返回列表 發帖
gfx86674

Rank: 1
1# 跳轉到 » 倒序看帖
打印
tT
發表於 2015-1-8 12:48 | 顯示全部帖子

[VPN] 讓iOS/Android 用戶透過OpenVPN翻網

本帖最後由 gfx86674 於 2015-1-9 11:26 編輯

相信各位都知道RouterOS很早就支援OpenVPN(OVPN),
但設定iOS/Android可能不是清楚...
所以小弟整理一篇大家都看得懂,讓各位不用懂腦筋去猜想該怎麼動.

使用OVPN最基礎的是要建立憑證 ,
不過小弟不再提憑證是如何製做,而是直接開放給有緣人下載使用.
ca.crt  /ca.key  /client.crt /client.key

先把下載的ca.crt 與ca.key 拉放至winbox的files檔案夾 ,
再至/system certificates 用Import進行匯入.
先匯入ca.crt ,再匯入ca.key ,

匯入完成Certificate會標示KT
要使用OVPN  Server ,當然得先開啟它

iOS/Android要指定使用OVPN的ip-mode ,
而Port可以自訂,小弟將原本預設Port:1194 變成現在的1195

修改/PPP Profile的default-encryption設定檔 ,將DNS-Server變更成您的Gateway
確保路由是經您的RouterOS主機查尋遞出的.


建立用戶的OVPN帳號


因ip-mode遮罩被固定為255.255.255.252不能變更 ,設DHCP-Pool意義不大.
所以直接在帳號指定Local/Remote Address .

也因遮罩限定255.255.255.252 ,所以不同帳號請用不同網段區分.
如範例的10.0.1.0/30 ,10.0.2.0/30 ,10.0.3.0/30 如此類推 ,
更禁用戶同帳號重覆登入Server.

若您是使用小弟所提供的憑證,接下只要打開電腦的記事本,
將下面的文字存為client.ovpn即可.
  1. client
  2. dev tun
  3. remote 1.23.123.123 1195
  4. proto tcp
  5. auth-user-pass pw.txt
  6. redirect-gateway
  7. mute-replay-warnings

  9. ;ca.crt
  10. ;client.crt
  11. ;client.key

  13. <ca>
  14. -----BEGIN CERTIFICATE-----
  15. MIIDBDCCAm2gAwIBAgIJAM8oNFlxL3rSMA0GCSqGSIb3DQEBBAUAMGAxCzAJBgNV
  16. BAYTAlRXMQswCQYDVQQIEwJUVzEPMA0GA1UEBxMGVGFpcGVpMQ0wCwYDVQQKEwRo
  17. b21lMSQwIgYJKoZIhvcNAQkBFhV4eHh4eHh4eEB5YWhvby5jb20udHcwHhcNMTIx
  18. MjExMTYyNDIzWhcNMjIxMjA5MTYyNDIzWjBgMQswCQYDVQQGEwJUVzELMAkGA1UE
  19. CBMCVFcxDzANBgNVBAcTBlRhaXBlaTENMAsGA1UEChMEaG9tZTEkMCIGCSqGSIb3
  20. DQEJARYVeHh4eHh4eHhAeWFob28uY29tLnR3MIGfMA0GCSqGSIb3DQEBAQUAA4GN
  21. ADCBiQKBgQDTIffwLYBebqwQBSGb8K9wIF4b5HRVoTqfS8ZTc07TB07DZkGcTOX4
  22. HhEnW093KggwVfzRLXk+xzw2uK6iQjJo+9DJqsVviw8sQivs+ZtxAgiZSEeMfsY+
  23. 03YRXgYm6N684qt25ge/EyhuO6peWNRIcS3nW1FXPJ736e1+l/yVQQIDAQABo4HF
  24. MIHCMB0GA1UdDgQWBBQAirU2p0HRWb6DBzGl+UpFzghiAzCBkgYDVR0jBIGKMIGH
  25. gBQAirU2p0HRWb6DBzGl+UpFzghiA6FkpGIwYDELMAkGA1UEBhMCVFcxCzAJBgNV
  26. BAgTAlRXMQ8wDQYDVQQHEwZUYWlwZWkxDTALBgNVBAoTBGhvbWUxJDAiBgkqhkiG
  27. 9w0BCQEWFXh4eHh4eHh4QHlhaG9vLmNvbS50d4IJAM8oNFlxL3rSMAwGA1UdEwQF
  28. MAMBAf8wDQYJKoZIhvcNAQEEBQADgYEAP/rusq6/L1Ju0F8yJPUtvqq7i2WevRUW
  29. b0s0uy076XX/njvY16QnGeqZSw7mi59TSa2kEkO/nDPcCE88y6Q2yCl+CHx3hZLe
  30. 2zBuxZ4kCaVlAVks8XI2PbqYxASAH8INzDrqfY0ISsGiIVACGnIS9O3DmUtV93De
  31. NLzt4kDBET0=
  32. -----END CERTIFICATE-----
  33. </ca>

