С чем может быть связана ошибка OVPN mikrotik?

Question

[Влад Темников]

Добрый день, настраивал mikrotik в качестве OVPN сервера, но при подключении имеются вот такие ошибки:

2024-05-15 09:55:12 Fatal TLS error (check_tls_errors_co), restarting
2024-05-15 09:55:12 Closing DCO interface
2024-05-15 09:55:12 SIGUSR1[soft,tls-error] received, process restarting

Все логи из папки: %USERPROFILE%\OpenVPN\log

2024-05-15 09:54:09 DEPRECATED OPTION: –cipher set to ‘AES-256-CBC’ but missing in –data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores –cipher for cipher negotiations. 
2024-05-15 09:54:09 OpenVPN 2.6.10 [git:v2.6.10/ba0f62fb950c56a0] Windows [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Mar 20 2024
2024-05-15 09:54:09 Windows version 10.0 (Windows 10 or greater), amd64 executable
2024-05-15 09:54:09 library versions: OpenSSL 3.2.1 30 Jan 2024, LZO 2.10
2024-05-15 09:54:09 DCO version: 1.0.1
2024-05-15 09:54:09 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2024-05-15 09:54:09 Need hold release from management interface, waiting…
2024-05-15 09:54:09 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:49983
2024-05-15 09:54:09 MANAGEMENT: CMD ‘state on’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘log on all’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘echo on all’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘bytecount 5’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘state’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘hold off’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘hold release’
2024-05-15 09:54:11 MANAGEMENT: CMD ‘username “Auth” “test”‘
2024-05-15 09:54:11 MANAGEMENT: CMD ‘password […]’
2024-05-15 09:54:11 MANAGEMENT: CMD ‘password […]’
2024-05-15 09:54:11 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:54:11 ovpn-dco device [OpenVPN Connect DCO Adapter] opened
2024-05-15 09:54:12 TCP_CLIENT link local: (not bound)
2024-05-15 09:54:12 TCP_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:54:12 MANAGEMENT: >STATE:1715741652,WAIT,,,,,,
2024-05-15 09:54:13 MANAGEMENT: >STATE:1715741653,AUTH,,,,,,
2024-05-15 09:54:13 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:443, sid=1b7d9bff 2eb9ce47
2024-05-15 09:54:19 VERIFY OK: depth=1, CN=CA
2024-05-15 09:54:19 VERIFY KU OK
2024-05-15 09:54:19 Validating certificate extended key usage
2024-05-15 09:54:19 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2024-05-15 09:54:19 VERIFY EKU OK
2024-05-15 09:54:19 VERIFY OK: depth=0, CN=ovpn-server
2024-05-15 09:55:12 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2024-05-15 09:55:12 TLS Error: TLS handshake failed
2024-05-15 09:55:12 Fatal TLS error (check_tls_errors_co), restarting
2024-05-15 09:55:12 Closing DCO interface
2024-05-15 09:55:12 SIGUSR1[soft,tls-error] received, process restarting
2024-05-15 09:55:12 MANAGEMENT: >STATE:1715741712,RECONNECTING,tls-error,,,,,
2024-05-15 09:55:12 Restart pause, 1 second(s)
2024-05-15 09:55:16 MANAGEMENT: CMD ‘username “Auth” “test”‘
2024-05-15 09:55:16 MANAGEMENT: CMD ‘password […]’
2024-05-15 09:55:16 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:55:16 ovpn-dco device [OpenVPN Connect DCO Adapter] opened
2024-05-15 09:55:16 TCP_CLIENT link local: (not bound)
2024-05-15 09:55:16 TCP_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:55:16 MANAGEMENT: >STATE:1715741716,WAIT,,,,,,
2024-05-15 09:55:17 MANAGEMENT: >STATE:1715741717,AUTH,,,,,,
2024-05-15 09:55:17 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:443, sid=4d703856 aa6df27c
2024-05-15 09:55:19 VERIFY OK: depth=1, CN=CA
2024-05-15 09:55:19 VERIFY KU OK
2024-05-15 09:55:19 Validating certificate extended key usage
2024-05-15 09:55:19 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2024-05-15 09:55:19 VERIFY EKU OK
2024-05-15 09:55:19 VERIFY OK: depth=0, CN=ovpn-server
2024-05-15 09:56:17 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2024-05-15 09:56:17 TLS Error: TLS handshake failed
2024-05-15 09:56:17 Fatal TLS error (check_tls_errors_co), restarting
2024-05-15 09:56:17 Closing DCO interface
2024-05-15 09:56:17 SIGUSR1[soft,tls-error] received, process restarting
2024-05-15 09:56:17 MANAGEMENT: >STATE:1715741777,RECONNECTING,tls-error,,,,,
2024-05-15 09:56:17 Restart pause, 1 second(s)
2024-05-15 09:56:24 MANAGEMENT: CMD ‘username “Auth” “test”‘
2024-05-15 09:56:24 MANAGEMENT: CMD ‘password […]’
2024-05-15 09:56:24 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:56:24 ovpn-dco device [OpenVPN Connect DCO Adapter] opened
2024-05-15 09:56:24 TCP_CLIENT link local: (not bound)
2024-05-15 09:56:24 TCP_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:56:24 MANAGEMENT: >STATE:1715741784,WAIT,,,,,,
2024-05-15 09:56:24 MANAGEMENT: >STATE:1715741784,AUTH,,,,,,
2024-05-15 09:56:24 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:443, sid=de94d7dc 327c9045
2024-05-15 09:56:25 VERIFY OK: depth=1, CN=CA
2024-05-15 09:56:25 VERIFY KU OK
2024-05-15 09:56:25 Validating certificate extended key usage
2024-05-15 09:56:25 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2024-05-15 09:56:25 VERIFY EKU OK
2024-05-15 09:56:25 VERIFY OK: depth=0, CN=ovpn-server
2024-05-15 09:56:27 Closing DCO interface
2024-05-15 09:56:27 SIGTERM[hard,] received, process exiting
2024-05-15 09:56:27 MANAGEMENT: >STATE:1715741787,EXITING,SIGTERM,,,,,

