返回列表 發帖

MikroTik —— Site-to-Site connection using OpenVPN

本帖最後由 角色 於 2019-4-4 14:36 編輯

如果你有两只MikrtoTik的routers,那么你可以考虑采用OpenVPN。

以前是不用certificate,但是你要enable OpenVPN server,你必须安装server certificate。大家可以按照[1]去generate certificate,但是所为跟certificates根本用不到,我们先照做。certificate好了,就可import 到OpenVPEN server,那么你就可以enable OpenVPN server了!但是在server side不需要Require Client Certificate。在OpenVPN client side,certificate 选none。至于authentication and cipher要两边一致就可以。现在底层Transport layer还没有收到tls保护,需要再看多一些资料才能完成。

现在的问题:
TLS现在用不了“OpenVPN Server error: TLS failed” [1]。还有用Mikrotik的cert and key generator,必须用passphase,不然generate不到key。

有时间再看[3], 关于tls问题。

References:
[1] https://wiki.mikrotik.com/wiki/Manual:Create_Certificates
[2] https://forum.mikrotik.com/viewtopic.php?t=88372
[3] https://wiki.mikrotik.com/wiki/OpenVPN

本帖最後由 角色 於 2019-4-14 17:14 編輯

根据 gfx86674 CHing [1], generated ca,pk12,按照他的settings成功用tls去保护transport layer信息。
  1. /certificate
  2. add common-name=ca name=ca
  3. sign ca ca-crl-host=<host_IP>
  4. add common-name=<host_IP> subject-alt-name=IP:<host_IP> key-usage=tls-server name=server1
  5. sign server1 ca=ca

  6. /certificate
  7. add common-name=rw-client1 name=rw-client1 key-usage=tls-client
  8. sign rw-client1 ca=ca

  9. /certificate
  10. export-certificate rw-client1 export-passphrase=1234567890 type=pkcs12
複製代碼
.

然后download client cert,再upload给client就可以。

References:
[1] http://www.telecom-cafe.com/foru ... =7410&pid=46741

TOP

TOP

會不會是您方法錯了? 憑證有分:
ca.crt
server.crt
client.crt

ovpn server掛載的為ca.crt或server.crt,
但client端匯入可是要client.crt,而非ca.crt或server.crt。您會不會這地方錯誤了。

TOP

谢谢CHing信息!

在OpenVPN server我是用server.crt, 在client side我是用client.crt,但是不成功,我的估计是我没有按照Mikrotik那样gen certificates (估计有一定的要求,我下次我怎样generate certificates也记录下来,看看CHing是否能看出问题所在),需要输入passphase,等我有空的时候,我跟足Mikrotik的网页去gen certificates,看看是否成功。

TOP

谢谢CHing信息!

在OpenVPN server我是用server.crt, 在client side我是用client.crt,但是不成功,我的估 ...
角色 發表於 2019-4-12 21:39

您匯入的憑證type是pem還是pkcs12? 我是用pkcs12。

TOP

回復 6# gfx86674

谢谢CHing的指引。因为我不太熟悉certificates的format,都不知道下面的链接产生出来的certificates and keys是否就是你说的format:

https://wiki.mikrotik.com/wiki/Manual:Create_Certificates

TOP

回復 7# 角色
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

本帖最後由 gfx86674 於 2019-4-13 23:52 編輯

測試大致是:
OVPN:


SSTP:

勾選Verify Server Certificate會讓sstp client無法連線。
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

虽然还没有跟着试,但是先感谢CHing的教程,我一有空就会按着做!然后汇报给CHing我的findings。

TOP

本帖最後由 gfx86674 於 2019-4-14 11:38 編輯

sstp server與client的有個pfs的方框,
中文譯為"完美轉發安全性(perfect forward secrecy)"
小弟測試server與client都同為勾選時,連線是不影響的。
不確定這欄位決定vpn之間的握手判斷,還是握手後的封包交換。

TOP

本帖最後由 角色 於 2019-4-14 17:32 編輯

回復 11# gfx86674

谢谢CHing的信息,你的方法测试过是没有问题,OpenVPN and SSTP都能用,还有你建议的settings也试过。只不过就是握手问题,他们知道我在用OpenVPN or SSTP。用OpenVPN时,根本都连都连不上,但是通过V2Ray's 的 port forwarding (dokodemo)就可以。而SSTP可以连通(用certificates)但是连上不久后又被切断,SSTP又从新连接。

那么针对上面的OpenVPN or SSTP的连接结果,如果阿爷不让你过,在连接时在我手中发现OpenVPN就马上block,而SSTP就慢一点,估计它好像在check一下资料,看看你连接的SSTP server是否已经登记,还是检查别的,得到结果后就切断。

非常感谢CHing的详细说明怎样利用certificates去连接SSTP or OpenVPN servers。

除了我现在采用的OpenVPN over V2Ray's dokodemo method (port forwarding), CHing是否有别的方法进行两边的site-to-site连接呢?我也知道现在很多local ISP已经有filtering,还没有到出海就被blocked了!!!

TOP

返回列表