LINUX.ORG.RU
ФорумAdmin

OpenVPN + Mikrotik

 ,


0

3

Привет, На убунте поднят OpenVpn сервер.

/etc/openvpn/server.conf
port 1194
proto tcp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA1
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 62.149.128.4"
push "dhcp-option DNS 62.149.132.4"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

Из винды, через OpenVPN-GUI клиент я туда могу приконнектиться. А вот из микротика чего-то не могу. В него *.ovpn сертификат заимпортил, настройки выставляю вроде бы правильные:

https://s17.postimg.org/gi72icrdr/image.png

Ну и сервер пишет:

ovpn-server[27533]: TCP connection established with [AF_INET]46.98.123.129:44511
ovpn-server[27533]: 46.98.123.129:44511 TLS: Initial packet from [AF_INET]46.98.123.129:44511, sid=49005123 b4c78cf0
ovpn-server[27533]: 46.98.123.129:44511 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]46.98.123.129:44511
ovpn-server[27533]: 46.98.123.129:44511 SIGUSR1[soft,tls-error] received, client-instance restarting
ovpn-server[27533]: TCP connection established with [AF_INET]46.98.123.129:12656
ovpn-server[27533]: 46.98.123.129:12656 TLS: Initial packet from [AF_INET]46.98.123.129:12656, sid=08e04862 26f6a09c
ovpn-server[27533]: 46.98.123.129:12656 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]46.98.123.129:12656
ovpn-server[27533]: 46.98.123.129:12656 Fatal TLS error (check_tls_errors_co), restarting
ovpn-server[27533]: 46.98.123.129:12656 SIGUSR1[soft,tls-error] received, client-instance restarting

Может я где-то чего-то забыл? Или оно как-то по другому делается? Спасибо заранее.


comp-lzo

Могу ошибаться, но вроде тики это не умеют.

anc ★★★★★
()
Ответ на: комментарий от IgorZ

comp-lzo не помогло. Может ещё что-то?

tls-cipher DHE-RSA-AES256-SHA

начиная с непомню какой версии RoS микротыковцы молча ужесточили требования к секюрити

anonymous
()
Ответ на: комментарий от anonymous

Спасибо. Нашел ещё как вариант отключить tls-auth, и так оно приконнектилось (cipher AES-256-CBC не менял)

IgorZ
() автор топика

А вот из микротика чего-то не могу.
В него *.ovpn сертификат заимпортил

По этому и не можешь. Самое смешное, если ты еще и админ за деньги работающий.

erfea ★★★★★
()
Ответ на: комментарий от erfea

Ну конечно, куда-же без упрека, вместо того, чтобы просто сказать в чем это было неправильно. Нет, не админ. Дома. Для себя настраиваю.

IgorZ
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.