  35. <cert>
  36. -----BEGIN CERTIFICATE-----
  37. MIIDJzCCApCgAwIBAgIBAjANBgkqhkiG9w0BAQQFADBgMQswCQYDVQQGEwJUVzEL
  38. MAkGA1UECBMCVFcxDzANBgNVBAcTBlRhaXBlaTENMAsGA1UEChMEaG9tZTEkMCIG
  39. CSqGSIb3DQEJARYVeHh4eHh4eHhAeWFob28uY29tLnR3MB4XDTEyMTIxMjAxMzA1
  40. OFoXDTIyMTIxMDAxMzA1OFowYDELMAkGA1UEBhMCVFcxCzAJBgNVBAgTAlRXMQ0w
  41. CwYDVQQKEwRob21lMQ8wDQYDVQQDEwZjbGllbnQxJDAiBgkqhkiG9w0BCQEWFXh4
  42. eHh4eHh4QHlhaG9vLmNvbS50dzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA
  43. wUOdzSIu/vGFAoYo8nTzjVzwSftSwxRF9qlMsfFZfE/aVWhUpxFdWFio7qV+oo6j
  44. lSvYsEFGC49rmjs0gpc8eoZo65doMzDwwkN4lxu30Jjqah9HtY5EcZX9R1Gl6t3Q
  45. lhD9nUDEjSDH8SWY81uG60/yvV2V/7WW0eWI2iw4/D0CAwEAAaOB8DCB7TAJBgNV
  46. HRMEAjAAMCwGCWCGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVyYXRlZCBDZXJ0aWZp
  47. Y2F0ZTAdBgNVHQ4EFgQUk6pp88OQjLIFQ+v9UAm6UHC3od4wgZIGA1UdIwSBijCB
  48. h4AUAIq1NqdB0Vm+gwcxpflKRc4IYgOhZKRiMGAxCzAJBgNVBAYTAlRXMQswCQYD
  49. VQQIEwJUVzEPMA0GA1UEBxMGVGFpcGVpMQ0wCwYDVQQKEwRob21lMSQwIgYJKoZI
  50. hvcNAQkBFhV4eHh4eHh4eEB5YWhvby5jb20udHeCCQDPKDRZcS960jANBgkqhkiG
  51. 9w0BAQQFAAOBgQBE2ATIoN2IBunjlIeSz+eXDd4D8du3Si807i/9knICweBY4Wsv
  52. P/9lpozqcklyRdEFG9UjAfYoz54ULEspiPS7oHKd4bIZsabMLBSAxKq4MvEiIto4
  53. EjKCMSt8WTaSAvES63Hva1kqHhWK50eRAg5llS1awdegu2P5nNxxhB9Knw==
  54. -----END CERTIFICATE-----
  55. </cert>

  57. <key>
  58. -----BEGIN RSA PRIVATE KEY-----
  59. MIICXAIBAAKBgQDBQ53NIi7+8YUChijydPONXPBJ+1LDFEX2qUyx8Vl8T9pVaFSn
  60. EV1YWKjupX6ijqOVK9iwQUYLj2uaOzSClzx6hmjrl2gzMPDCQ3iXG7fQmOpqH0e1
  61. jkRxlf1HUaXq3dCWEP2dQMSNIMfxJZjzW4brT/K9XZX/tZbR5YjaLDj8PQIDAQAB
  62. AoGAYhEUdq3c2QLm8mPvTTBpEZdSWsgLs++KnOJFh5mnRbwjVulM40WdbyH1/rq9
  63. anEksqIAH1fP2jfZavaV65ogVk1q8sSZ1JfY6m0SDlvlMryPmEHnuWbUIJsvmKRB
  64. nN/BwAkbbOB1s2uRHntgs+ktxVTATnre0iI+P5PVfmluKkECQQDx71mcrEvDSL6t
  65. MYPgmm99OoaCC0JuqNMbh1Qw2hMSzreCJFDeghPOwfYDcj235egXjuLdWJCNdsLk
  66. oTx72P+tAkEAzH/perm9Rq1M7UUhw+nKIJqFRyf+VtR1Wk3j4xQmbRfvBns2YjGR
  67. 4BB7FlVNyP94z/H1X6TZrrNHPMmjQVlA0QJAU2V9T2t5Bk0KJWt/GSpDKjjFawh0
  68. ku6xLrkchWZ20rHdQghAtCLEry3fHtr/eWfP9Gb1vvUrhwgcMHGABvULVQJAD67X
  69. lwPbkioENkYQ+tdZGvr+saBNjxcoEM7cZTPMZp1pRVP5rbojd82LwwCzwHBnMXta
  70. 2ATqdM1m7zB/hqlzoQJBAOM89P0LVPQrcKlp/fN+lIJQQli3jOsUwLNFYbWlqTr8
  71. sa3O2zc8OFj/aPlcSgvmm64H3z5Aa4Pld6lz58ic8bU=
  72. -----END RSA PRIVATE KEY-----
  73. </key>
複製代碼
注意remote 1.23.123.123 1195 是您的地址與port ,要修正成您的.

