OpenVPN для Mikrotik — В чем разница между настройками для MacOS и Windows?

Question

[Juchok]

Здравствуйте.
Проблема такая. На Mikrotik (RouterOS 6) настроил OpenVPN сервер. Есть несколько компов - MacOS и Windows. На MacOS всё завелось нормально (клиент - Tunnelblick). С тем-же конфигом на Windows не подключается ни в какую. OpenVPN Connect вообще толком ничего не сообщает ("Неизвестный аргумент" - больше ничего не пишет. Типа, конфиг ему не нравится).
Поставил OpenVPN GUI и ниже представлен его лог:

Sun Oct  8 20:38:51 2023 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). OpenVPN ignores --cipher for cipher negotiations. 
Sun Oct  8 20:38:51 2023 OpenVPN 2.6.6 [git:v2.6.6/c9540130121bfc21] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Aug 15 2023
Sun Oct  8 20:38:51 2023 Windows version 10.0 (Windows 10 or greater), amd64 executable
Sun Oct  8 20:38:51 2023 library versions: OpenSSL 3.1.2 1 Aug 2023, LZO 2.10
Sun Oct  8 20:38:51 2023 DCO version: v0
Sun Oct  8 20:38:51 2023 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sun Oct  8 20:38:51 2023 Need hold release from management interface, waiting...
Sun Oct  8 20:38:51 2023 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:59643
Sun Oct  8 20:38:52 2023 MANAGEMENT: CMD 'state on'
Sun Oct  8 20:38:52 2023 MANAGEMENT: CMD 'log on all'
Sun Oct  8 20:38:52 2023 MANAGEMENT: CMD 'echo on all'
Sun Oct  8 20:38:52 2023 MANAGEMENT: CMD 'bytecount 5'
Sun Oct  8 20:38:52 2023 MANAGEMENT: CMD 'state'
Sun Oct  8 20:38:52 2023 MANAGEMENT: CMD 'hold off'
Sun Oct  8 20:38:52 2023 MANAGEMENT: CMD 'hold release'
Sun Oct  8 20:38:54 2023 MANAGEMENT: CMD 'username "Auth" "[username]"'
Sun Oct  8 20:38:54 2023 MANAGEMENT: CMD 'password [...]'
Sun Oct  8 20:38:54 2023 MANAGEMENT: CMD 'password [...]'
Sun Oct  8 20:38:54 2023 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Oct  8 20:38:54 2023 TCP/UDP: Preserving recently used remote address: [AF_INET]85.93.xxx.xxx:1194
Sun Oct  8 20:38:54 2023 ovpn-dco device [OpenVPN Data Channel Offload] opened
Sun Oct  8 20:38:54 2023 TCP_CLIENT link local: (not bound)
Sun Oct  8 20:38:54 2023 TCP_CLIENT link remote: [AF_INET]85.93.xxx.xxx:1194
Sun Oct  8 20:38:54 2023 MANAGEMENT: >STATE:1696786734,WAIT,,,,,,
Sun Oct  8 20:38:54 2023 MANAGEMENT: >STATE:1696786734,AUTH,,,,,,
Sun Oct  8 20:38:54 2023 TLS: Initial packet from [AF_INET]85.93.xxx.xxx:1194, sid=03c928e7 e96720f0
Sun Oct  8 20:38:54 2023 VERIFY OK: depth=1, C=RU, ST=77, L=MOSCOW, O=Inzproject-21, OU=GENERAL, CN=ca
Sun Oct  8 20:38:54 2023 VERIFY KU OK
Sun Oct  8 20:38:54 2023 Validating certificate extended key usage
Sun Oct  8 20:38:54 2023 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Oct  8 20:38:54 2023 VERIFY EKU OK
Sun Oct  8 20:38:54 2023 VERIFY OK: depth=0, C=RU, ST=77, L=MOSCOW, O=Inzproject-21, OU=GENERAL, CN=ovpn-server
Sun Oct  8 20:39:54 2023 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Oct  8 20:39:54 2023 TLS Error: TLS handshake failed
Sun Oct  8 20:39:54 2023 Fatal TLS error (check_tls_errors_co), restarting
Sun Oct  8 20:39:54 2023 Closing DCO interface
Sun Oct  8 20:39:54 2023 SIGUSR1[soft,tls-error] received, process restarting
Sun Oct  8 20:39:54 2023 MANAGEMENT: >STATE:1696786794,RECONNECTING,tls-error,,,,,
Sun Oct  8 20:39:54 2023 Restart pause, 1 second(s)
Sun Oct  8 20:39:55 2023 TCP/UDP: Preserving recently used remote address: [AF_INET]85.93.xxx.xxx:1194
Sun Oct  8 20:39:55 2023 ovpn-dco device [OpenVPN Data Channel Offload] opened
Sun Oct  8 20:39:55 2023 TCP_CLIENT link local: (not bound)
