Καλησπέρα σας!Μια ερώτηση και από έμενα.
έχω στο σπίτι μου εγκατεστημενο ένα mikrotik hap lite router και έχω κάνει τις σχετικές ρυθμίσεις για να δέχομαι vpn client με (PPTP server) συνδέσεις γιατί θέλω από το κινητό μου(android) να έχω πρόσβαση στο σπίτι μου.

Το πρόβλημα μου ξεκινάει από την Cosmote (καρτοκινητο) με συνδέει στο vpn αλλά μετά από μισό λεπτό βλέπω στα log τοu mikrotik terminating... peer is not responding..

για να σας προλάβω επειδή έχω στο κινητό μου και κάρτα vodafone πάλι καρτοκινητο (είναι dual-sim) με την vodafone δεν υπάρχει κανένα απολύτως πρόβλημα!Συνδέομαι κανονικά και δουλεύει για οση ώρα είμαι συνδεδεμένος!

τηλεφώνησα στην cosmote και σίγουρα δεν κατάλαβαν τι ήθελα να κάνω!
μπορεί κάποιος να με βοηθήσει ?

Γενικα το mikrotik ΔΟΥΛΕΥΕΙ, και απ οτι καταλαβαινω και σε σενα λειτουργει κανονικα αφου με την vodafone συνδεεται και λειτουργει κανονικα.
Για να βλεπεις προβλημα με την cosmote πιθανο ειτε να χανεις το σημα ειτε να υπαρχει τεραστιο ping η απλα να μην υπαρχει διαθεσιμο bandwith (οχι διαρκως αλλιως θα το ηξερες φυσικα αλλα ισως να συμβαινει οταν εισαι σε κινηση)
Δοκιμασε να συνδεθεις καπου σταθερα απ το σπιτι ας πουμε, και αν εχει θεμα το 4G στην περιοχη σου γυρνα να κλειδωσει σε 3G και δες αν εχει θεμα. Αν οχι τοτε δυστυχως ειναι θεμα ΟΤΕ κι οχι δικο σου.
Στο pppoe server αν μπορεις να ανεβασεις το keepalive μηπως ειναι θεμα ping ισως να λειτουργησει

Δοκίμασε από το κινητό σου να βάλεις πιο συχνό keepalive μήπως και βοηθήσει την κατάσταση.

Επίσης πως και δεν το έστησες με OpenVPN που είναι και end to end encrypted; Το υποστηρίζουν τα MikroTik.

Δοκίμασε από το κινητό σου να βάλεις πιο συχνό keepalive μήπως και βοηθήσει την κατάσταση.



μολις αυτο συμπληρωσα :P

nick σε ευχαριστώ για την απάντηση σου! τις δόκιμες τις έχω κάνει τόσο από το σπίτι με 4G όσο και σε άλλες περιοχές το αποτέλεσμα είναι το ίδιο ! αποσυνδέομαι μετά από λίγο ! και έχω κάνει και αυτή την δοκιμή που μου είπες και εσύ γύρισα το android μόνο σε 3G και το έκανε και εκεί ! σου έχει τύχει κάτι παρόμοιο ?

Δεν είσαι ο μόνος. Ο λόγος είναι ότι δίνει πρόσβαση μέσω CGN (Carrier Grade NAT) και όχι Internet IP address. Για αυτό δεν μπορείς να κάνεις τίποτα. Μόνο στα mobile internet προγράμματα πρέπει να έχεις επιλογή αλλά θα διασταύρωσε το με το support τους αν επιλέξεις κάτι τέτοιο...

