Mikrotik server openVPN и Винда + Android
 

Не могу подключить Винду в качестве клиента openVPN к серверу openVPN на Mikrotik
При чем очень важно, чтобы сервер был с dev tun, иначе не подключается Android (он в приоритете), но и Винда нужна..

Вот конф
.
port 1194
proto tcp
dev tun
remote Куда подключаемся
--proto tcp-client
tls-client
;remote-cert-tls server
;topology subnet
route-method exe
pull
;--ip-win32 dynamic
;--ip-win32 adaptive
auth-user-pass "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\auth.cfg"
ca "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\ca.crt"
cert "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\client.crt"
key "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\client.key"
script-security 3
route-delay 10
cipher BF-CBC # Blowfish (default)
;comp-lzo
status openvpn-status.log
;log openvpn.log
verb 3

А вот лог долбанного неподключения.

Tue Aug 26 08:48:05 2014 OpenVPN 2.3.4 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 7 2014
Tue Aug 26 08:48:05 2014 library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.05
Enter Management Password:
Tue Aug 26 08:48:05 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Tue Aug 26 08:48:05 2014 Need hold release from management interface, waiting...
Tue Aug 26 08:48:05 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Tue Aug 26 08:48:05 2014 MANAGEMENT: CMD 'state on'
Tue Aug 26 08:48:05 2014 MANAGEMENT: CMD 'log all on'
Tue Aug 26 08:48:05 2014 MANAGEMENT: CMD 'hold off'
Tue Aug 26 08:48:05 2014 MANAGEMENT: CMD 'hold release'
Tue Aug 26 08:48:05 2014 WARNING: No server certificate verification method has been enabled. See [url]http://openvpn.net/howto.html#mitm[/url] for more info.
Tue Aug 26 08:48:05 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Aug 26 08:48:05 2014 Attempting to establish TCP connection with [AF_INET]куда подключаемся:1194
Tue Aug 26 08:48:05 2014 MANAGEMENT: >STATE:1409028485,TCP_CONNECT,,,
Tue Aug 26 08:48:05 2014 TCP connection established with [AF_INET]куда подключаемся:1194
Tue Aug 26 08:48:05 2014 TCPv4_CLIENT link local: [undef]
Tue Aug 26 08:48:05 2014 TCPv4_CLIENT link remote: [AF_INET]куда подключаемся:1194
Tue Aug 26 08:48:05 2014 MANAGEMENT: >STATE:1409028485,WAIT,,,
Tue Aug 26 08:48:06 2014 MANAGEMENT: >STATE:1409028486,AUTH,,,
Tue Aug 26 08:48:06 2014 TLS: Initial packet from [AF_INET]куда подключаемся:1194, sid=105c2504 fb84f40c
Tue Aug 26 08:48:06 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Aug 26 08:48:07 2014 VERIFY OK: depth=1, C=RU, ST=KRD, L=Krasnodar, O=OpenVPN, OU=changeme, CN=Y, name=changeme, emailAddress=мыло@bk.ru
Tue Aug 26 08:48:07 2014 VERIFY OK: depth=0, C=RU, ST=KRD, L=Krasnodar, O=OpenVPN, OU=changeme, CN=Y, name=changeme, emailAddress=мыло@bk.ru
Tue Aug 26 08:48:08 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Aug 26 08:48:08 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 26 08:48:08 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Aug 26 08:48:08 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 26 08:48:08 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Aug 26 08:48:08 2014 [YANA] Peer Connection Initiated with [AF_INET]куда подключаемся:1194
Tue Aug 26 08:48:10 2014 MANAGEMENT: >STATE:1409028490,GET_CONFIG,,,
Tue Aug 26 08:48:11 2014 SENT CONTROL [Y]: 'PUSH_REQUEST' (status=1)
Tue Aug 26 08:48:16 2014 SENT CONTROL [Y]: 'PUSH_REQUEST' (status=1)
Tue Aug 26 08:48:21 2014 SENT CONTROL [Y]: 'PUSH_REQUEST' (status=1)
Tue Aug 26 08:48:21 2014 PUSH: Received control message: 'PUSH_REPLY,ping 20,ping-restart 60,route 10.6.0.0 255.255.255.0,ifconfig 10.6.0.4 10.6.0.1'
Tue Aug 26 08:48:21 2014 OPTIONS IMPORT: timers and/or timeouts modified
Tue Aug 26 08:48:21 2014 OPTIONS IMPORT: --ifconfig/up options modified
Tue Aug 26 08:48:21 2014 OPTIONS IMPORT: route options modified
Tue Aug 26 08:48:21 2014 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Aug 26 08:48:21 2014 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.6.0.0
Tue Aug 26 08:48:21 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Aug 26 08:48:21 2014 MANAGEMENT: >STATE:1409028501,ASSIGN_IP,,10.6.0.4,
Tue Aug 26 08:48:21 2014 open_tun, tt->ipv6=0
Tue Aug 26 08:48:21 2014 TAP-WIN32 device [Подключение по локальной сети 4] opened: \\.\Global\{7EF5E4E5-0A81-4790-88F3-496447A4693C**.tap
Tue Aug 26 08:48:21 2014 TAP-Windows Driver Version 9.9
Tue Aug 26 08:48:21 2014 Set TAP-Windows TUN subnet mode network/local/netmask = 10.6.0.0/10.6.0.4/[b]10.6.0.1[/b] [SUCCEEDED]
Tue Aug 26 08:48:21 2014 MANAGEMENT: Client disconnected
Tue Aug 26 08:48:21 2014 ERROR: --ip-win32 dynamic [offset] : offset is outside of --ifconfig subnet
Tue Aug 26 08:48:21 2014 Exiting due to fatal error

Сильно смущает, что вместо маски почему то адрес, ну и не совмес понятно, что прописать в клиенте, чтобы он не отсылал запросы PUSH REQUEST.
Есть другая конфигурация openVPN сервера но на Linux, где так же используется tun и topology subnet и Винда без проблем подключается, при этом маска там как и указано 255.255.255.0

Да, и еще странность, при подключении Андроида маска почему-то /32 а на другом канале, шде подключается и Винда, там таки /24

Сертификат на "Mikrotik server openVPN" установил? Даже если не используешь, то он должен быть.

