Коллеги день добрый, вот уже какой день бьюсь, я хз что я делаю не так. Голова кругом, помогите решить проблему.....
Выдает ошибку client.ovpn
Tue Jan 24 11:00:55 2023 Connection reset, restarting [0]
Сервер ovpn на mikrotik RB2011 UiAS 2HnD
конфигурация
В firewall
filter rules tcp 1194 accept
Конфигурация client.ovpn версия клиента 2.5.8
Лог клиента client.ovpn
Tue Jan 24 11:25:31 2023 Connection reset, restarting [0]
лог на микротике
dublicate packet dropping
TCP connection established from IP address
Что делал.
Пробовал #tls-auth mikrotik.key 1 раскоментировать,
тогда client.ovpn бьет такое
2023-01-24 11:29:10 Insufficient key material or header text not found in file '[[INLINE]]' (0/128/256 bytes found/min/max)
2023-01-24 11:29:10 Exiting due to fatal error
Давал полный путь tls-auth C:\\Program Files\\OpenVPN\\config\\mikrotik.key 1
следом такая ошибка
Options error: Unrecognized option or missing or extra parameter(s) in client.ovpn:108: tls-auth (2.5.8)
Use --help for more information.
Кодировку чиперов менял, уже не знаю куда копать!
Я так понимаю стучится клиент в микротик, но не могут ударить по рукам друг другу, порт пробовал менять, тоже самое.
короче дичь происходит сам не пойму, помогите разобраться
mikrotik ovpn
-
- Сообщения: 4
- Зарегистрирован: 24 янв 2023, 11:00
Нормально делай, нормально будет.
- podarok66
- Модератор
- Сообщения: 4362
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Не слишком понятно, на какой платформе у вас клиент. Ну на всякий случай скажу, вот вам ссылка, где я настраивал для своих приятелей туннель. https://podarok66.livejournal.com/23273.html На Android 5+, на Windows 10, на Iphone 9-11 это работает без проблем. Никаких затруднений я не испытал. Главное, всё точно по мануалу. Приложение использовалось OpenVPN Connect.
Из подводных камней. Надо строго по инструкции делать. Достаточно где-то не там снять/поставить чекбокс, пропустить какой-то пункт и ничего не поднимется.
Для сборки профиля использовал Notepad++, в блокноте Винды я не пробовал собирать, мало ли какие кодировки он там повесит.
Айфоны - головная боль, потому что они экономят энергию жутко, вследствие чего, если юзер не отключил туннель и телефон просто уходит в режим ожидания, IOs пытается отключить всё, что расходует батарею. И туннель в том числе. Но клиент не согласен и включает его опять. И эта катавасия идёт с периодичностью раз в минуту или около того. Весь лог у Микротика будет просто завален однотипными сообщениями о реконнектах. Поэтому дописывал в фаервол стандартные правила типа fail2ban для туннельного порта, чтобы подобных нерадивых юзеров кидало в бан на 6 часов после пяти неудачных подключений.
Дерзайте.
Из подводных камней. Надо строго по инструкции делать. Достаточно где-то не там снять/поставить чекбокс, пропустить какой-то пункт и ничего не поднимется.
Для сборки профиля использовал Notepad++, в блокноте Винды я не пробовал собирать, мало ли какие кодировки он там повесит.
Айфоны - головная боль, потому что они экономят энергию жутко, вследствие чего, если юзер не отключил туннель и телефон просто уходит в режим ожидания, IOs пытается отключить всё, что расходует батарею. И туннель в том числе. Но клиент не согласен и включает его опять. И эта катавасия идёт с периодичностью раз в минуту или около того. Весь лог у Микротика будет просто завален однотипными сообщениями о реконнектах. Поэтому дописывал в фаервол стандартные правила типа fail2ban для туннельного порта, чтобы подобных нерадивых юзеров кидало в бан на 6 часов после пяти неудачных подключений.