Γενικά όσο περνάει ο καιρός θα ακούμε περισσότερα τέτοια προβλήματα καθώς οι IPv4 διευθύνσεις τελείωσαν στην Ευρώπη (και όχι μόνο) οπότε όλο και περισσότεροι θα δίνουν πρόσβαση μέσω CGN μέχρι να ολοκληρωθεί η μετάβαση στο IPv6 κάποτε... (σε βάθος 10ετίας ίσως). Ο,τι αγόρασαν οι ISPs, αγόρασαν από block διευθύνσεων... Θα πρέπει να βολευτούμε όλοι με ο,τι έχουν, ελπίζω χωρίς επιπλέον χρεώσεις.

nick σε ευχαριστώ για την απάντηση σου! τις δόκιμες τις έχω κάνει τόσο από το σπίτι με 4G όσο και σε άλλες περιοχές το αποτέλεσμα είναι το ίδιο ! αποσυνδέομαι μετά από λίγο ! και έχω κάνει και αυτή την δοκιμή που μου είπες και εσύ γύρισα το android μόνο σε 3G και το έκανε και εκεί ! σου έχει τύχει κάτι παρόμοιο ?


με wind κανενα θεμα.
Επισεις με roaming σπανια εχω θεμα και μονο εκει που χανεται το σημα... Ολα στο default, οποτε μοιαζει να ακουγεται πως κατι παιζει με την cosmote... Ισως οι τεχνικοι τους να μπορουν να δωσουν καποια λυση

Επίσης ψάξε πως περνάς το πρωτόκολλο GRE από NAT στο Mikrotik.

Δες επίσης για τα θέματα ασφαλείας του PPTP. Δεν είναι ασφαλές πλέον. Αν μπορείς υλοποίησε κάτι πιο σύγχρονο, όπως OpenVPN, IPSec...

nick και kioan εννοείτε να ανεβάσω keepalive timeout apo ton pptp server apo 30 sec πόσο να το πάω ?

Στέλιο και έμενα σε κάτι τέτοιο πάει το μυαλό μου άλλα γιατί με συνδέει για έστω και μισό λεπτό με download και upload κανονικά ?
και έχω και ακόμα μια απορία γιατί με την ίδια κάρτα cosmote με app από το playstore μπορώ και συνδεθώ σε free vpn server και εκεί δεν έχω πρόβλημα ?
αρε παιδιά σας ευχαριστώ πολύ για το ενδιαφέρον σας ! μακάρι να το λύσουμε !

nick και kioan εννοείτε να ανεβάσω keepalive timeout apo ton pptp server apo 30 sec πόσο να το πάω ?


αν το χεις 30 το χεις ηδη ανεβασει... ανεβασε λιγο ακομα μηπως και ειναι εκει το θεμα



Επίσης ψάξε πως περνάς το πρωτόκολλο GRE από NAT στο Mikrotik.


Στελιο, σεμιναριο εισαι ρε φιλε, τωρα με βαζεις να ψαχνω κι εγω που δεν εχω θεμα :001_tt2:

Μιας και αναφέρθηκε, βάζω εδώ τις οδηγίες για υλοποίηση OpenVPN server στο Mikrotik



/certificate
add name=ca-template common-name=myCA key-usage=key-cert-sign
add name=server-template common-name=server
add name=myusername-template common-name=myusername

/certificate
sign ca-template name=myCA
sign server-template ca=myCA name=server
sign myusername-template ca=myCA name=myusername

/certificate
set myCA trusted=yes
set server trusted=yes

/certificate export-certificate myCA
/certificate export-certificate myusername export-passphrase=xxxxxxxxx


/ip pool
add name=Pool-OVPN ranges=192.168.99.2-192.168.99.254

/ppp profile
add dns-server=192.168.99.1 local-address=192.168.99.1 name=ovpn_profile remote-address=Pool-OVPN

/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes128 default-profile=ovpn_profile \
enabled=yes require-client-certificate=yes



Στη συνέχεια κατέβασε στον υπολογιστή σου τα certificates και το κλειδί που έκανες export, θα είναι 3 αρχεία:
cert_export_myCA.crt
cert_export_myusername.crt
cert_export_myusername.key


Εάν το private key δημιουργήθηκε με password encryption, θα πρέπει να το ξεκλειδώσεις. Εγώ στο Linux το κάνω τρέχοντας:
openssl rsa -in cert_export_myusername.key -text