Sun Oct  8 20:39:55 2023 TCP_CLIENT link remote: [AF_INET]85.93.xxx.xxx:1194
Sun Oct  8 20:39:55 2023 MANAGEMENT: >STATE:1696786795,WAIT,,,,,,
Sun Oct  8 20:39:55 2023 MANAGEMENT: >STATE:1696786795,AUTH,,,,,,
Sun Oct  8 20:39:55 2023 TLS: Initial packet from [AF_INET]85.93.xxx.xxx:1194, sid=d88cdddb 18edc2dc
Sun Oct  8 20:39:55 2023 VERIFY OK: depth=1, C=RU, ST=77, L=MOSCOW, O=Inzproject-21, OU=GENERAL, CN=ca
Sun Oct  8 20:39:55 2023 VERIFY KU OK
Sun Oct  8 20:39:55 2023 Validating certificate extended key usage
Sun Oct  8 20:39:55 2023 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Oct  8 20:39:55 2023 VERIFY EKU OK
Sun Oct  8 20:39:55 2023 VERIFY OK: depth=0, C=RU, ST=77, L=MOSCOW, O=Inzproject-21, OU=GENERAL, CN=ovpn-server
Sun Oct  8 20:40:55 2023 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Oct  8 20:40:55 2023 TLS Error: TLS handshake failed
Sun Oct  8 20:40:55 2023 Fatal TLS error (check_tls_errors_co), restarting
Sun Oct  8 20:40:55 2023 Closing DCO interface
Sun Oct  8 20:40:55 2023 SIGUSR1[soft,tls-error] received, process restarting
Sun Oct  8 20:40:55 2023 MANAGEMENT: >STATE:1696786855,RECONNECTING,tls-error,,,,,
Sun Oct  8 20:40:55 2023 Restart pause, 1 second(s)
Sun Oct  8 20:40:56 2023 TCP/UDP: Preserving recently used remote address: [AF_INET]85.93.xxx.xxx:1194
Sun Oct  8 20:40:56 2023 ovpn-dco device [OpenVPN Data Channel Offload] opened
Sun Oct  8 20:40:56 2023 TCP_CLIENT link local: (not bound)
Sun Oct  8 20:40:56 2023 TCP_CLIENT link remote: [AF_INET]85.93.xxx.xxx:1194
Sun Oct  8 20:40:56 2023 MANAGEMENT: >STATE:1696786856,WAIT,,,,,,
Sun Oct  8 20:40:56 2023 MANAGEMENT: >STATE:1696786856,AUTH,,,,,,
Sun Oct  8 20:40:56 2023 TLS: Initial packet from [AF_INET]85.93.xxx.xxx:1194, sid=ce95c738 dfc8e56e
Sun Oct  8 20:40:56 2023 VERIFY OK: depth=1, C=RU, ST=77, L=MOSCOW, O=Inzproject-21, OU=GENERAL, CN=ca
Sun Oct  8 20:40:56 2023 VERIFY KU OK
Sun Oct  8 20:40:56 2023 Validating certificate extended key usage
Sun Oct  8 20:40:56 2023 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Oct  8 20:40:56 2023 VERIFY EKU OK
Sun Oct  8 20:40:56 2023 VERIFY OK: depth=0, C=RU, ST=77, L=MOSCOW, O=Inzproject-21, OU=GENERAL, CN=ovpn-server
Sun Oct  8 20:40:57 2023 Connection reset, restarting [-1]
Sun Oct  8 20:40:57 2023 Closing DCO interface
Sun Oct  8 20:40:57 2023 SIGUSR1[soft,connection-reset] received, process restarting
Sun Oct  8 20:40:57 2023 MANAGEMENT: >STATE:1696786857,RECONNECTING,connection-reset,,,,,
Sun Oct  8 20:40:57 2023 Restart pause, 1 second(s)
Sun Oct  8 20:40:58 2023 TCP/UDP: Preserving recently used remote address: [AF_INET]85.93.xxx.xxx:1194
Sun Oct  8 20:40:58 2023 ovpn-dco device [OpenVPN Data Channel Offload] opened
Sun Oct  8 20:40:58 2023 TCP_CLIENT link local: (not bound)
Sun Oct  8 20:40:58 2023 TCP_CLIENT link remote: [AF_INET]85.93.xxx.xxx:1194
Sun Oct  8 20:40:58 2023 MANAGEMENT: >STATE:1696786858,WAIT,,,,,,
Sun Oct  8 20:40:58 2023 MANAGEMENT: >STATE:1696786858,AUTH,,,,,,
Sun Oct  8 20:40:58 2023 TLS: Initial packet from [AF_INET]85.93.xxx.xxx:1194, sid=7ba96059 88a0adfc
Sun Oct  8 20:40:58 2023 VERIFY OK: depth=1, C=RU, ST=77, L=MOSCOW, O=Inzproject-21, OU=GENERAL, CN=ca
Sun Oct  8 20:40:58 2023 VERIFY KU OK
Sun Oct  8 20:40:58 2023 Validating certificate extended key usage
Sun Oct  8 20:40:58 2023 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Oct  8 20:40:58 2023 VERIFY EKU OK
Sun Oct  8 20:40:58 2023 VERIFY OK: depth=0, C=RU, ST=77, L=MOSCOW, O=Inzproject-21, OU=GENERAL, CN=ovpn-server

