VPN между Debian и Microtic

``` apt install strongswan xl2tpd ``` Потом находишь день на чтение документации, и вуаля, ты в сети.

apt install strongswan xl2tpd

Потом находишь день на чтение документации, и вуаля, ты в сети.

хм, день это обнадеживает, я побился часа 2-3, не получилось и решил написать, думал что дело не хитрое. На андроиде то все работает вообще без проблем )

дело хитрое, сначала добейся работы ipsec, потом l2tp, потом убедись что l2tp поднимается внутри ipsec канала.

если не сложно, дайте ссылку на годную статью, спасибо. А то в гугле много старого

https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients.md#configu...

Чорт побери, это же гениально и все работает. Большое спасибо добрый человек, это то что мне надо

Вообще-то, mikrotik

А чего OpenVPN, не?

Может ТС хочет еще через ведроид и винду потом коннектиться без установки дополнительного софта. Вполне себе юзкейс. А так да, по настройке OpenVPN как-то попроще выглядит.

а микротик уже научили в openvpn через udp?

ну мне принципиально разницы не было, была задача подключится к рабочему пк из linux через microtic, и по статье, указанной alter78rus это получилось. А вы считаете что openvpn будет лучше ?

да самое интересное, что ведроид был настроен за минут 10-15, а вот с linux возникли траблы.

Нет. Но не факт, что ТСу критичен TCP meltdown на его нагрузках и задержках.

Лучше по какому критерию?

По производительности: хуже, но это проявляется при больших потоках данных. Микротики пару десятков мегабит через OpenVPN точно держат без проблем, думаю и больше.

По простоте настройки: и да, и нет. Нужно настраивать только сам OpenVPN, который и тоннель сделает, и шифрование с аутентификацией поднимет. Конфиг достаточно короткий и понятный. Но там аутентификация либо по секретному ключу (надо заранее на машины раскидать), либо через сертификаты (больше телодвижений, но на деле то же самое; сертификаты удобны, когда много машин). Сертификаты легко сгенерить через easy-rsa. Может и по паролю можно настроить, но я не знаю.

По удобству: его нет из коробки нигде, надо устанавливать. Микротики поддерживают только TCP-режим, который подвержен TCP meltdown, который проявляется при херовом линке. На практике не встречался с таким, даже когда клиент сидит на длинном радиолинке в зажопинске.

По защищенности: не слышал, чтобы он был дырявее IPsec.

Но если ты уже настроил ipsec, и он работает достаточно хорошо, то просто забей и радуйся жизни.

А зачем? Вроде бы как TCP итак за глаза.

У микротыков с OpenVPN другая проблема - он с easyrsa3 не дружит. Ну то есть, не поддерживает свойства сертификата server и client.

А потому для микротыков приходится руками серты генерить.

во времена летсэнкриптов и работающего везде ikev2, продолжать хвалить опенвпн и «генерить что-то там руками». серьёзно?

У микротыков с OpenVPN другая проблема - он с easyrsa3 не дружит. Ну то есть, не поддерживает свойства сертификата server и client.

А можно отсюда поподробнее? Тут вот есть сервер OpenVPN с клиентом mikrotik и сертификатами из easyrsa3 и даже работает.

Прошивка из последних?

Я уж года два не делал новых серверов openvpn с микротыками.

Но вообще вот официальная дока https://wiki.mikrotik.com/wiki/OpenVPN#Creating_Certificates_with_Easy-RSA

и в ней используется старый easy-rsa, в котором свойств клиент-сервер не было. Хотя... в ней вот они задают типа сервер и клиент.

Странно. :)

Сейчас не могу посмотреть, какая точно модель и прошивка, но это был один из дешевых микротиков, куплен год назад примерно. Сертификаты делал вообще без задней мысли, и оно завелось сразу.

На самом деле, особых отличий «дорогих» от «дешевых» не замечал.

Там прошивка-то одна и та же.

Пару лет назад было, что подсовываешь сгенерированные easyrsa3 серты - и микротык просто не может установить связь. То ли TLS handshake failed писал, то ли Verify error - я уж и не помню по давности.

Поначалу пенял на качество связи, пока не подключил линуксовый OpenVPN сервер прямым пачкордом к микротыку (клиенту).

Половину гугла перерыл, пока не нашел объяснение.

Да потом уже пожалели, что микротык взяли. Какой-нибудь стартовый Ubiquity стоит почти столько же, но удобства на порядок больше. Для того устройства как раз основная задача была быть VPN-клиентом.