ot Hacko(26-03-2016)

reiting (26)   [ dobre ]  [ zle ]

Printer Friendly Variant za otpechatvane

Ako niakoi ot vas si e gubil bezuspeshno vremeto za da podkara tazi kombinatsiia, mozhe bi statiiata shte mu e polezna.

No da znaete - pisana e za neprofesionalisti ot neprofesionalist, koito polzva dogadki i hipotezi, ta po-znaeshtite sum siguren, che shte budat taka lyubezni da napishat niakoi drug komentar sus zabelezhki i... zakani :)

Kakto mozhe bi ste chuvali, openvpn izpolzva asimetrichno kriptirane (kazvat mu oshte shifrovane), t.e. polzva dvoika chasten i publichen klyuch s prilezhashtite im sertifikati. Za tselta na nasheto uprazhnenie, shte ni triabvat udostoveritel (izvesten e oshte kato CA, certificate authority), koito shte podpishe sertifikatite na survura i klienta. Ima mnogo nachini da se napravi tova, predpolagam vseki si ima lyubim, no za da e nai-lesno shte polzvam direktno mikrotik i po-tochno ssh vruzka. Razbira se vsichko tova mozhe da se napravi i prez ueb interfeisa ili windows -koto prilozhenie... vupros na vkus.

Sled kato ustanovim SSH vruzka zapochvame:

'Vlizame' v kategoriia sertifikati
 [MyRouter@MikroTik] > certificate
Generirane na templeiti za sertifikati
 [MyRouter@MikroTik] /certificate> add name=ca-template common-name=ca key-usage=key-cert-sign,crl-sign
  [MyRouter@MikroTik] /certificate> add name=server-template common-name=server
  [MyRouter@MikroTik] /certificate> add name=clinet1-template common-name=client1
Podpisvane na sertifikati
 [MyRouter@MikroTik] /certificate> sign ca-template ca-crl-host=VASHIQT_DOMEIN_ILI_VUNSHNIQT_IP name=ca
  [MyRouter@MikroTik] /certificate> sign server-template ca=ca name=server
  [MyRouter@MikroTik] /certificate> sign client1_template ca=ca name=client1

I taka generirahme i podpisahme sertifikatite. Sega shte gi napravim 'dovereni' i shte napravim eksport na klientskiia sertifikat.

Primeren kod na bash
 [MyRouter@MikroTik] /certificate> set ca trusted=yes
  [MyRouter@MikroTik] /certificate> set server trusted=yes
  
  [MyRouter@MikroTik] /certificate> export-certificate ca
  [MyRouter@MikroTik] /certificate> export-certificate client1 export-passphrase=NQKAKVA_PAROLA
proveriavame dali vsichko e kakto triabva
 [MyRouter@MikroTik] /certificate> print

Konfigurirane na rutera:

Purvo shte napravim grupa adresi koito shte obsluzhvat VPN -a
 [MyRouter@MikroTik] /certificate> /ip pool add name=openvpn ranges=10.10.0.2-10.10.0.10

Tova 10.10.0.0 – si e vash izbor, kakto i kolko adresa shte zadelite za da se svurzvat klientite.

Sled tova triabva da dobavim nov profil koito shte se polzva ot VPN -a
 /ppp profile add name=ovpn local-address=10.10.0.1 remote-address=openvpn
Sledva da si dobavim ime i parola
 /ppp secret add name="username" password="password" service=ovpn profile=ovpn
Sled tova puskame samiia VPN
 [MyRouter@MikroTik] /certificate> /interface ovpn-server server set auth=sha1,md5 certificate=server cipher=blowfish128,aes128,aes192,aes256 default-pr
  ofile=ovpn enabled=yes require-client-certificate=no

Sled tova triabva da razreshim vruzka kum ot vunshniia sviat kum rutera (v zavisimost ot konfiguratsiiata na rutera, mozhe da se nalozhi da se prenarediat pravilata, za da srabotiat pravilno):

Primeren kod na bash
 [MyRouter@MikroTik] /ip firewall filter add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp

 

S tova konfiguratsiiata na survura e zavurshena.

Sega konfiguratsiiata na telefona:

1. Iztegliame si prilozhenie za OpenVPN (osven ako telefonut vi ne go poddurzha). Onova koeto e nai-udobno spored men e: blinkt openvpn

 

Sled tova triabva ot rutera da svalite eksportiranite sertifikati.

Ako izpolzvate web interfeis – namirat se v razdel „Files“.

Kachvate gi na telefona.

Ot prilozhenieto suzdavate nov profil.

 

Sled tova ot purviia tab BASIC se praviat slednite nastroiki:

1. Spirate LZO kompresiiata (poradi niakakva prichina ne se razbira s Mikrotik, veroiatno e nastoika).

2. Type – izbirate User/PW Certificates Ot suotvetnite butoncheta Select izbirate sertifikatite i klyuchovete koito kachihte predi malko.

3. Pishete imeto i parolata koito sa vuvedeni v profila na mikrotik

 

 

Vtori tab ServerList – vuvezhdate adresa na mikrotik -a, i izbirate TCP protokol (osven ako ne razreshite i UDP protokol ot Firewall -a na mirotic).

 

 

Treti tab – IP and DNS – tova veche e spored predpochitaniiata, mozhe da se ostavi kakto si e.

 

 

CHetvurti tab Routing – ako iskate tseliia trafik na telefona da minava prez mikrotik, otbeliazvate suotvetnite nastroiki.

 

 

Peti tab – Autentication/Encription. Vazhno! Mahate otmetkata

Certificate Hostname Check

 

 

SHesti tab – Advanced. Vazhno!

 

 

Nai-dolu shtrakvate vurhu Custom Options

 

 

V prozorcheto pishete:

tls-cipher DEFAULT

 

I ponezhe tova e shtastliviiat vi den, bi triabvalo vsichko da sraboti.

Uspeh! 



<< Podrobno rukovodstvo za ipfw nat | Kak raboti DNS, chast 3 - instalatsiia na DNS cache survur. >>