ProtonVPN IPsec не подключается

[Mk51]

Здравствуйте.
Пытаюсь настроить mikrotik на работу с ProtonVPN согласно инструкции.
https://protonvpn.com/support/vpn-mikrotik-router/

1. Для этих целей создан аккаунт (бесплатный), скачан профиль nl-free-152.protonvpn.net.udp.ovpn
2. Получены данные login/pass
3. На микротике вписаны все необходимые настройки.

Код: Выделить всё

/tool fetch url="https://protonvpn.com/download/ProtonVPN_ike_root.der"
/certificate import file-name=ProtonVPN_ike_root.der name="Proton VPN CA" passphrase=""

/ip firewall address-list add address=192.168.88.0/24 list=under_protonvpn
/ip firewall mangle add action=mark-connection chain=prerouting src-address-list=under_protonvpn new-connection-mark=under_protonvpn passthrough=yes

/ip ipsec mode-config add connection-mark=under_protonvpn name="ProtonVPN mode config" responder=no
/ip ipsec policy group add name=ProtonVPN
/ip ipsec profile add dh-group=modp4096,modp2048,modp1024 dpd-interval=disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 name="ProtonVPN profile"
/ip ipsec peer add address=nl-free-152.protonvpn.net exchange-mode=ike2 name="ProtonVPN server" profile="ProtonVPN profile"
/ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=0s name="ProtonVPN proposal" pfs-group=none
/ip ipsec identity add auth-method=eap certificate="Proton VPN CA" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config="ProtonVPN mode config" password=MYPASSWORD peer="ProtonVPN server" policy-template-group=ProtonVPN username=MYLOGIN
/ip ipsec policy add dst-address=0.0.0.0/0 group=ProtonVPN proposal="ProtonVPN proposal" src-address=0.0.0.0/0 template=yes

И тишина. active peers - пусто. Пытался вписать ip адрес из ovpn профиля, а не dns именем. Не помогло. Вписывал port - не помогло.
По сравнению с другими vpn профилями, визуально, в логах вообще никаких попыток подключиться...

На мобилке, штатное приложение успешно подключается.

С уважением.

[xvo]

Ну а на микротике в логах что?

Провайдер IPSec не режет?

[Mk51]

Начало



ike2 init retransmit
===== sending 696 bytes from xxx.xxx.5.87[4500] to 185.107.56.148[4500]
1 times of 700 bytes message will be sent to 185.107.56.148[4500]
много много цифр и букв

ike2 init timeout

На любой вопрос к провайдеру, по любым проблемам недоступности он отвечал спокон веков. Лично мы ничего не ограничиваем.

[xvo]

много много цифр и букв

Без debug'а для начала покажите (ipsec,!debug).

На любой вопрос к провайдеру, по любым проблемам недоступности он отвечал спокон веков. Лично мы ничего не ограничиваем.

Ну а фактически?
Если с компа из этой же сети подключаться к тому же серверу?

[Mk51]

С Пк. Штатная программа работает. Режим работы SMART.

Логи роутера.


UPD. А вот с ПК режим подключения через wireguard, openvpn udp не подключается. Через openvpn tcp работает.

Может стоит уточнить, что данный роутер - главный (маршрут по умолчанию) находится во влан с другим роутером (на входе в помещение, в связевом лючке) и друг в друга. Интернет получает и управляет всеми соединениями - главный.

[xvo]

С Пк. Штатная программа работает. Режим работы SMART.

Без понятия, что там у нее за режимы, но она вполне может использовать какой-то другой протокол, который не блочится.
Пробуйте именно IPSec.
Не обязательно до этого сервера, хоть до какого-нибудь.

И кстати, пинговаться то он хотя бы пингуется?

[Mk51]

Да, сервер пингуется.
А режим IPsec отсутствует в опциях выбора протокола в штатной программе на windows.

Ваши вопросы подталкивают к выводу, что все же заблокирован данный протокол. Микротик не умеет openvpn udp. Остается только пробовать TCP. Однако вопрос следующий. Если ovpn файл от сервера не содержит данные crt и key поле, как правильно настроить микротик в работе с openvpn?