Στη συνέχεια δημιούργησε ένα .ovpn αρχείο για τη χρήση του από τον client της επιλογής σου. Ενδεικτικά δίνω έναν σκελετό για το τι περιέχει ένα τέτοιο αρχείο και θα πρέπει να εισάγεις στα κατάλληλα σημεία του το περιεχόμενο των crt και (unencryped) key, καθώς επίσης και να διορθώσεις IPs κλπ ώστε να ανταποκρίνονται στο δικό σου δίκτυο.

client
dev tun

# Το Mikrotik υποστηρίζει μόνο TCP
proto tcp

remote vpn.server.hostname.com 1194

resolv-retry infinite
nobind
persist-key
persist-tun
verb 1
cipher AES-128-CBC
auth SHA1
auth-user-pass

# domain for LAN
dhcp-option DOMAIN mydomain.tld

# DNS server
dhcp-option DNS 192.168.99.1

# routes για τα δίκτυά σου
redirect-gateway def1
route 0.0.0.0 0.0.0.0 192.168.99.1
route 192.168.1.0 255.255.255.0

<ca>
-----BEGIN CERTIFICATE-----
εδώ το CA certificate
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
εδώ το client certificate
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----
εδώ το private key
-----END RSA PRIVATE KEY-----
</key>




Το παραπάνω setup είναι δοκιμασμένο και λειτουργεί απροβλημάτιστα με OpenVPN for Android (https://play.google.com/store/apps/details?id=de.blinkt.openvpn&hl=en) ως client και σύνδεση του από δίκτυο κινητής Vodafone .

stelio το GRE kai την 1723tcp τα έχω δώσει πρόσβαση στο firewall και μάλιστα βλέπω και counter με τα πακέτα να γεμίζουν μόλις συνδέομαι !

θα δω πως μπορώ να κάνω το IPsec...

το openvpn το υποστηρίζουν τα windows και το android πως το ονομάζουν στις ρυθμίσεις ?

Το VPN είναι πολύ γενική έννοια. Σημασία έχει με ποια πρωτόκολλα υλοποιείται αυτό. Το IPSec και αυτό π.χ. δεν δουλεύει με NAT αλλά αν υλοποιήσεις το tunnel mode υποστηρίζει και NAT traversal...

Υλοποιήσεις τύπου OpenVPN δεν έχουν θέμα καθώς βασίζονται στα TCP & UDP πρωτόκολλα.




stelio το GRE kai την 1723tcp τα έχω δώσει πρόσβαση στο firewall και μάλιστα βλέπω και counter με τα πακέτα να γεμίζουν μόλις συνδέομαι !

θα δω πως μπορώ να κάνω το IPsec...

το openvpn το υποστηρίζουν τα windows και το android πως το ονομάζουν στις ρυθμίσεις ?
Δεν έχει σημασία. Πρέπει τα πακέτα να φτάνουν ακέραια από εκεί που τα περιμένει.

Για το OpenVPN κατεβάζεις client. Με αυτό συνδέομαι σπίτι και βλέπω τις κάμερες...

εντάξει παιδιά θα ψάξω θα διαβάσω για αυτά που μου είπατε! δεν είμαι τόσο προχωρημένος εγώ το κάνω για έμενα στο σπίτι μου γιατί μου αρέσουν !
Σας ευχαριστώ για τις πολύτιμες εμπειρίες σας και γνώσης!

δηλαδή το openvpn θέλει να περάσεις και certificate ? σε ένα κινητό και υπολογιστή πωσ το κάνεις να δουλέψει ?

Πανεύκολα. Κάνεις import το .ovpn file και τέλειωσες...

το export το firewall είναι αυτό στελιο αν έχω κάποιο λάθος και εχεις χρόνο να το δεις πες μου σε παρακαλώ!


/ip firewall filteradd action=accept chain=input comment="Accept PPTP" dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=output disabled=yes protocol=gre
add action=accept chain=input comment="Accept For HTTP" dst-port=80 protocol=\
tcp
add action=accept chain=input comment="Accept WinBox" dst-port=8291 protocol=\
tcp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN

Δύσκολο απουσία χρόνου & μηδαμινής σχεδόν γνώσης με τα Mikrotik. Κάποια στιγμή ξεκίνησα να μαθαίνω το ROS αλλά πλάκωσαν άλλα... Που θα πάει θα το ξαναπιάσω...

