Комментарии 21
самый главный минус в том, что микротик не умеет UDP. Поэтому пришлось ставить на отдельном сервере.
Ну его ещё научат, я думаю. ROS ещё и близко не законченный продукт.
Не думаю что научат. А сейчас наверное самый хороший способ запустить OpenVPN сервер на микротик это MetaRouter и OpenWRT
Они неоднократно заявляли, что не собираются работать над поддержкой UDP и LZO-компрессии в OpenVPN. Вместо этого, они настаивают, чтобы люди пользовались SSTP, что, как мне кажется, не является решением проблемы.
Да это и то что жать трафик он не может. Сам пытался SoftEther к нему посредством OpenVPN присоединить — не дался. И судя по форуму и заявлениям сжатия и udp не будет.
Мне больше всего не нравится то, что нет возможности настроить OpenVPN только по сертификатам, без аутентификации по паролю.
Нет смысла делать PKI на ROS. Извлечь его оттуда и перенести на комп потом может быть проблемой. А это потребуется как только возникнут любые затруднения с ROSовским пониманием OpenVPN. Например, если WAN-мобильные пользователи (через *G-модемы, планшеты, телефоны) начнут испытывать затруднения вида tcp-in-tcp из-за большого round-trip time своих линков, единственное решение — отказ от TCP, что означает миграцию на OpenVPN на нормальной ОС.
Вообще, OpenVPN на ROS создаёт впечатление решения «на, отвали». Да и вообще, RouterOS вызывает множество вопросов: почему нельзя реализовать хоть мало-мальски вменяемый DNS-сервер, хотя бы на уровне фич dnsmasq? Что мешает сделать нормальные обновления DNS, почему поддерживается только создание-или-изменение A-записей (даже AAAA не может, не говоря уже о записях других типов, а также удалении записей). Почему скриптовый язык так убог, зачем и кому он вообще нужен, когда есть TCL, и опыт Cisco наглядно демонстрирует, что это отлично работает? Почему в CRS любых серий нет аппаратного LACP?
Зато во всех, даже мелких железках за 1600р есть поддержка BGP и MPLS. Видимо это самое нужное, то, что чаще всего используется на микротиках.
Вообще, OpenVPN на ROS создаёт впечатление решения «на, отвали». Да и вообще, RouterOS вызывает множество вопросов: почему нельзя реализовать хоть мало-мальски вменяемый DNS-сервер, хотя бы на уровне фич dnsmasq? Что мешает сделать нормальные обновления DNS, почему поддерживается только создание-или-изменение A-записей (даже AAAA не может, не говоря уже о записях других типов, а также удалении записей). Почему скриптовый язык так убог, зачем и кому он вообще нужен, когда есть TCL, и опыт Cisco наглядно демонстрирует, что это отлично работает? Почему в CRS любых серий нет аппаратного LACP?
Зато во всех, даже мелких железках за 1600р есть поддержка BGP и MPLS. Видимо это самое нужное, то, что чаще всего используется на микротиках.
Вообще-то если рядом еще radius поднять (вроде есть пакет под ROS) можно вполне авторизацию WiFI как у больших сделать с сертификатами и авторизацией по username. Причем в домашних условиях и на одной маленькой железке. Мечта параноика. By the way — готового how-to никто случайно не видел :-).?
Большое спасибо автору за статью! Специально для нубов разжевано до не могу.
После полной настройки клиента и сервера столкнулся с проблемой не критического характера, но паранойя не дает оставить все как есть.
Случай следующий, во время подключения клиента ovpn к серверу на микротике появляется строка в логе «duplicate packet, dropping» всех уровней логирования, в том числе и error (скриншот: prntscr.com/9ta8p2).
Вопрос, что это и как его победить? :)
После полной настройки клиента и сервера столкнулся с проблемой не критического характера, но паранойя не дает оставить все как есть.
Случай следующий, во время подключения клиента ovpn к серверу на микротике появляется строка в логе «duplicate packet, dropping» всех уровней логирования, в том числе и error (скриншот: prntscr.com/9ta8p2).
Вопрос, что это и как его победить? :)
# Если мы хотим задать OVPN-подключение в качестве основного шлюза
route-gateway 192.168.100.1
При этом при подключении в логах клиента есть о прописке роута на 192.168.100.0, но о gateway ни слова :( Ну и ничего не меняется в маршрутизации трафика.
route-gateway 192.168.100.1
При этом при подключении в логах клиента есть о прописке роута на 192.168.100.0, но о gateway ни слова :( Ну и ничего не меняется в маршрутизации трафика.
Спасибо за статью!
А есть у микротика некий аналог «push» — что бы давать клиентам команды маршрутизации в сеть сервера?
А есть у микротика некий аналог «push» — что бы давать клиентам команды маршрутизации в сеть сервера?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Настройка MikroTik в качестве OVPN-сервера с использованием клиентских сертификатов и списка отзыва