Блин, сертификаты ессно есть.
Если ставлю режим ip (это аналог команды dev tun) к серверу цепляется Android и не цепляется Виндоуз
Если ставлю ethernet (dev tap) с точностью до наоборот, Винда цепляется, Андроид нет.

Нужно настроить аналогично Линуксовому варианту.

dev tun
topology subnet
client-toclient

Вот эти три параметра мне важны, только первый знаю, что это параметр mode = ip
Остальное непонятно.
И такой момент, когда стоит
ip = 10.10.10.1
mask = /24
то при подключении клиентами Микротик и Андроид показывают маску /32
Хотя при подключении Андроидом к Линуксовому серверу маска /24

[quote=Перпетум Мобиле;36309030]tls-client[/quote]
не умеет тик tls ну или я не умею его готовить user+cert(в разных вариациях) без tls могет, на масках с tun-м я б вообще не заморачивался это обычный поинт-ту-поинт со стороны клиента по-идее

[quote=Перпетум Мобиле;36314094]Винда цепляется, Андроид нет.[/quote] скорее всего андроид не может сделать интерфейс tap-ый но давно смотрел, раньше когда ток у меня появился он не умел, рутовали, учили ))) но я как-то не вникал

кста всю жизнь пользовался tun-м, сейчас чет прям проникся, домой с ноута tap-м лазить, удобно когда сетка одноранговая

а плин то я попутал c tls-auth

а в чем кста прикол пользования route-method exe ?

Если подниать на Лин/Вынь openVPN сервер, то там прекрасно работает
dev tun
topology subnet

В таком режиме прекрасно работают и Андроиды (только tun) и Виндоуз (только tap) и о боже, должен работать iOS (только tun)
Сетка получается одноранговая, с маской /24

Микротик тварь не понимает topology subnet, не заложено в него это походу. Так же эта тварь не понимает push route, может только поднять маршрут на сеть за клиентом.
Так что буду переделывать на pptp и пробовать. или мучать дальше с другими настройками и маршрутизацией.

7-701054 > не знаю, это вроде для Виндовых машин предназначено, сильно не разбирался.

[quote=Перпетум Мобиле;36320107] Так же эта тварь не понимает push route[/quote] возможно, я обычно ospf поднимаю да и вообще тики по большей части клиентами работают, ну кое-где шабашил там просто статику прописывал, и интерфейсы делал он и под сервер дает, чтоб потом в правилах фаервола пользовать.

Прописывать маршруты на сеть на Андроиде или айфоне как-то не айс....
Больше всего бесит, что получаю маску /32, и при пробросе порта на машину получил сообщение 403 форбиден бла-бла-бла, вы типа не из того списка сети....

netmask (integer; Default: 24) Subnet mask to be applied to client.

По документации... Забавно, но маска не применяется к клиенту, а только к построению маршрута. :(

да вообще много забавного с ним когда на разных осях из недоинтерфесов, сейчас сижу колупаюсь, сделал на домашнем тике tap серв для себя и сделал на пробрске за тиком на пфсенсе серв и зацепил к нему удаленный тик, tun-м так вот в пфе вообще ниче не роутится нормально без iroute , хотя маршруы в таблице есть прилетели ospf-м и tcpdump на стороне пф-а кажет что улетело, зато на тик ниче не прилетает ... после iroute в опциях клиента и прописыванием сетей которые за openvpn пфсенс начинает прально все двигать, при чем ему становится пофигу site-to-site или remote access он просто все роутит что может))) а со стороны тика маршруты просто ospf-м норм добавляюся да и push route с пф-а работает...зато квага на пфе непойми че вытворяет когда делаешь разные настройки на инерфейсах, хзпочему так, давно замечал уже....

В общем проблему помогли решить наши IT-ники, они просто сделали маскарад во внутреннюю сеть и внутренние компы получают IP миктрота и начинают отвечать.

Так же отписался в Микрот по поводу ошибки выдачи маски клиенту, надеюсь поправят. Ибо не получается иначе одновременно цепляться и Андроидом и Виндой из-за этой ошибки.

Set TAP-Win32 TUN subnet mode network/local/netmask = 10.6.0.0/10.6.0.4/10.6.0.1 [SUCCEEDED]

От какую прикольную маску получает Винда вместо 255.255.255.0 на сервере на Линуксе и валится с ошибкой...

ну, хотя бы миф что openvpn на микротике вообще не работает - развеяли.
А то народ чуть ли не виртуальную машину поднимать предлагал и на ней линукс с опенвпн

[quote=Перпетум Мобиле;36334165]ни просто сделали маскарад во внутреннюю сеть и внутренние компы получают IP миктрота и начинают отвечать. [/quote] тоже самое с пфсенсом без iroute бегает только тунельная сеть ovpn-а можно маскарадиться, по другому не работает )))

16-pinya > да работает он, просто либо в tap либо в tun, то есть либо Винда, либо Андроиды.

А надо чтобы и тем и тем досталось.
Ну и ошибку откопал.
+ если добавят push "route..... " а не только один маршрут, ну а еще лучше добавят udp и lzo то вполне себе рабочая лошадь :)