Ξέχασα να αναφέρω παραπάνω πως και η Vodafone που λειτουργεί κανονικά με OpenVPN, χρησιμοποιεί Carrier Grade NAT.
Μπορεί κανείς να το διαπιστώσει κοιτώντας την IP που παίρνει η συσκευή του και ελέγχοντας αν αυτή είναι στο subnet 100.64.0.0/10 (δηλαδή μεταξύ 100.64.0.1 και 100.127.255.254)

Εγώ με Vodafone CU αυτή τη στιγμή βγαίνω κανονικά χωρίς CGN...

https://openvpn.net/community-resources/how-to/

Εγώ με Vodafone CU αυτή τη στιγμή βγαίνω κανονικά χωρίς CGN...

Κι εγώ με Vodafone CU είμαι, αλλά κλασικά μου IP στο 100.64.0.0/10.

θα ήθελα για ακόμη μια φορά τα φώτα σας! κατάφερα να κανω το ovpn στο mikrotik καταφέρνω να συνδεθώ απο το ιδιο τοπικό δίκτυο που είναι ο υπολογιστής μου με το openvpn cliet για windows αλλα δεν μπορω να παρω internet ουte ping τις άλλες τοπικές συσκευές!
το δικτυο που φτιαχνει το mikrotik ειναι : 10.0.0.0/8
εχω εναν dhcp pool για τα τοπικα μου : 10.255.255.1-10.255.255.254
και εφτιαξα και ενα pool για το ovpn : 10.255.254.1-10.255.254.254
το pc μου παιρνει την ip 10.255.254.1 οταν συνδεεται με το ovpn αλλα δεν παιρνει ίντερνετ!
δεν ξερω τι να κοιταξω το ψαχνω ολο το απογευμα!
ευχαριστω!

Παρέλειψα να αναφέρω τις ρυθμίσεις του ppp profile που θα χρησιμοποιήσει το OpenVPN (έκανα update το post και τις προσέθεσα τώρα).

Καταρχάς θα πρέπει να μικρύνεις το pool που χρησιμοποιεί το OpenVPN διότι θα πρέπει μία από τις διευθύνσεις του να την χρησιμοποιεί ο server (και την IP αυτη θα την έχουν ως gateway οι clients για να στέλνουν την κίνηση μέσω του tunnel).

Έστω 10.255.254.1 ο OpenVPN server. Οπότε θα πρέπει να δηλώσεις:

/ip pool
add name=Pool-OVPN ranges=10.255.254.2-10.255.254.254


Στη συνέχεια να ελέγξεις τις ρυθμίσεις του ppp profile το οποίο θα δηλώσεις στο ovpn serverinterface:

/ppp profile
add dns-server=10.255.254.1 local-address=10.255.254.1 name=ovpn_profile remote-address=Pool-OVPN

/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes128 default-profile=ovpn_profile \
enabled=yes require-client-certificate=yes


Τέλος στον client που χρησιμοποιείς θα πρέπει να δηλώσεις τα routes για τα LAN δίκτυά σου με gateway το 10.255.254.1. Δες το παράδειγμα που είχα δώσει στο προηγούμενο post μου.

Kioan Εισαι ΜΕΓΑΛοΣ!

ωραία τώρα παινώ και internet και μπορώ να κάνω Ping συσκευές!

το μόνο που δεν καταλαβαίνω είναι το εξής εγώ έχω με το μικροτικ το δίκτυο 10.0.0.0/8
LAN Pool εχω 10.255.255.1-10.255.255.254
VPN pool εχω 10.255.254.2-10.255.254.254

στο ΟVPN Server έχει μια ρύθμιση interface-OVPN Server-Netmask εκεί από default είναι 24 δεν πρέπει να το κάνω 8 για να έχει ίδιο submask το vpn μου με το υπόλοιπο δίκτυο ?

