
Ot: Hacko Publikuvana na: 26-03-2016 Adres na statiiata: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=486330437 |
Ako niakoi ot vas si e gubil bezuspeshno vremeto za da podkara tazi kombinatsiia, mozhe bi statiiata shte mu e polezna. No da znaete - pisana e za neprofesionalisti ot neprofesionalist, koito polzva dogadki i hipotezi, ta po-znaeshtite sum siguren, che shte budat taka lyubezni da napishat niakoi drug komentar sus zabelezhki i... zakani :) Kakto mozhe bi ste chuvali, openvpn izpolzva asimetrichno kriptirane (kazvat mu oshte shifrovane), t.e. polzva dvoika chasten i publichen klyuch s prilezhashtite im sertifikati. Za tselta na nasheto uprazhnenie, shte ni triabvat udostoveritel (izvesten e oshte kato CA, certificate authority), koito shte podpishe sertifikatite na survura i klienta. Ima mnogo nachini da se napravi tova, predpolagam vseki si ima lyubim, no za da e nai-lesno shte polzvam direktno mikrotik i po-tochno ssh vruzka. Razbira se vsichko tova mozhe da se napravi i prez ueb interfeisa ili windows -koto prilozhenie... vupros na vkus. Sled kato ustanovim SSH vruzka zapochvame:
I taka generirahme i podpisahme sertifikatite. Sega shte gi napravim 'dovereni' i shte napravim eksport na klientskiia sertifikat.
Konfigurirane na rutera:
Tova 10.10.0.0 – si e vash izbor, kakto i kolko adresa shte zadelite za da se svurzvat klientite.
Sled tova triabva da razreshim vruzka kum ot vunshniia sviat kum rutera (v zavisimost ot konfiguratsiiata na rutera, mozhe da se nalozhi da se prenarediat pravilata, za da srabotiat pravilno):
S tova konfiguratsiiata na survura e zavurshena. Sega konfiguratsiiata na telefona: 1. Iztegliame si prilozhenie za OpenVPN (osven ako telefonut vi ne go poddurzha). Onova koeto e nai-udobno spored men e: blinkt openvpn
Sled tova triabva ot rutera da svalite eksportiranite sertifikati. Ako izpolzvate web interfeis – namirat se v razdel „Files“. Kachvate gi na telefona. Ot prilozhenieto suzdavate nov profil.
Sled tova ot purviia tab BASIC se praviat slednite nastroiki: 1. Spirate LZO kompresiiata (poradi niakakva prichina ne se razbira s Mikrotik, veroiatno e nastoika). 2. Type – izbirate User/PW Certificates Ot suotvetnite butoncheta Select izbirate sertifikatite i klyuchovete koito kachihte predi malko. 3. Pishete imeto i parolata koito sa vuvedeni v profila na mikrotik
Vtori tab ServerList – vuvezhdate adresa na mikrotik -a, i izbirate TCP protokol (osven ako ne razreshite i UDP protokol ot Firewall -a na mirotic).
Treti tab – IP and DNS – tova veche e spored predpochitaniiata, mozhe da se ostavi kakto si e.
CHetvurti tab Routing – ako iskate tseliia trafik na telefona da minava prez mikrotik, otbeliazvate suotvetnite nastroiki.
Peti tab – Autentication/Encription. Vazhno! Mahate otmetkata Certificate Hostname Check
SHesti tab – Advanced. Vazhno!
Nai-dolu shtrakvate vurhu Custom Options
V prozorcheto pishete: tls-cipher DEFAULT
I ponezhe tova e shtastliviiat vi den, bi triabvalo vsichko da sraboti. Uspeh! << Podrobno rukovodstvo za ipfw nat | Kak raboti DNS, chast 3 - instalatsiia na DNS cache survur. >> |
Avtorite na saita, kakto i tehnite sutrudnitsi zapazvat avtorskite prava vurhu sobstvenite si materiali publikuvani tuk,
no te sa copyleft t.e. mogat svobodno da budat kopirani i razprostraniavani s iziskvaneto izrichno da se upomenava imeto na avtora,
kakto i da se publikuva na vidno miasto, che te sa vzeti ot originalniia im URL-adres na tozi survur (http://www.linux-bg.org). Avtorskite prava na prevodnite materiali prinadlezhat na tehnite avtori. Ako s publikuvaneto tuk na niakakuv material nevolno sa narusheni nechii prava - sled konstatiraneto na tozi fakt materialut shte bude svalen.
All trademarks, logos and copyrights mentioned on this site are the property of their respective owners.
|