Код: Выделить всё
ip firewall filter
add action=drop chain=input comment="drop openvpn brute forcers" dst-port=1194 protocol=tcp src-address-list=openvpn_blacklist
add action=add-src-to-address-list address-list=openvpn_blacklist address-list-timeout=6h chain=input comment="drop openvpn brute forcers" \
connection-state=new dst-port=1194 log=yes log-prefix=openvpn_drop protocol=tcp src-address-list=openvpn_stage3
add action=add-src-to-address-list address-list=openvpn_stage3 address-list-timeout=5m chain=input comment="drop openvpn brute forcers" \
connection-state=new dst-port=1194 protocol=tcp src-address-list=openvpn_stage2
add action=add-src-to-address-list address-list=openvpn_stage2 address-list-timeout=5m chain=input comment="drop openvpn brute forcers" \
connection-state=new dst-port=1194 protocol=tcp src-address-list=openvpn_stage1
add action=add-src-to-address-list address-list=openvpn_stage1 address-list-timeout=5m chain=input comment="drop openvpn brute forcers" \
connection-state=new dst-port=1194 protocol=tcp
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 189
- Зарегистрирован: 13 окт 2018, 20:53
- Откуда: Беларусь
Прошу прощения - а это не описка??? может все-таки
Код: Выделить всё
dev tun
RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
-
- Сообщения: 4
- Зарегистрирован: 24 янв 2023, 11:00
Поставил tun тоже самое.bst-botsman писал(а): ↑24 янв 2023, 15:54Прошу прощения - а это не описка??? может все-такиКод: Выделить всё
dev tun
Tue Jan 24 16:41:33 2023 Connection reset, restarting [0]
Нормально делай, нормально будет.
-
- Сообщения: 4
- Зарегистрирован: 24 янв 2023, 11:00
Думаю сегодня сяду, по пробую по этому мануалу собрать, посмотрю как она себя поведет.podarok66 писал(а): ↑24 янв 2023, 14:56 Не слишком понятно, на какой платформе у вас клиент. Ну на всякий случай скажу, вот вам ссылка, где я настраивал для своих приятелей туннель. https://podarok66.livejournal.com/23273.html На Android 5+, на Windows 10, на Iphone 9-11 это работает без проблем. Никаких затруднений я не испытал. Главное, всё точно по мануалу. Приложение использовалось OpevVPN Connect.
Из подводных камней. Надо строго по инструкции делать. Достаточно где-то не там снять/поставить чекбокс, пропустить какой-то пункт и ничего не поднимется.
Для сборки профиля использовал Notepad++, в блокноте Винды я не пробовал собирать, мало ли какие кодировки он там повесит.
Айфоны - головная боль, потому что они экономят энергию жутко, вследствие чего, если юзер не отключил туннель и телефон просто уходит в режим ожидания, IOs пытается отключить всё, что расходует батарею. И туннель в том числе. Но клиент не согласен и включает его опять. И эта катавасия идёт с периодичностью раз в минуту или около того. Весь лог у Микротика будет просто завален однотипными сообщениями о реконнектах. Поэтому дописывал в фаервол стандартные правила типа fail2ban для туннельного порта, чтобы подобных нерадивых юзеров кидало в бан на 6 часов после пяти неудачных подключений.Дерзайте.Код: Выделить всё
ip firewall filter add action=drop chain=input comment="drop openvpn brute forcers" dst-port=1194 protocol=tcp src-address-list=openvpn_blacklist add action=add-src-to-address-list address-list=openvpn_blacklist address-list-timeout=6h chain=input comment="drop openvpn brute forcers" \ connection-state=new dst-port=1194 log=yes log-prefix=openvpn_drop protocol=tcp src-address-list=openvpn_stage3 add action=add-src-to-address-list address-list=openvpn_stage3 address-list-timeout=5m chain=input comment="drop openvpn brute forcers" \ connection-state=new dst-port=1194 protocol=tcp src-address-list=openvpn_stage2 add action=add-src-to-address-list address-list=openvpn_stage2 address-list-timeout=5m chain=input comment="drop openvpn brute forcers" \ connection-state=new dst-port=1194 protocol=tcp src-address-list=openvpn_stage1 add action=add-src-to-address-list address-list=openvpn_stage1 address-list-timeout=5m chain=input comment="drop openvpn brute forcers" \ connection-state=new dst-port=1194 protocol=tcp
Нормально делай, нормально будет.