όπως και τα routes στο ovpn file τα έχω έτσι
# routes για τα δίκτυά σουredirect-gateway def1
route 0.0.0.0 0.0.0.0 10.255.254.1
route 10.255.254.0 255.255.255.0

δεν πρέπει να γίνουν και αυτα με submask 255.0.0.0 ?

και τώρα όταν συνδέομαι με το virtual tap που φτιάχνει παίρνω τα εξής χαρακτηριστηκα :
Επίθημα DNS συγκεκριμένης σύνδεσης: OpenVPN.r00t.HomeΠεριγραφή: TAP-Windows Adapter V9 #2
Φυσική διεύθυνση: β€Ž00-FF-DB-F7-DF-CB
Ενεργοποιημένο DHCP: Ναι
Διεύθυνση IPv4: 10.255.254.2
Μάσκα υποδικτύου IPv4: 255.255.255.0
Έναρξη χρήσης: Πέμπτη, 5 Δεκεμβρίου 2019 7:03:04 μμ
Λήξη χρήσης: Παρασκευή, 4 Δεκεμβρίου 2020 7:03:04 μμ
Προεπιλεγμένη πύλη IPv4: 10.255.254.1
Διακομιστής DHCP IPv4: 10.255.254.254
Διακομιστής DNS IPv4: 10.255.254.1
Διακομιστής WINS IPv4:
NetBIOS μέσω Tcpip ενεργοποιήθηκε: Ναι
Τοπική διεύθυνση σύνδεσης IPv6: fe80::dc34:d03:4d2:b227%16
Προεπιλεγμένη πύλη IPv6:
Διακομιστής DNS IPv6:


ο διακομιστής DHCP γιατί είναι αυτός είναι σωστό ?
Διακομιστής DHCP IPv4: 10.255.254.254 δεν θα έπρεπε να είναι 10.255.254.1 αφού αυτός είναι ο server ?

ελπίζω να μην σε κούρασα και σε ευχαριστώ για όσα έχεις πει μέχρι τώρα !

Ας γράψω τα δίκτυά σου με subnets για να τα δούμε με τη σειρά (συγνώμη αν τα γράφω πολύ αναλυτικά ενώ τα ξέρεις ήδη, απλά για να μην βεβαιωθούμε ότι δεν μπερδευόμαστε)

LAN subnet: 10.255.255.0 /24
OVPN subnet: 10.255.254.0 /24

MikroTik LAN IP: 10.255.255.1
MikroTik OVPN local address: 10.255.254.1

LAN Pool: 10.255.255.1-10.255.255.254
VPN Pool: 10.255.254.2-10.255.254.254

(όπου το /24 είναι άλλος τρόπος γραφής του netmask 255.255.255.0)


Έχεις δηλώσει σε κάποιο άλλο interface του MikroTik /8 δίκτυο;


Στο /interface ovpn-server server το πεδίο netmask αφορά την μάσκα που εφαρμόζεται στους VPN clients. Εφόσον αυτοί είναι στο 10.255.254.0/24 δίκτυο, θα πρέπει να την δηλώσεις ως 24.


Στο .ovpn θα πρέπει να έχεις

# Δήλωση πως όλο το traffic του client περνάει μέσα από το VPN.
# Aκόμα και αν ζητάει κάτι από το internet, αυτό θα το παίρνει μέσω
# της σύνδεσης του VPN server και όχι βγαίνοντας απευθείας στο internet απο την τοπική γραμμή
redirect-gateway def1

# gateway για όλα τα άγνωστα δίκτυα είναι ο VPN server
route 0.0.0.0 0.0.0.0 10.255.254.1

# gateway για το 10.255.254.0/24 είναι ο VPN server
route 10.255.254.0 255.255.255.0

# Οι εγγραφές που ξεκινάνε με route είναι χρήσιμες για να δηλώσεις τυχόν static routes
# που θέλεις να μάθει ο client όταν συνδέεται, πχ για άλλα subnets στο mikrotik



Δεν ξέρω γιατί δείχνει έτσι τον DHCP server σου. Θεωρητικά το 10.255.254.1 παίζει τον ρόλο του DHCP. Αλλά εφόσον λειτουργεί κανονικά και δίνει IP, DNS server κλπ, δεν έχεις πρόβλημα.