Если нужна дополнительная информация, то пожалуйста спрашивайте, предоставлю в максимально ближайшее время!

Comments

[Юрий MikroTik]

Конфигурация сервера?
Какой сертификат?
Сертификаты на клиентов?

Answer 1

[Юрий MikroTik]

Автор связался со мной, разобрались за 15 минут.

1. OpenVPN был на tcp 443, где ещё работал web самого mikrotik. Исправил на стандартный порт 1194
2. Открыл порт в firewall tcp 1194
3. Сгенерировал новый сертификат сервера common указал внешний ip (по хорошему нужно доменное имя)
4. Подписал сертификат CA который автор уже сделал ранее
4. Сделал конфигурацию для OpenVPN Client с указанием сертификата CA прямо в нем
5. Отключил на сервере проверку сертификата клиента (не вижу смысла заниматься псевдобезопасностью в укор удобства настройки, когда ca+логин/пароль достаточно)

Итог - все работает

Answer 2

[Drno]

Либо Вы не правильно указали \ скопировали на клиент сертификат.
Либо Ваш провайдер блокирует опенВПН

Answer 3

[res2001]

TLS Error: TLS key negotiation failed to occur within 60 seconds

Произошел разрыв соединения из-за таймаута ожидания ответа от сервера.
Скорее всего сервер по указанному протоколу/адресу/порту не доступен или трафик блокируется фаерволом.
Если в это же время посмотреть логи сервера, то там, скорее всего не будет никаких признаков входящего клиентского соединения.

Т.е. реально до соединения дело не доходит. Если бы соединение произошло и был бы, например, не правильный сертификат или еще что-то, то пришла бы нормальная ошибка от сервера и отвал произошел бы не по таймауту.

Судя по всему у вас используется протокол TCP, для проверки доступности сервера можете использовать telnet. Если телнет подключиться - значит сервер доступен по адресу/порту.

Comments

[Влад Темников]

По telnet не удалось подключиться, пишет "Не удалось открыть подключение к этому узлу, на порт 23: Сбой подключения"

[res2001]

Влад Темников, Вам нужен не порт 23 (стандартный порт телнет), а порт указанный в конфиге ВПН клиента

[Влад Темников]

Если вписать telnet IP 443 то появляется черный экран, как я понимаю соединение было установлено

[res2001]

Влад Темников, Да, похоже, что соединение устанавливается.
Тогда хорошо бы смотреть логи сервера. Т.к. не понятно почему нет более вразумительного ответа от сервера. Возможно в серверных логах будет более понятная ошибка.
Ну и конфиг сервера и клиента то же бы увидеть. Если в клиентском внедрены сертификаты, то их можете вырезать, оставив лишь теги.

[Влад Темников]

client
dev tun
proto tcp
remote XXX.XXX.XXX.XXX 443
auth-nocache
ca CA.crt
cert ovpn-client.crt
key ovpn-client.key
remote-cert-tls server
cipher AES-256-CBC
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
auth-nocache
auth-user-pass
redirect-gateway def1 bypass-dhcp

[res2001]

Тут все вроде бы нормально. Удивило использование auth-user-pass. Оно вам точно нужно? Ну это к делу не относится.
Серверные логи удалось получить?

