OpenVPN na routerech MikroTik

diky. jen jsem mel trochu potiz s exportem client.key, ale podarilo se a uz to fici.

Ahoj. Mužeš mi prosímtě vysvětlit, jak jsi vyexportoval (vytvořil) client.key?S nastavením VPN na Mikrotiku se setkávám porvé a vůbec mi to není jasné. Vygenerované certifikáty CA, client a server, jsem si vyexportoval do "files" a tam je mám všecny se stejnými názvy, s příponou .crt.Absoilutně nemám ponětí, jak vygenerovat (vyexportovat) client.key.Díky za radu.

Ahoj, jen dávám tip, že musí být ještě povolený port 1194 na firewallu. Jinak se na Mikrotik zvenku nejde dostat ve výchozím nastavení

Ahoj, super navod funguje i pro me ktery se do konfigurace podiva jednou za rok a staci to vsechno opet zapomennout. Dekuji.
Jen poznamka ke konfiguraci v souboru *.ovpn, odmazat radky "user nobody" a "group nobody". Je to pry pro pripojeni VPNky k linuxu. Pri pripojovani to do logu psalo cervene chybu.
Jeste jednou Diky Jirka

Kde prosím vezmu certifikát <cert> a <key> do konfiguračního souboru? Mám CA, Client a Server.

Nastavil jsem vše dle návodu, vše snad 10x zkontrolováno a když se chci připojit k VPN, tak se to stále točí v connecting -> resumming -> retry (server poll timeout). Nevíte. kde by mohl být problém? 
Jednou jsem v logu viděl chybu "cant assign requested address". 

Dobrý den,
Jak poznám ca,cert a key když mám vygenerované ca.crt, client.crt,server.crt

<ca>-----BEGIN CERTIFICATE-----//zde vlozte certifikat-----END CERTIFICATE-----</ca>
<cert>-----BEGIN CERTIFICATE-----//zde vlozte certifikat-----END CERTIFICATE-----</cert>
<key>-----BEGIN ENCRYPTED PRIVATE KEY-----//zde vlozte certifikat-----END ENCRYPTED PRIVATE KEY-----</key>

 

zdravím,super návod. chci se do toho pustit v MikroTik RouterOS 6.49.2. rád bych se zeptal, zda je toto funkční, ikdyž nemám od internetového providera přidělenou veřejnou IP adresu? pokud ne, jak v totmo případě postupovat bez veřejné IPny?s pozdravem. Brouk

Dobrý den, děkuji za návod. Chtěl bych se zeptat, jak mohu posílat skrze tento VPN tunnel veškerý provoz? 

Jenom pro doplnění, když se připojím k VPN z jiné sítě, jako je moje školní síť, veškerý provoz nejde do VPN. V důsledku toho nemohu používat některé zakázané služby jako ftp, ssh, protože provoz je blokován školním firewallem. PS: push "redirect-gateway autolocal def1" pusH "redirect-gateway def1" Mi v configu clienta nefungují

Dobrý den, v obsahu souboru .ovpn je chyba, která způsobuje nefunkčnost routování. Jedná se o tyto řádky:
push "redirect-gateway autolocal def1"push "redirect-gateway def1"
Direktivy "push" jsou určené pro serverovou stranu, kde server "tlačí" konfiguraci ke klientovi.
Pro nastavení na straně klientského .ovpn souboru to správně má být bez push, viz:
redirect-gateway autolocal def1redirect-gateway def1
S touto konfigurací již routování do lokální sítě funguje. 

Dobrý den, nemohl jsem přijít proč mi to stále nefunguje a pak jsem posunul pravidlo na port 1194 ve Firewallu, nad "drop all not coming from LAN" a připojení začalo fungovat.
U mě spíše nahoda pokus omyl, povolanější asi ví.

Taky až po posunutí nahoru to začalo fungovat. měl jsem to stejně

Zdravim,
vytvarel jsem si VPNku pomoci tohoto navodu a super funguje, take jsem mel v config souboru pro klienta:
push "redirect-gateway autolocal def1"
push "redirect-gateway def1"
A nemohl jsem rozchodit komunikaci jen pres VPNku, ted jsem se pri prochazeni netu docetl nejake info a odmazal z toho ta slova pusch a nakonec jsem se dostal opet v ramci hledani na tuto stranku, kde se o tom pise ze by ten text pusch nemel v klientu byt.
Po odebrani uvozovek a slova push se mi komunikace rozjele smerem do VPNky. Chtel bych se optat, jaky rozdil je v tom prvnim prikazu s textem "autolocal" a bez tohoto textu?
Diky za info. Jirka

