MikroTik —— Site-to-Site connection using OpenVPN

角色

如果你有两只MikrtoTik的routers，那么你可以考虑采用OpenVPN。

以前是不用certificate，但是你要enable OpenVPN server，你必须安装server certificate。大家可以按照[1]去generate certificate，但是所为跟certificates根本用不到，我们先照做。certificate好了，就可import 到OpenVPEN server，那么你就可以enable OpenVPN server了！但是在server side不需要Require Client Certificate。在OpenVPN client side，certificate 选none。至于authentication and cipher要两边一致就可以。现在底层Transport layer还没有收到tls保护，需要再看多一些资料才能完成。

现在的问题：
TLS现在用不了“OpenVPN Server error: TLS failed” [1]。还有用Mikrotik的cert and key generator，必须用passphase，不然generate不到key。

有时间再看[3], 关于tls问题。

References：
[1] https://wiki.mikrotik.com/wiki/Manual:Create_Certificates
[2] https://forum.mikrotik.com/viewtopic.php?t=88372
[3] https://wiki.mikrotik.com/wiki/OpenVPN

角色

根据 gfx86674 CHing [1], generated ca，pk12，按照他的settings成功用tls去保护transport layer信息。

1. /certificate
   
2. add common-name=ca name=ca
   
3. sign ca ca-crl-host=<host_IP>
   
4. add common-name=<host_IP> subject-alt-name=IP:<host_IP> key-usage=tls-server name=server1
   
5. sign server1 ca=ca
   
6. 
   
7. /certificate
   
8. add common-name=rw-client1 name=rw-client1 key-usage=tls-client
   
9. sign rw-client1 ca=ca
   
10. 
    
11. /certificate
    
12. export-certificate rw-client1 export-passphrase=1234567890 type=pkcs12

複製代碼

.

然后download client cert，再upload给client就可以。

References：
[1] http://www.telecom-cafe.com/foru ... =7410&pid=46741

角色

Certificates creation and use information

https://mum.mikrotik.com/present ... 4851_1511945783.pdf
https://mum.mikrotik.com/present ... 3277_1476686469.pdf
https://www.ollegustafsson.com/en/letsencrypt-routeros/
http://tikdis.com/mikrotik-routeros/configurating-routeros/vpn/
https://medium.com/@mason.lyu/mikrotik-routeros-vpn-5b151c351b79
https://gist.github.com/SmartFinn/8324a55a2020c56b267b
https://manuth.life/openvpn-server-mikrotik-routeros
https://www.marthur.com/networki ... vpn-connection/314/
http://david.kow.is/blog/2016/12 ... nt-to-linux-server/
https://freee.zendesk.com/hc/en- ... ter-Setup-by-Freee-
https://janis-streib.de/post/mikrotik-ovpn-security/
https://systemzone.net/mikrotik- ... ith-windows-client/

gfx86674

會不會是您方法錯了？　憑證有分：
ca.crt
server.crt
client.crt

ovpn server掛載的為ca.crt或server.crt，
但client端匯入可是要client.crt，而非ca.crt或server.crt。您會不會這地方錯誤了。

角色

谢谢CHing信息！

在OpenVPN server我是用server.crt, 在client side我是用client.crt，但是不成功，我的估计是我没有按照Mikrotik那样gen certificates （估计有一定的要求，我下次我怎样generate certificates也记录下来，看看CHing是否能看出问题所在），需要输入passphase，等我有空的时候，我跟足Mikrotik的网页去gen certificates，看看是否成功。

gfx86674

谢谢CHing信息！

在OpenVPN server我是用server.crt, 在client side我是用client.crt，但是不成功，我的估 ...
角色 發表於 2019-4-12 21:39

您匯入的憑證type是pem還是pkcs12？　我是用pkcs12。

角色

回復 6# gfx86674

谢谢CHing的指引。因为我不太熟悉certificates的format，都不知道下面的链接产生出来的certificates and keys是否就是你说的format：

https://wiki.mikrotik.com/wiki/Manual:Create_Certificates

gfx86674

回復 7# 角色
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec

gfx86674

測試大致是：
OVPN:


SSTP:

勾選Verify Server Certificate會讓sstp client無法連線。

角色

虽然还没有跟着试，但是先感谢CHing的教程，我一有空就会按着做！然后汇报给CHing我的findings。

gfx86674

sstp server與client的有個pfs的方框，
中文譯為"完美轉發安全性(perfect forward secrecy)"
小弟測試server與client都同為勾選時，連線是不影響的。
不確定這欄位決定vpn之間的握手判斷，還是握手後的封包交換。

角色

回復 11# gfx86674

谢谢CHing的信息，你的方法测试过是没有问题，OpenVPN and SSTP都能用，还有你建议的settings也试过。只不过就是握手问题，他们知道我在用OpenVPN or SSTP。用OpenVPN时，根本都连都连不上，但是通过V2Ray's 的 port forwarding （dokodemo）就可以。而SSTP可以连通（用certificates）但是连上不久后又被切断，SSTP又从新连接。

那么针对上面的OpenVPN or SSTP的连接结果，如果阿爷不让你过，在连接时在我手中发现OpenVPN就马上block，而SSTP就慢一点，估计它好像在check一下资料，看看你连接的SSTP server是否已经登记，还是检查别的，得到结果后就切断。

非常感谢CHing的详细说明怎样利用certificates去连接SSTP or OpenVPN servers。

除了我现在采用的OpenVPN over V2Ray's dokodemo method (port forwarding), CHing是否有别的方法进行两边的site-to-site连接呢？我也知道现在很多local ISP已经有filtering，还没有到出海就被blocked了！！！