Mikrotik a rozchozeni OpenVPN

1) Základem je certifikát. Pokud nemáte, tak zde najdete návod, jak jej vygenerovat:
http://lukin.savvy.cz/site-cisco-mikrotik/185-mikr otik-vygenerovani-certifikatu-pro-openvpn

2) Nastavení u OpenVPN serveru:
Port 1194
Mode ethernet
Netmask 24
Default profile: vytvořte si v profilech svůj (včechny přepínací volby default, nezapomeňte na nějakou vhodně zvolenou lokální adresu a v remote_address na nějaký vhodně zvolený pool adres)
Auth a CIphr zaškrtněte vše.

3) Nezapomeňte na firewall a na accept input na TCP 1194

4)Důležité je nastavit správně klienta.

U OpenVPN klienta musíte udělat následující záležitosti:
a) Vygenerovaný certifikát dostat do formátu CRT - pokud neumíte, návod najdete na internetu. Pojmenujte si ho ca.crt (pozor, jené jméno musí být shodné s tím, co je uvedeno v ovpn konfiguraci.
b) Připravit si soubor s příponou .ovpn jehož obsahem musí být

********************************
dev tap
remote XXX.XXX.XXX.XXX 1194
proto tcp-client
tls-client
ca ca.crt
auth-user-pass
pull
nobind
persist-key
resolv-retry infinite
verb 3
********************************

XXX.XXX.XXX.XXX je IP adresa serveru
Tento soubor s certifikátem Vám poslouží jako conection profil do OpenVPN.

Certifikat jde vygenerovat i v prostredi Windows. Staci nainstalovat starsi OpenVPN, jehoz soucasti je Easy RSA, pripadne si to stahnout samostatne. Jsou tam pripravene davky pro generovani certifikatu, priapdne jde pouzit navod z vyse uvedeneho webu, openssl.exe je soucasti open-rsa

Děkuji za reakci. Bod č. 1 hotovo, certifikát je v Mikrotiku a svůj už také mám. Ale nějak nerozumím bodu č. 2. Bod 3 také mám. Můžete mi prosím bod 2 trošku rozepsat? V bodě 2 jsem ještě nastavil položku Certificate na Cert1, tedy certifikát, který jsem do Mikrotiku importoval, ale nevím co s Require Client Certificate? S nastavením Default Profile si nejsem moc jistý. Děkuji

OpenVPN je mozno az zbytocne pre tento druh pripojenie, pretunelovat k sebe sa mozes ovela jednoduchsie, aj ked MT ponuka vela sposobov VPN spojenia.
Najjednoduchsie je pptp spojenie, pretoze na oknach nemusis nic instalovat, spojenie moze byt sifrovane a nastavenie je otazka minutky.
Musis vytvorit v polozke profile pripadne novy profil (mozes pouzit stavajuce) a v polozke secrets si spravit konto.

Open VPN není zbytečný. Dokonce je leckdy jednodušší naučit neodborníka dělat tunely OpenVPN než dělat IPsec-em.
Jediné co je na něm složitější je že zatímco u windowsově integrovaných klientů stačí koncovému uživateli leckdy kliknout pouze na připojit a je hotovo, zatímco u OpenVPN klienta je nutné kliknout vícekrát.

Default profile:
/ppp profile
add local-address=XXX.XXX.XXX.XXX name=OpenVPN remote-address=pool_openVPN

kdy XXX je nějaká IP adresa, která bude vystupovat jako brána (naprosto postačuje, když použijete nějakou volnou IP z rozsahu, který máte použit na vnitřní síti na MK) a remote-address by měl obsahovat buď nějaký pool adres a nebo opět jednu pevnou, nepoužitou adresu z Vašeho rozsahu adres. Podle toho, kolik klientů očekáváte.

Ostatní volby v profilu nechejte beze změny.

Pokud použijete jiný adsní prostor, tak nezapomeňte patřičně routovat.

Samořejmě ze strany Mikrotiku najdete vše na této adrese.
OpenVPN

http://wiki.mikrotik.com/wiki/OpenVPN_Configuratio n_Step_by_Step

Moc si cením vašeho času, ale jak jsem psal, sítím moc nerozumím. Zkoušel jsem nmap VEREJNA_IP_ADRESA, předpokladam, že bych tam měl mít viditelný port 1194, ale nemám viz výpis:
Not shown: 1711 filtered ports
PORT STATE SERVICE
22/tcp open ssh
47/tcp closed ni-ftp
80/tcp open http

V přiloze posílám nastavení mikrotika, můžete na to prosím kouknout a říci, co mám špatně? Děkuji.