Díky za návod. Nepodařilo se mi rozchodit OpenVPN 2.6 proti RouterOS 6, zkoušel jsem různé alg na klientovi a pořád byly v Mikrotiku chyby:disconnected <unkown cipher alg or key size> nebo disconnected <unsupported auth digest>.Nicméně na starší verzi 2.5.6 to funguje dobře.
Na sta

Také mám tento problém, poslední verze klienta openVPN bez ohledu na aktualizace Mikrotiku je funkční 2.5.9, s tím, že akt. v routeru je už verze 7.9.2

Návod mi funguje. Díky moc.

do configu clienta treba ešte doplnik: tls-client  a rozbehlo sa mi to

Můj dobrodinče, čtvrtý návod a konečně funguje. Fakt moc děkuju. Hraju si s touhle záležitostí asi tejden. Potřebuji vyřešit Androidí konektivitu. Firemní  firewall umí proprietární tunel a samozřejmě L2TP. Tož mě napajdlo zkusil OVPN. Zatím mi mto jede na widlích dál uvidíme... Díky moc. JaP

Zdravím.
Postupaval jsem dle návodu (doufám), ale nedaří se. Open VPN klient na Windows mi píše chyby:
VERIFY ERROR: depth=0, error=self-signed certificate: CN=CA,
WARNING: No server certificate verification method has been enabled.
OpenSSL: error:0A000086:SSL routines::certificate verify failed
A spoustu dalších, které se od toho nejspíše odvíjí.
Už nějak netuším co s tím.

Nakonec jsem se propracoval až k chybě:
OpenSSL: error:1C800064:Provider routines::bad decrypt
OpenSSL: error:11800074:PKCS12 routines::pkcs12 cipherfinal error
Ale stejně to jede.

Do konfiguračního souboru jsem musel doplnit řádek tsl-client a nainstalovat starší verzi OpenVPN  2.5 RC1 I601 (s ver 2.6 nefungovalo). Na Mikrtotiku mám 6.49.8.  Už vše funguje. Děkuji.

Prosim ake upravy by boli nutne pokial ma router len ipv6 dynamicku verejnu adresu?

Dobrý den, děkuji za krásný návod, na macOS v Tunnelblicku funguje hned, na WIn s OpenVPN community klientem funguje i s aktuální verzí 2.6.8 po přidání těchto parametrů:
data-ciphers AES-256-CBC
remote-cert-tls server
tls-client

Díky moc za návod :), mikrotik je semtam sraní.., vytáhl sem ze skříně starej RB2011UiAS-2HnD a snažil jsem se rozchodit L2TP-IPsec, jednou fungovalo, pak zase ne.., tak jsem testnul tohle...Připojuju se z macu skz Tunnelblick Udělal jsem to všechno cajk a pak jsem dostával duplicate packet error. Googlil jsem a je to tím, že starší verze routerboardu (já mam 6.49.15) má novější compat-mode a nefunguje tímádem cipher...
Tady je můj cfg - funguje to parádně! clientremote 111.111.111.111 1194auth-user-passcipher AES-256-CBCcompat-mode 2.4.0     <------ TOTO stačí přidat!! dev tunproto tcpnobindauth-nocachescript-security 2persist-keypersist-tundata-ciphers AES-256-CBCremote-cert-tls clienttls-client
redirect-gateway autolocal def1redirect-gateway def1
Zde je link, kde se dozvíte víc! :) https://github.com/OpenVPN/openvpn/issues/253 Pořád o ranec snadnější, než nastavit L2TP-IPsec na tomhle starym krámu..a ještě s cerif a ne s shared pwd :).
Takže super a děkuji! :) Jenom ještě trochu zmatek, protože jsem si vyexportoval všechny klíče.., neni potřeba..CA otevřít .crt Cert otevřít taky .crt   (client!) Key tak to otevřít client.key! 
Vůbec se nemusí teda exportovat server crt, key. Taky jsem zjistil, že v nastavení OVPN serveru je celkem buřt, co si vygenerujem, ale musí se to pak změnit v configu vpn.ovpn :)
Jinak ještě malá drobnost, kdo neví jak..a nikdy nedělal file..tak v Mikrotiku download ty files, otevřít, pak otevřít notepad, tam to napráskat, zvolit všechny přípony a jako koncovku dát .ovpn   Pak to přetáhnout kam člověk chce, já si to třeba poslal na whats, kterej mam na obou zařízeních, protože Winbox pro Mac bohužel neni :D (je ale webcfg..)
Ještě jednou díky :) a snad by mohli vydat na tohle nějakej update i když je to starší zařízení.. Za ten čas kterej se s tim člověk sere(obecně celej Mikrosh1t envir. - mam ještě servery, DNS beru z Centosu atp.. atp..) tak mám nastavený celý cisco a fortigate... :D
Kudos! :) Dobrej návod, totál lajk to asi nedá, ale kdo si k tomu pogooglí, tak to pořeší. Savioro! :)