另外還得存pw.txt ,是存放用戶帳號/密碼用的.
第一行為用戶帳號 ,第二行則為密碼.
  1. bfs
  2. 123456
複製代碼
iOS/Android裝置安裝OpenVPN Connect ,並將client.ovpn/pw.txt上傳並進行匯入

先關閉OpenVPN Connect的Force AES-CBC ciphersuites
若沒意外 ,iOS/Android接下來即順利與OVPN-Server連線.
  
收藏 分享

gfx86674

Rank: 1
2#
發表於 2015-6-14 11:40 | 顯示全部帖子
本帖最後由 gfx86674 於 2015-6-14 11:45 編輯

回復 7# yiucsw
你是使用什麼版本的RouterOS ?

v6.28有bug ,所以無法連線.
隨後v6.29修正,就正常了;或者選擇降v6.27前的OS版本也可以.

TOP

gfx86674

Rank: 1
3#
發表於 2015-6-17 19:01 | 顯示全部帖子
是最新的版本
yiucsw 發表於 2015-6-17 15:00

那您的可能要注意firewall filter的過濾;
或是因nat設置 ,vpn要求被映射到其它的Server主機.

據聞RouterOS_v6.29.1_OpenVPN_bug並未除盡 ,建議換回v6.27

TOP

gfx86674

Rank: 1
4#
發表於 2015-6-25 14:39 | 顯示全部帖子
回復 11# yiucsw

TOP

gfx86674

Rank: 1
5#
發表於 2015-6-25 16:22 | 顯示全部帖子
本帖最後由 gfx86674 於 2015-6-25 16:30 編輯

回復 14# yiucsw
可以,client主機也需匯入與server相同的憑證(ca.crt/ca.key).

做site-to-site 免匯入client.crt/client.key ,
client這兩個憑證只有行動裝置需要, Windows桌機與Mikrotik主機可以省缺不使用.

接下後續設定與pptp site-to-site完全相同,您可以試試.

TOP

gfx86674

Rank: 1
6#
發表於 2016-8-3 13:52 | 顯示全部帖子
本帖最後由 gfx86674 於 2016-8-3 13:56 編輯

回復 17# yiucsw
不清楚您說的狀況,小弟OS版本是最新的v6.36 ,沒您說的問題.
  1. /ip pool
  2. add name=ovpn-pool ranges=192.168.88.137-192.168.88.139

  4. /ppp profile
  5. add dns-server=192.168.88.1 local-address=192.168.88.136 \
  6.   name=ovpn-profile remote-address=ovpn-pool \
  7.   use-compression=yes use-encryption=no use-mpls=yes

  9. /ppp secret
  10. add name=bfs password=??? remote-address=192.168.88.137 service=ovpn
複製代碼


附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

gfx86674

Rank: 1
7#
發表於 2016-8-4 08:00 | 顯示全部帖子
最近重做OVPN 發現 要加Firewall rule - Input, TCP, dst port, 1195. action: accept.
不知道auth 同 Cipe ...
yiucsw 發表於 2016-8-3 09:31

有可能是您換新手機,忘了把新安裝OpenVPN Connect Force AES-CBC ciphersuites關閉.
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

gfx86674

Rank: 1
8#
發表於 2016-12-7 22:19 | 顯示全部帖子
本帖最後由 gfx86674 於 2016-12-7 22:21 編輯
最近IOS 的 PPTP 没有了。要重新用Openvpn, APPLe IOS, android 都能连接,只是Windows 有问题,看LOG 是有 ...
yiucsw 發表於 2016-12-7 19:53

windows和手機的ovpn設定檔的差別在於,windows不需client.crtclient.key憑證.
所以把連線用的ovpn設定擋內的<cert>.....</cert><key>.....</key> 文字全刪除 ,
windows就能連線了

TOP

gfx86674

Rank: 1
9#
發表於 2016-12-8 18:23 | 顯示全部帖子
用了新的easy-rsa, 现在在Windows 7, Android能连到RB962.
yiucsw 發表於 2016-12-8 12:09

您是指有連線到rb962 ,但內網連接不到是嗎?

若是這個問題,請將vpn/dhcp pool網段分開.
如:
gateway=192.168.1.1/24時 ,切192.168.1.0/24 與 192.168.2.0/24
gateway=192.168.1.1/25時 ,切192.168.1.0/25 與 192.168.1.128/25

切勿:
gateway=192.168.1.1/24時 ,
pool切 192.168.1.101-192.168.1.150 與 192.168.1.151-192.168.1.200
這樣兩個pool還是共用同網段, 父/子路由關聯會建立不起來.

TOP

返回列表