Μαλλον εγω δεν σου τα ειπα καλα συγνωμη

mikrotik :10.0.0.1
Static ip (για DVR,PRINTER,Arduino,ESP tasmota : 10.0.0.2-10.0.0.254 (αυτο δεν ειναι Pool απλα εκει δηλωνω τις συσκευες μου με στατικι ip.

Dhcp pool (wifi-ethernet): 10.255.255.1-10.255.255.254
ολα τα παραπανω ειναι με submask:255.0.0.0 ετσι ορισα το δυκτιο που φτιαχνει το mikrotik me local adress 10.0.0.1/8


vpn pool :(10.255.254.2-10.255.254.254)
ολα μου τα ether kai wlan που ειναι σε submask /8

αρα μηπωσ πρεπει να τα βαλω και αυτα ετσι σχετικα με αθτα που ρωτησα παραπ πανω ?>

Δεν είναι σωστό να τα έχεις σε /8 δίκτυα που αλληλοεπικαλύπτονται (το 10.0.0.0/8 εμπεριέχει και το 10.255.254.0).
Ιδανικά θα πρέπει να μπουν σε διαφορετικά /24 δίκτυα ώστε να routάρονται μεταξύ τους.
πχ να έχεις 3 διαφορετικά δίκτυα (static devices, dynamic και vpn) ή 2 διαφορετικά (με το dhcp pool να αποτελεί μέρος του LAN subnet και να έχεις διαφορετικό vpn subnet)

το λάθος που είναι οτι όρισα στο μικροτικ /8 ?

η να βαλω στο vpn εκτός του 10.0.0.0/8 ? πχ (20.0.0.0/24)

δεν θα μπορουσε να ηταν ovpn server μου το 10.0.0.1(mikrotik δηλαδη?)

Για αρχή το /8 είναι λάθος. Είναι ένα γιγάντιο δίκτυο (16777214 IPs :blink:), χωρίς λόγο.
Δεν έχει νόημα για τέτοιες χρήσεις να βάζεις κάτι πάνω από /24. Το 20.0.0.0/24 δεν μπορείς να το χρησιμοποιήσεις διότι είναι public Internet IPs (ok, θεωρητικά μπορείς αλλά δεν θα έπρεπε να το κάνεις).

Διαφορετικά λογικά δίκτυα στο MiktroTik (πχ trusted, guest wifi, ovpn κλπ) θα πρεπει το καθένα να είναι στο δικό του subnet. Έτσι ο router μπορεί να κάνει σωστά τη δουλειά του και επιπλέον μπορείς να κάνεις και firewalling μεταξύ τους.
Έτσι ο OVPN server πρεπει να έχει IP μεσα στο ίδιο subnet από το οποίο πάιρνουν και οι VPN clients και αυτό το subnet να είναι διαφορετικό από οποιοδήποτε άλλο έχεις δηλωμένο ώστε να μποροει να γίνεται σωστό routing.

Να είσαι καλά που τα εξηγείς τόσο όμορφα αγαπάς πολύ την δουλειά σου!
επειδή μου δούλεψε τουλάχιστον από pc στο ίδιο lan θα προσπαθήσω να το κάνω και από 4g από κινητό αν τα καταφέρω μετά θα το σκεφτώ να αλαλάξω ξανά όλο το δίκτυο!

διάβασα και το manual απο το openvpn αυτο για τον dhcp server που ειναι σε .254 το κάνει το ιδιο το open vpn δημιουργεί ένα εικονικό hcp server εκει ετσι άλλαξα και το vpn-pool σε 10.255.254.2-10.255.254.253

θα προσπαθήσω μάλλον αύριο να φτιάξω και απο android έχουμε και δουλεια αύριο :)

Καλο βραδυ.

Ήθελα να σας ενημερώσω πως τελικά με Οpen VPN δούλεψε άψογα και σε 4G Cosmote , Vodafone!

