OpenVPN packet Mikrotik dropuje

Dnes som na dialku pripajal firme novy nb s Win11 Pro. Firma ma 2 pobocky, obe su u mna na nete, ale kedze sa pripajaju aj zvonku maju vlastny OpenVPN server, ktory im umoznuje sa dostat k NASku z pobociek aj zvonku.
Problem je, ze tento novy klient sa nechce nalogovat, server(mikrotik) hlasi droping packet a klient zahlasi po minute, ze nedoslo k negociacii tls handshaku a skusi spojenie znovu.
Zobral som konfig klienta, skusil sa pripojit s jeho klucmi a nabehol som na 1x. Server sice zahlasil packet droping, ale hned na to using encoding AES-256CBC/SHA1 a nasledne sa pripojil.
Konfig aj certifikaty su teda ok.
Na nb som skusil vymazat cache, reinstal openvpn, vymazat tempy, ulozene hesla, zmenit siet pripojenim cez mobilny hotspot...nic nepomohlo.
Zakaznik pritom uz ma pripojeny iny nb s Win11, takze tam by tiez problem byt nemal.
Antivir tam nebezi ziaden, fw som pre istotu vypol.
Po 2h som to zatial vzdal s tym, ze sa na to vyspim, ale netusim co ine by som mal zajtra skusit.

Předmět	Autor	Datum
Osobně ti doporučím přechod na wireguard. Já už pomalu migruju všude, kde to jde. Ano, klient wg pro… touchwood 09.03.2023 15:06	touchwood	09.03.2023 15:06
Netestoval, ale MTU na tej sieti musi byt ok, pretoze z rovnakeho kanclu (a wifi) su pripojene dalsi… fleg 09.03.2023 19:11	fleg	09.03.2023 19:11
A verzi OpenVPN máš stejnou? Protože mezi verzemi se dějí změny právě v zakazování starých a děravýc… touchwood 10.03.2023 05:52	touchwood	10.03.2023 05:52
Bingo...verzie 11.26, ktore sme mali vsetci su ok, ale verzia 11.37 sa uz napojit nechce. Dekuji ti… fleg 10.03.2023 09:11	fleg	10.03.2023 09:11
Pro touchwooda: :beer::beer::beer::beer::beer::beer::beer::beer::beer::beer: poslední host 10.03.2023 09:13	host	10.03.2023 09:13

Osobně ti doporučím přechod na wireguard. Já už pomalu migruju všude, kde to jde. Ano, klient wg pro windows je strašný (pokud je user jen user a ne admin), ale jde to vohnout.

Napadá mě v té tvé souvislosti jen nastavení MTU, respektive nějaké jiné poškozování paketů a dost možná bych se kouknul přes Nartac IIScrypto jestli není systémově disablovaný CBC/SHA1. Jiný OVPN server jsi jen tak na zkoušku neotestoval?

Netestoval, ale MTU na tej sieti musi byt ok, pretoze z rovnakeho kanclu (a wifi) su pripojene dalsie 2 pc a tie idu bez problemov, z toho jeden je Win11.
Nedava mi to logiku asi si ten nb zoberiem na vikend domov a potestujem.
Wireguard sa chystam otestovat, je sucast v7, takze sa s nim skor, ci neskor stretnem.
Klient ma odo mna na streche radio s v6, takze wireguard este nema implementovany, aj preto som sa rozhodol pre OpenVPN v jeho pripade.

A verzi OpenVPN máš stejnou? Protože mezi verzemi se dějí změny právě v zakazování starých a děravých šifrovacích algoritmů.

Bingo...verzie 11.26, ktore sme mali vsetci su ok, ale verzia 11.37 sa uz napojit nechce.
Dekuji ti dobry muzi, sa divim, ze ma to nenapadlo skor skontrolovat verzie klientov.

Pro touchwooda:

Zpět do poradny Odpovědět na původní otázku Nahoru