Nefunguje OVPN server na Mikrotiku - NAT 1:1

googler2

caute,
mam problem nakonfigurovat OpenVPN server na Mikrotiku.
Verejnu IP nemam priamo routovanu na moj MT ale mam "modem" od ISP ktory musim pouzivat ako WAN gateway a ten preposiela vsetko na router mojho ISP. Ten jeho router zase vsetko co odchadza natuje na verejnu ip ktoru mi pridelil a zase vsetko co prichadza na "moju" verejnu ip natuje na WAN gateway z ktorej "prebera" pakety moj MT.

Samotny OVPN na mojom MT: Vsetky certifikaty som vytvoril na MT a nasledne som ich exportoval.
Pri podpisovani CA certu som ako CRL host skusal pouzit aj verejnu ip od ISP a ked to nefungovalo tak som pouzil ip tej WAN gateway.

Vytvoril som dalsi IP pool pre OVPN klientov
Vytvoril som PPP profil (OVPN) do ktoreho som zadal ako local IP LAN adresu mojho MT. Ako remote IP som pouzil vytvoreny pool pre OVPN
V zalozke Secrets som vytvoril uzivatelov bez vyplnenej local ip a u kazdeho pouzivatela som pouzil OVPN profil
Vo firewalle som vytvoril pravidla:
chain=input action=accept protocol=tcp dst-port=1194 log=no log-prefix=""
chain=dstnat action=dst-nat to-addresses=lan ip mojho MT to-ports=1194 protocol=tcp dst-address-list=brana dst-port=1194 log=no log-prefix=""

OVPN server som na MT spustil na porte 1194
certificate: server.crt
Require Client cert
Auth SHA1, Cipher AES256

nosek_tomas2004

Myslím, že mi to právě bez local adress to být nemůže. Mě to bez local adress hází do logu toto: could not add address: local address cannot be 0.0.0.0 (6) .

Jinak jako děláš si VPN site-to-site, nebo např. pro mobily? OVPN na MikroTiku he hóóódně pomalé.

Já přešel na L2TP/IPsec a jsem mnohem více spokojen. Konfigurace jednoduchá a nemusíš se drbat s certifikátama atd.

googler2

nosek_tomas2004 myslis local address v Secrets alebo v certoch (CRL host IP)? Chcem na to prioritme pripajat win/linux klientov.
Ja by som chcel radsej pouzit OVPN kvoli bezpecnosti a osobne radsej pouzivam open source. Nizsia rychlost mi prekazat asi nebude (uvidim).

jcltm

googler2 Ono jde taky o to co znamená nižší rychlost, asi dost záleží na konkrétním CPU. OpenVPN používám už léta jako site-to-site a remote access a nikdy s tím nebyl problém.

nosek_tomas2004

googler2 Ano....myslím v Sectets. Teď jsem zkusil ji zkusil ještě na jedné koneksnšně vymazat a nespojilo se to. Po přidání vše naběhlo.

googler2

jcltm To je pravda ale tu ide o OVPN priamo na Mikrotiku a vo viacerych diskusiach som cital aj ja ze na Mikrotiku je OVPN pomalsie kvoli tomu ze na MT musi ist cez TCP a nemoze ist cez UDP ale myslim si ze mne nizsia rychlost mebude vadit a ked bude tak skusim OVPN cez RPI. Posledna moznost je IPsec na MT

googler2

nosek_tomas2004 Skusim to a uvidim diky za radu.
rsaf To som nevedel mozno to skusim na mikrotiku spustit len tak pre zaujimavost aby som zistil kde robim chybu, otestujem to ako to pojde "naostro" mozno spustim OVPN server na RPI

jcltm

MikroTik neumí OpenVPN s UDP? Takovou základní věc umí i obyčejné domácí ASUS routery...

pgb

jcltm neumí, údajně až beta v7, stejně všechno obecně směřuje k wireguardu

rsaf

V mikrotiku totiž pravděpodobně není OpenVPN ale nějaká jejich vlastní "rychloimplementace". O otevřenosti nemůže být řeč, o bezpečnosti už vůbec ne (co si myslet o bezpečnosti operačního systému, který měl donedávna administrátorská hesla v plaintextu).

googler2

takze som neprisiel na to v com robim chybu pri nastaveni OVPN na MT (ani ked som zadal local ip nefunguje to) ale rozhodol som sa ze skusim OVPN na raspberry pi 3 a narazil som na problem:

Potrebujem mat viacero OVPN uzivatelov s obmedzenym pristupom len do urcitych zariadeni v LAN ale docital som sa ze na raspberry pi sa neda nainstalovat OVPN Access Server.