και το δίκτυο έγινε ως εξής δεν είχα κουράγιο να αλλάξω αυτό που είπε ο Kioan!
Forthnet Router(Σε Bridge) :192.168.1.1
Forthnet Lan:192.168.1.0/24
Mikrotik Router: 10.0.0.1
Mikrotik Lan:10.0.0.0/8
OpenVPN:192.168.2.0/24

Προσέπεσα και ένα Firewall rule όπου άνοιξα την 1194 σε tcp και ένα Firewall Nat me masquerade το δίκτυο 192.168.2.0/24 και περάσαν όλα!

/ip firewall filter add action=accept chain=input comment="Accept OpenVPN TCP" dst-port=1194 protocol=tcp src-port=\
""
add action=accept chain=input comment="Accept OpenVPN UDP" dst-port=1194 protocol=udp





/ip firewall nat add action=masquerade chain=srcnat comment="OpenVPN NAT" out-interface-list=WAN src-address=\
192.168.2.0/24


σας ευχαριστώ !

Μιας και αναφέρθηκε, βάζω εδώ τις οδηγίες για υλοποίηση OpenVPN server στο Mikrotik



/certificate
add name=ca-template common-name=myCA key-usage=key-cert-sign
add name=server-template common-name=server
add name=myusername-template common-name=myusername

/certificate
sign ca-template name=myCA
sign server-template ca=myCA name=server
sign myusername-template ca=myCA name=myusername

/certificate
set myCA trusted=yes
set server trusted=yes

/certificate export-certificate myCA
/certificate export-certificate myusername export-passphrase=xxxxxxxxx


/ip pool
add name=Pool-OVPN ranges=192.168.99.2-192.168.99.254

/ppp profile
add dns-server=192.168.99.1 local-address=192.168.99.1 name=ovpn_profile remote-address=Pool-OVPN

/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes128 default-profile=ovpn_profile \
enabled=yes require-client-certificate=yes



Στη συνέχεια κατέβασε στον υπολογιστή σου τα certificates και το κλειδί που έκανες export, θα είναι 3 αρχεία:
cert_export_myCA.crt
cert_export_myusername.crt
cert_export_myusername.key


Εάν το private key δημιουργήθηκε με password encryption, θα πρέπει να το ξεκλειδώσεις. Εγώ στο Linux το κάνω τρέχοντας:
openssl rsa -in cert_export_myusername.key -text


Στη συνέχεια δημιούργησε ένα .ovpn αρχείο για τη χρήση του από τον client της επιλογής σου. Ενδεικτικά δίνω έναν σκελετό για το τι περιέχει ένα τέτοιο αρχείο και θα πρέπει να εισάγεις στα κατάλληλα σημεία του το περιεχόμενο των crt και (unencryped) key, καθώς επίσης και να διορθώσεις IPs κλπ ώστε να ανταποκρίνονται στο δικό σου δίκτυο.

client
dev tun

# Το Mikrotik υποστηρίζει μόνο TCP
proto tcp

remote vpn.server.hostname.com 1194

resolv-retry infinite
nobind
persist-key
persist-tun
verb 1
cipher AES-128-CBC
auth SHA1
auth-user-pass

# domain for LAN
dhcp-option DOMAIN mydomain.tld

# DNS server
dhcp-option DNS 192.168.99.1

# routes για τα δίκτυά σου
redirect-gateway def1
route 0.0.0.0 0.0.0.0 192.168.99.1
route 192.168.1.0 255.255.255.0

<ca>
-----BEGIN CERTIFICATE-----
εδώ το CA certificate
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
εδώ το client certificate
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----
εδώ το private key
-----END RSA PRIVATE KEY-----
</key>




Το παραπάνω setup είναι δοκιμασμένο και λειτουργεί απροβλημάτιστα με OpenVPN for Android (https://play.google.com/store/apps/details?id=de.blinkt.openvpn&hl=en) ως client και σύνδεση του από δίκτυο κινητής Vodafone .

Με cgnat Vodafone δουλεύει αυτό??

Με Carrier-grade NAT, δεν μπορείς να αποκτήσεις πρόσβαση στην WAN IP του router μιας και αυτή δεν είναι public, internet routed IP, άρα δεν δουλευει.