Pravidlo firewall zdá se v pořádku - alespoň natolik, na kolik mi dá nahlédnout ten printscreen.
U profilul bych Local addres nastavil na nějaké "vyšší číslo", aby nekolidovalo například s IP adresou bridge. Jenomže tam jaksi není vidět, jaká je

Z toho co vidím a co jste se pokusil otisknout na obrazovku by to měl být zbytek v pořádku

Jiná věc je ta veřejná adresa. Prosím Vás, od kdy patří IP 10.109.109.254 do kategorie veřejných IP adres???? Pokud vím, tak rozsah IP 10.0.0.0/8 se řadí do privátního prostoru, který nesmí být na internetu. A nesmí být směrem z internetu adresován. Tedy pokud část obrázku, kterou jste přiložil patří do reality a není to jenom snaha zakrýt skutečnou IP. Pokud je to IP adresa, kterou máte od svého providera skutečně tak Vám doporučuji se na něj obrátit, a zařít řešit tento stav s ním. Osobně to vidím tak, že jste schovaným za nějakým jeho NATem nebo dokonce PATem. To pro začátek.

Víte co, jak píšete, že se v sítích moc nevyznáte - neberte si to co Vám napíšu příliš osobně. Nechci Vám brát sebevědomí, ani se nad Vás povyšovat. Ostatně každý jsme nějak začínali a vždycky jsme byli rádi za každou pomocnou ruku a dobrou radu někoho, kdo se chtěl podělit. Ale vidím to tak, že si berete sousto trošku odprostředka bez bližších vazeb.
Určitě se Vám podaří OpenVPN rozjet, ale pokud nebudete znát ty základy sítí, tak si s Mikrotikem můžete naběhnout. Jako každý prodkut, je i Mikrotik dobrý sluha, ale špatný pán.

Vezměte si mikrotik, který máte a začnete si ním hrát od začátku.
Manuálů a návodů je spousta. Ostatně wiki na Mikrotiku v sobě nese kompletní informaci. Pravda v angličtině.
Na ispforum.cz najdete přímo specializované fóru na mikrotik. Ale pozor! - tady se už musíte ptát trošku odborněji a měl byste mít zvládnutý základ práce s terminálem mikrotiku a umět číst, co Vám tam pošlou.

Obrázek nastavení firewallu je málo. K nastavení fitrů na firewallu je potřeba v terminálu napsat příkaz /ip firewall filter export a teprve tam je vidět celé pravidlo a celá posloupnost po sobě jedoucích pravidel.

Třeba k firewallu jako takovému bych Vám chtěl říct tolik, že - nemáte jedno rozhranní, máte minimálně dvě. A ke každému je vhodné se chovat jinak. Jedno bývá z venku, druhé zevnitř. Nad každým je vhodné spustit filtry. A by se v tom co jsem zahlédl z otisku chováte ke všem rovnocenně. To není ideální a řekl bych dokonce, že je to špatně. Tenhle přístup znamená že buď Vám správně nastavený firewall nemůže propustit vůbec žádnou komunikaci a nebo propouští víc než má a na straně internetu se spoléháte na zabezpečení NATem. A v tom případě nepotřebujete mikrotik a stačí Vám nějaký tuctový router od asusu nebo Tplinku, kde lidé spí klidným spánkem nad takzvaným SPI firewallem, který bývá ve skutečnosti jenom NAT na straně brány.

Hlavů vzhůru, není to tak těžké, jak to vypadá, ale zkuste to vzít od podlahy.

Děkuji za rady, máte naprostou pravdu. "Plácal jsem to tak dlouho, až to začalo fungovat."

Výpis firewalu je:

add action=accept chain=input comment="OpenVPN povolen\ED portu" disabled=no dst-port=1194 protocol=tcp
add action=accept chain=input comment="Povoleni spojeni PPTP" disabled=no dst-port=47 protocol=tcp
add action=accept chain=input disabled=no dst-port=1723 protocol=tcp
add action=accept chain=input comment="Povoleni administrace pomoci prohlizece (nesifrovane)" disabled=no dst-port=80 protocol=tcp
add action=drop chain=input comment="Obrana pred utokem ssh brute forcers (umozni prihlasit se 3x do minuty, pak BAN na 30 dni)\
\nZdroj: http://wiki.mikrotik.com/wiki/Bruteforce_login_pre vention_%28FTP_%26_SSH" disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new disabled=no dst-port=22 protocol=tcp
add action=accept chain=input comment="povolen\ED SSH z internetu" disabled=no dst-port=22 protocol=tcp
add action=accept chain=input comment="default configuration" disabled=no protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established disabled=no
add action=accept chain=input comment="default configuration" connection-state=related disabled=no
add action=drop chain=input comment="default configuration" disabled=no in-interface=ether1-gateway
add action=accept chain=forward comment="default configuration" connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" connection-state=related disabled=no
add action=drop chain=forward comment="default configuration" connection-state=invalid disabled=no

Pokusil jsem se nakreslit mapu sítě. Snad to k něčemu bude. Můžete mě alespoň naťuknout, kde bych měl začít opravovat nastaveni Mikrotiku. Děkuji za váš čas.