Viete mi teda niekto poradit ci a ako sa da tento problem vyriesit na raspberry?
Diky

nosek_tomas2004

googler2 Viete mi teda niekto poradit ci a ako sa da tento problem vyriesit na raspberry?

To si myslím, že ani moc nejde, protože (co vím), tak OVPN na interním zařízení v síti, proběhne ještě NATem na tom zařízení (aspoň na mém QNAPu to tak funguje). S RPi jsem nidky moc nepracoval v tomto směru.

googler2 takze som neprisiel na to v com robim chybu pri nastaveni OVPN na MT

A máš ten port (default 1194) povolený ve firewallu? A co si já pamatuji, tak jsem se hodně "nadřel", než jsem vygeneroval funkční certifikáty.

Hoď sem to, co to háže do logu. Rozchodit to musí jít 😀 - (když se to povedlo rozchodit takovému hňupovi jako jsem já 🤣 🤣 )

nosek_tomas2004

Promiň.....ve firewallu to máš - nevšiml jsem si.
Ale myslím, že to pravidlo máš špatně. A navíc v NATu.....
Myslím, že by mělo být nějak takto:
/ip firewall filter add chain=input dst-port=1194 in-interface=ether1 action=accept

A ten port forward v NATu bych smazal. Možná jsem ale špatně pochopil tu " gateway od ISP". Ještě záleží, jestli jsi udělal port forward /DMZ na té gateway. Zkus to nakreslit do obrázku. A do logu to něco háže?

googler2

nosek_tomas2004 Ja si tiez myslim ze problem bude s certifikatmi, skusim do MT naimportovat certifikaty ktore som vygeneroval na RPI (PiVPN) a uvidim
To pravidlo vo firewalle som skusal so zadanym out interface aj bez, pridal som aj deny pravidlo len aby som zistil ci cez tie pravidla vobec nieco "tecie" a "netecie" ani jeden packet.
To NAT pravidlo som pridal prave preto ze moj MT priamo nepracuje s mojou verejnou ip pre moj MT sa tvari ako pseudo verejna ip lokalna IP tej brany od providera ktora nasledne vsetko preposiela na moju "normalnu" verejnu IP. Takze som musel nastavit NAT pravidlo aby si moj MT nechaval "pre seba" pakety ktore pridu z gateway ISP pre port 1194.
Cez toto NAT pravidlo vidim ze nejake pakety "tecu" ale OVPN nejde resp. ked vytvorim OVPN clienta tak sa sice pokusa spojit ale nespoji sa. To je vsetko co hadze do logu.
Skusim s tym este nieco vymysliet.

nosek_tomas2004

googler2 Zkus ještě toto: https://youtu.be/-RZfqIQ6PeA.

Takhle na dálku se pomáhá opravdu špatně, protože nevím, co přesně tam máš nastavené. Zkusím v průběhu týdnu zavzpomínat, jak se mi to povedlo rozchodit (už to bude rok a půl) a zkusím ti sesmolit konfig......

nosek_tomas2004

googler2 Povedlo se mi najít své poznámky pro ty cerifikáty.....tu sou (to co je v tom video co jsem poslal, tak to mi moc fungovat nechtělo) :

/certificate
add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
add name=server-template common-name=server
add name=client1-template common-name=client1

**Teď upravit data (stát, lokace,...) v GUI winbox**



/certificate
sign ca-template name=ovpn1_main-ca
sign ca=ovpn1_main-ca server-template name=ovpn1_server-ca
sign ca=ovpn1_main-ca client1-template name=ovpn1_client-ca

/certificate
set ovpn1_main-ca trusted=yes
set ovpn1_server-ca trusted=yes

/certificate export-certificate ovpn1_main-ca
/certificate export-certificate ovpn1_client-ca export-passphrase=123456789

nosek_tomas2004

googler2 akze som musel nastavit NAT pravidlo aby si moj MT nechaval "pre seba" pakety ktore pridu z gateway ISP pre port 1194.

To si myslím, že nemáš pravdu. DST-NATem se řeší, chceš-li posílat něco do vnitřní sítě za MikoTikem. Pro tento účel, jenž popisuješ, slouží pravidla ve firewallu s "chain input"