-
- Сообщения: 4
- Зарегистрирован: 24 янв 2023, 11:00
Options error: In client2.ovpn:1: Maximum option line length (256) exceeded, line starts with clientpodarok66 писал(а): ↑24 янв 2023, 14:56 Не слишком понятно, на какой платформе у вас клиент. Ну на всякий случай скажу, вот вам ссылка, где я настраивал для своих приятелей туннель. https://podarok66.livejournal.com/23273.html На Android 5+, на Windows 10, на Iphone 9-11 это работает без проблем. Никаких затруднений я не испытал. Главное, всё точно по мануалу. Приложение использовалось OpevVPN Connect.
Из подводных камней. Надо строго по инструкции делать. Достаточно где-то не там снять/поставить чекбокс, пропустить какой-то пункт и ничего не поднимется.
Для сборки профиля использовал Notepad++, в блокноте Винды я не пробовал собирать, мало ли какие кодировки он там повесит.
Айфоны - головная боль, потому что они экономят энергию жутко, вследствие чего, если юзер не отключил туннель и телефон просто уходит в режим ожидания, IOs пытается отключить всё, что расходует батарею. И туннель в том числе. Но клиент не согласен и включает его опять. И эта катавасия идёт с периодичностью раз в минуту или около того. Весь лог у Микротика будет просто завален однотипными сообщениями о реконнектах. Поэтому дописывал в фаервол стандартные правила типа fail2ban для туннельного порта, чтобы подобных нерадивых юзеров кидало в бан на 6 часов после пяти неудачных подключений.Дерзайте.Код: Выделить всё
ip firewall filter add action=drop chain=input comment="drop openvpn brute forcers" dst-port=1194 protocol=tcp src-address-list=openvpn_blacklist add action=add-src-to-address-list address-list=openvpn_blacklist address-list-timeout=6h chain=input comment="drop openvpn brute forcers" \ connection-state=new dst-port=1194 log=yes log-prefix=openvpn_drop protocol=tcp src-address-list=openvpn_stage3 add action=add-src-to-address-list address-list=openvpn_stage3 address-list-timeout=5m chain=input comment="drop openvpn brute forcers" \ connection-state=new dst-port=1194 protocol=tcp src-address-list=openvpn_stage2 add action=add-src-to-address-list address-list=openvpn_stage2 address-list-timeout=5m chain=input comment="drop openvpn brute forcers" \ connection-state=new dst-port=1194 protocol=tcp src-address-list=openvpn_stage1 add action=add-src-to-address-list address-list=openvpn_stage1 address-list-timeout=5m chain=input comment="drop openvpn brute forcers" \ connection-state=new dst-port=1194 protocol=tcp
nobind
dev tun
proto tcp
remote 0.0.0.0 1290
verb 3
resolv-retry infinite
pull
redirect-gateway
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
1234567986
Use --help for more information.
не работает, сделал тупо по картинкам и crtl+c crtl+V
Не работает статья.
Нормально делай, нормально будет.
- podarok66
- Модератор
- Сообщения: 4362
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Весьма странно, у меня всё работает.
Статья моя, писал прямо по горячим следам. Сразу после поднятия туннелей. Да и запускал я тестовый, тот, что делал для статьи.
P. S.: Прямо вот сейчас на одном из роутеров поднял сервер, с нуля всё сгенерил, слепил файл конфигурации и на своём компе с Windows 10 запустил OpenVPN Connect. Файл нормально прочитался в программе и туннель поднялся.
Вот файл без купюр
Адрес локальный, потому что OVPN просовывал через sstp, не было под рукой чистого роутера с белым адресом. Порт поставил тот, который разрешён в фаерволе был, чтобы не курочить конфигурацию роутера, всё таки он работает, на нем сеть висит.
Это как бы на результат не повлияло Проверяйте у себя. Где-то и что-то сделали не так.
Статья моя, писал прямо по горячим следам. Сразу после поднятия туннелей. Да и запускал я тестовый, тот, что делал для статьи.
P. S.: Прямо вот сейчас на одном из роутеров поднял сервер, с нуля всё сгенерил, слепил файл конфигурации и на своём компе с Windows 10 запустил OpenVPN Connect. Файл нормально прочитался в программе и туннель поднялся.
Вот файл без купюр
Код: Выделить всё
client
nobind
dev tun
proto tcp
remote 10.10.10.2 443
verb 3
resolv-retry infinite
pull
redirect-gateway
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
</key>
Это как бы на результат не повлияло Проверяйте у себя. Где-то и что-то сделали не так.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...