Comments

[Juchok]

Конфиг клиента (файл .ovpn):

client
dev tun
proto tcp
remote 85.93.xxx.xxx 1194
nobind
persist-key
persist-tun
remote-cert-tls server

verb 3
route-delay 5
cipher AES-256-CBC

pkcs12 pers_cert.p12

dhcp-option DNS 192.168.88.1

auth SHA1
auth-user-pass

route 192.168.88.0 255.255.255.0 vpn_gateway

[Drno]

Juchok, попробуй версию опенвпн из 2й ветки
И не с интерфейсом которая, а консольная

[Juchok]

Drno, имеешь ввиду, какую-то консольную версию клиента под винду?

[Juchok]

Drno, в целом, я вторую версию и пробую: 2.6.6

[Drno]

Juchok, ну у меня работает вроде как версия 2.4.8 и 2.5(не уверен)
впн запускается как служба на компах, конфиг вот такой

client
dev tun
proto tcp
remote site.ru 10000
resolv-retry infinite
nobind
#client-cert-not-required
#verify-client-cert none
persist-key
persist-tun
ca ca.crt
#cert client.crt
#key client.key
remote-cert-tls server
cipher AES-128-CBC
verb 3
auth-user-pass "C:\\Program Files\\OpenVPN\\config\\pass.txt"

[Juchok]

Drno, Спасибо ) Через полчасика сяду в электричку и попробую )

[Juchok]

Drno, На версии 2.4.8 завелось с "пол-пинка"! Спасибо большое )) Надо только понять, как не хранить логин и пароль в файле, в открытом виде. Но это на будущее.

P.S. На всякий случай, вдруг кому пригодится. Если необходимо, чтобы после директивы auth-user-pass шло указание на путь к файлу с логином и паролем для доступа к VPN (чтобы не заставлять вводить или типа того), указывайте его в кавычках и с двойной дробью. Формат содержимого файла:
< login >
< password >

Без знаков < >, разумеется.

[Drno]

Juchok, подозреваю что разница в шифровании или ssl библиотеках. потому что на RouterOS 7 заводится и с новыми клиентами опенВПНа

[Juchok]

Ага... Я боюсь обновляться. У меня уже как-то не поднялся микрот и я натанцевался

Answer 1

[Юрий MikroTik]

Нужно смотреть сторону MikroTik и сам конфиг.
Подозреваю, что Tunnelblick как-то по другому работает с сертификатом.
Сертификат в конфиге присутствует?