[spoiler]

Код: Выделить всё

# ==============================================================================
# Copyright (c) 2016-2020 Proton Technologies AG (Switzerland)
# Email: contact@protonvpn.com
#
# The MIT License (MIT)
#
# Permission is hereby granted, free of charge, to any person obtaining a copy
# of this software and associated documentation files (the "Software"), to deal
# in the Software without restriction, including without limitation the rights
# to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
# copies of the Software, and to permit persons to whom the Software is
# furnished to do so, subject to the following conditions:
#
# The above copyright notice and this permission notice shall be included in all
# copies or substantial portions of the Software.
#
# THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
# IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
# FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
# AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
# LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR # OTHERWISE, ARISING
# FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS
# IN THE SOFTWARE.
# ==============================================================================

# The server you are connecting to is using a circuit in order to separate entry IP from exit IP
# The same entry IP allows to connect to multiple exit IPs in the same data center.

# If you want to explicitly select the exit IP corresponding to server NL-FREE#131 you need to
# append a special suffix to your OpenVPN username.
# Please use "SlfnRC04oWAf9zP5+b:0" in order to enforce exiting through NL-FREE#131.

# If you are a paying user you can also enable the ProtonVPN ad blocker (NetShield) or Moderate NAT:
# Use: "SlfnRC04oWAf9zP5+b:0+f1" to enable anti-malware filtering
# Use: "SlfnRC04oWAf9zP5+b:0+f2" to additionally enable ad-blocking filtering
# Use: "SlfnRC04oWAf9zP5+b:0+nr" to enable Moderate NAT
# Note that you can combine the "+nr" suffix with other suffixes.

client
dev tun
proto tcp

remote 185.107.56.138 8443
remote 185.107.56.138 443
remote 185.107.56.138 7770

remote-random
resolv-retry infinite
nobind

# The following setting is only needed for old OpenVPN clients compatibility. New clients
# automatically negotiate the optimal cipher.
cipher AES-256-CBC

auth SHA512
verb 3

setenv CLIENT_CERT 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun

reneg-sec 0

remote-cert-tls server
auth-user-pass
pull
fast-io


<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
# 2048 bit OpenVPN static key
-----BEGIN OpenVPN Static key V1-----
6acef03f62675b4b1bbd03e53b187727
423cea742242106cb2916a8a4c829756
3d22c7e5cef430b1103c6f66eb1fc5b3
75a672f158e2e2e936c3faa48b035a6d
e17beaac23b5f03b10b868d53d03521d
8ba115059da777a60cbfd7b2c9c57472
78a15b8f6e68a3ef7fd583ec9f398c8b
d4735dab40cbd1e3c62a822e97489186
c30a0b48c7c38ea32ceb056d3fa5a710
e10ccc7a0ddb363b08c3d2777a3395e1
0c0b6080f56309192ab5aacd4b45f55d
a61fc77af39bd81a19218a79762c3386
2df55785075f37d8c71dc8a42097ee43
344739a0dd48d03025b0450cf1fb5e8c
aeb893d9a96d1f15519bb3c4dcb40ee3
16672ea16c012664f8a9f11255518deb
-----END OpenVPN Static key V1-----
</tls-auth>

[/spoiler]

[xvo]

Пробуйте без программы.
Если на сервере вообще никакой инфы в логах о попытках подключения, то очень вероятно, что это проделки провайдера.

[xvo]

Если ovpn файл от сервера не содержит данные crt и key поле, как правильно настроить микротик в работе с openvpn?

А то, что вы приводите, это что?
И кстати, если сервер требует tls-auth, то микротик это тоже не умеет.

Обновляйтесь до 7ки и пробуйте wireguard.
https://protonvpn.com/support/wireguard ... k-routers/

[Mk51]

А то, что вы приводите, это что?

Это конфигурационный файл, который нужно было скачать по инструкции, чтобы, как я понял, по необходимости, вытянуть оттуда данные ip сервера, порты и сохранить у себя файлы ca crt key. Ведь для микротика нужно было еще настраивать сертификаты. Штатный openvpn клиент хавает этот файл без каких либо танцев.

Даже штатное приложение не подключилось по WG...Да и 7ка ведь еще не стабильная. Ради опыта переводить рабочее железо под 7ку, честно говоря, не очень идея. Иными словами не судьба завести vpn...Жаль