Me porad nejde do hlavy, kam mám v Mikrotiku napsat veřejnou IP adresu, kterou mi přidělil poskytovatel a "svázal" jí s privátní adresou 10.109.109.169. Pokud se chci na mikrotik připojit z venku pomocí ssh, třeba z práce, tedy na adresu 81.201.X.Y, tak vše funguje. I přes nmap vidím port 22 otevřený, stejně tak funguje port 80 a můžu tedy využít pro nastavení Mikrotiku webové rozhraní z práce, "kavárny", ... Ale port 1194 pro OpenVPN zobrazen není.
Nevím, co mám tedy špatně. Je třeba někde v Mikrotiku nastavovat veřejnou IP adresu 81.201.X.Y? Nebo poskytovatel když někdo ve světě zadá mojí veřejnou IP adresu 81.201.X.Y provede "překlad" na adresu 10.109.109.169 a ozve se můj Mikrotik?

Ano aj nie, zalezi ako nastavil ISP forwardovanie verejnej IP adres...vacsinou sa robi NAT 1:1, cize netreba nic zadavat. Problem moze byt pri kontakte tejte verejnej ip adresy z LAN, co zase riesi loopback na verejnu IP.

Zdá se, že jsem zaseknutý v nějakém mrtvém bodě, ze kterého se nemohu hnout. Nevím tedy, zda mám problém řešit nějakým eleborováním s Mikrotikem, nebo zda mám vše nastaveno správně. V tom případě nevím, jak vytvořit OpenVPN spojení z práce. Tedy jsem zase na začátku.

Prosím Vás,
základ jakékoliv bezpečnosti zní: NIKDY, podotýkám NIKDY nedávám na internet informace, které se mohou obrátit proti mně. A to neplatí jenom pro Facebook.
No a Vy jste mi hodil do placu výpis firewallu a jako třešničku hodil do placu svoji IP.

Ohledně nastavování firewallu Vám dám namísto vysypání ideální konfigurace (podle mně) jinou radu. Ta zní: Nastavte si pravidla podle vlastních potřeb:

1) Na začátek vydefinujte pravidla umožňující pracování s firewallem. Pokud užíváte Winbox, tak povolte porty tcp 8291 a možná i udp 20561 kdyby jste šachoval s IP adresama, ať se dovnitř dostanete přes MAC adresu. Ale jenom pro komunikaci z vnitřní sítě
2) Potom povolte odpovědi z rozhranní vnitřní sítě.
3) Zapněte logování ostatní komunikace (namísto drop nebo input stačí zvolit log)
4) A potom zakažte jakoukoliv ostatní komunikaci.
A hned v logu i na vlastních nejedoucích službách zevnitř uvidíte co ještě musíte povolit, co všechno se Vám sype za požadavky, které končí v koši (pozor, je dobré nemít v síti spuštěno příliš služeb). Protože toho v logu jede opravdu hodně.
A pokud se pravidla 3 a 4 bojíte, tak alespoň udělejte to, co píši níž:

Zásadní pravidlo budování firewallu zní: V síti, která je moje může zevnitř ven cokoliv. Z venku dovnitř kromě vydefinovaných služeb nesmí NIC. Ani icmp. A i tady se snažím omezovat přístup ze známých adres - pokud to jde.
Zabere to čas, tohle odlaďování, ale ten firewall bude Váš a pomůže Vám se dostat někam dál.

Spíš bych potřeboval momoc s nastavemím adres. Tedy zatím, pak budu řešit firewall.

Zasadne pravidlo pri vytvoreni fw neexistuje.
Security by obscurity moze byt sice efektivne, ale len na prvy pohlad.
Zrovna icmp je vec, za ktoru som ochotny sa hadat. Moze byt sice zneuzite utocnikom, ale zaroven sa casto pouziva aj pri diagnostike a priznam sa, zeby som celkom strielal tych adminov, co paranoidne zakazuju zvonku vsetko a povoluju len tie sluzby, ktore oni uznaju za vhodne..
Ked uz sa chceme hrat na zasadne pravidla, definujme si najprv aku uroven bezpecnosti pozadujeme na danom zariadeni a zbytocne nerobme z blbeho SOHO routra NSA server.

Vzhladom na uroven znalosti tazatela a uroven progresu riesenia problemu odporucam obratit sa nase platene poradenstvo, kde odhadujem bude problem vyrieseny za 30minut aj s vysvetlenim.
it.poradna.net