LINUX-BG Адрес : http://www.linux-bg.org |
Mikrotik + Openvpn + Android |
От: Hacko Публикувана на: 26-03-2016 Адрес на статията: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=486330437 |
Ако някой от вас си е губил безуспешно времето за да подкара тази комбинация, може би статията ще му е полезна. Но да знаете - писана е за непрофесионалисти от непрофесионалист, който ползва догадки и хипотези, та по-знаещите съм сигурен, че ще бъдат така любезни да напишат някой друг коментар със забележки и... закани :) Както може би сте чували, openvpn използва асиметрично криптиране (казват му още шифроване), т.е. ползва двойка частен и публичен ключ с прилежащите им сертификати. За целта на нашето упражнение, ще ни трябват удостоверител (известен е още като CA, certificate authority), който ще подпише сертификатите на сървъра и клиента. Има много начини да се направи това, предполагам всеки си има любим, но за да е най-лесно ще ползвам директно микротик и по-точно ssh връзка. Разбира се всичко това може да се направи и през уеб интерфейса или windows -кото приложение... въпрос на вкус. След като установим SSH връзка започваме:
И така генерирахме и подписахме сертификатите. Сега ще ги направим 'доверени' и ще направим експорт на клиентския сертификат.
Конфигуриране на рутера:
Това 10.10.0.0 – си е ваш избор, както и колко адреса ще заделите за да се свързват клиентите.
След това трябва да разрешим връзка към oт външния свят към рутера (в зависимост от конфигурацията на рутера, може да се наложи да се пренаредят правилата, за да сработят правилно):
С това конфигурацията на сървъра е завършена. Сега конфигурацията на телефона: 1. Изтегляме си приложение за OpenVPN (освен ако телефонът ви не го поддържа). Онова което е най-удобно според мен е: blinkt openvpn
След това трябва от рутера да свалите експортираните сертификати. Ако използвате web интерфейс – намират се в раздел „Files“. Качвате ги на телефона. От приложението създавате нов профил.
След това от първия таб BASIC се правят следните настройки: 1. Спирате LZO компресията (поради някаква причина не се разбира с Mikrotik, вероятно е настойка). 2. Type – избирате User/PW Certificates От съответните бутончета Select избирате сертификатите и ключовете които качихте преди малко. 3. Пишете името и паролата които са въведени в профила на mikrotik
Втори таб ServerList – въвеждате адреса на mikrotik -а, и избирате TCP протокол (освен ако не разрешите и UDP протокол от Firewall -а на mirotic).
Трети таб – IP and DNS – това вече е според предпочитанията, може да се остави както си е.
Четвърти таб Routing – ако искате целия трафик на телефона да минава през mikrotik, отбелязвате съответните настройки.
Пети таб – Autentication/Encription. Важно! Махате отметката Certificate Hostname Check
Шести таб – Advanced. Важно!
Най-долу щраквате върху Custom Options
В прозорчето пишете: tls-cipher DEFAULT
И понеже това е щастливият ви ден, би трябвало всичко да сработи. Успех! << Подробно ръководство за ipfw nat | Как работи DNS, част 3 - инсталация на DNS cache сървър. >> |
Авторите на сайта, както и техните сътрудници запазват авторските права върху собствените си материали публикувани тук,
но те са copyleft т.е. могат свободно да бъдат копирани и разпространявани с изискването изрично да се упоменава името на автора,
както и да се публикува на видно място, че те са взети от оригиналния им URL-адрес на този сървър (http://www.linux-bg.org). Авторските права на преводните материали принадлежат на техните автори. Ако с публикуването тук на някакъв материал неволно са нарушени нечии права - след констатирането на този факт материалът ще бъде свален.
All trademarks, logos and copyrights mentioned on this site are the property of their respective owners.
|