[Влад Темников]

res2001,

Попробовал подключиться и после собрать логи командой /log print

14:46:27 firewall,info input: in:rostelecom-eth5 out:(unknown 0), proto TCP (SYN), XXX.XXX.XXX.XXX:59634->XXX.XXX.XXX.XXX:8291, len 52
14:46:27 dhcp,info dhcp deassigned 192.168.0.117 from BA:A6:6E:E6:81:77
14:46:27 system,info,account user admin3 logged in from 194.67.200.214 via winbox
14:46:28 system,info,account user admin3 logged in from 194.67.200.214 via telnet
14:46:34 pppoe,ppp,debug,packet rostelecom-eth5: rcvd LCP EchoReq id=0x66
14:46:34 pppoe,ppp,debug,packet
14:46:34 pppoe,ppp,debug,packet rostelecom-eth5: sent LCP EchoRep id=0x66
14:46:34 pppoe,ppp,debug,packet
14:46:43 system,info,account user admin3 logged in from 194.67.200.214 via telnet
14:46:57 pppoe,ppp,debug,packet rostelecom-eth5: rcvd LCP EchoReq id=0x67
14:46:57 pppoe,ppp,debug,packet
14:46:57 pppoe,ppp,debug,packet rostelecom-eth5: sent LCP EchoRep id=0x67
14:46:57 pppoe,ppp,debug,packet
14:47:20 pppoe,ppp,debug,packet rostelecom-eth5: rcvd LCP EchoReq id=0x68
14:47:20 pppoe,ppp,debug,packet
14:47:20 pppoe,ppp,debug,packet rostelecom-eth5: sent LCP EchoRep id=0x68
14:47:20 pppoe,ppp,debug,packet
14:47:23 dhcp,info dhcp assigned 192.168.0.133 to 52:96:4B:D8:C4:B0
14:47:40 dhcp,info dhcp deassigned 192.168.0.155 from 56:74:79:07:EE:92
14:47:44 pppoe,ppp,debug,packet rostelecom-eth5: rcvd LCP EchoReq id=0x69
14:47:44 pppoe,ppp,debug,packet
14:47:44 pppoe,ppp,debug,packet rostelecom-eth5: sent LCP EchoRep id=0x69
14:47:44 pppoe,ppp,debug,packet
14:47:49 dhcp,info dhcp deassigned 192.168.0.103 from 8E:2C:E8:63:38:E7
14:47:52 dhcp,info dhcp deassigned 192.168.0.217 from 2A:FA:34:90:9B:FD
14:47:57 dhcp,info dhcp assigned 192.168.0.229 to 0E:2A:71:38:16:D4
14:48:06 pppoe,ppp,debug,packet rostelecom-eth5: rcvd LCP EchoReq id=0x6a
14:48:06 pppoe,ppp,debug,packet
14:48:06 pppoe,ppp,debug,packet rostelecom-eth5: sent LCP EchoRep id=0x6a
14:48:06 pppoe,ppp,debug,packet
14:48:12 dhcp,info dhcp assigned 192.168.0.155 to 56:74:79:07:EE:92
14:48:28 pppoe,ppp,debug,packet rostelecom-eth5: rcvd LCP EchoReq id=0x6b
14:48:28 pppoe,ppp,debug,packet
14:48:28 pppoe,ppp,debug,packet rostelecom-eth5: sent LCP EchoRep id=0x6b
14:48:28 pppoe,ppp,debug,packet
14:48:28 dhcp,info dhcp deassigned 192.168.0.159 from BE:FB:BE:50:1B:E6
14:48:37 dhcp,info dhcp deassigned 192.168.0.147 from 8E:9D:10:C9:4D:14
14:48:50 pppoe,ppp,debug,packet rostelecom-eth5: rcvd LCP EchoReq id=0x6c
14:48:50 pppoe,ppp,debug,packet
14:48:50 pppoe,ppp,debug,packet rostelecom-eth5: sent LCP EchoRep id=0x6c
14:48:50 pppoe,ppp,debug,packet
14:49:04 dhcp,info dhcp assigned 192.168.0.103 to 8E:2C:E8:63:38:E7
14:49:05 dhcp,info dhcp deassigned 192.168.0.130 from 8A:80:9D:AD:43:5C
14:49:10 dhcp,info dhcp assigned 192.168.0.113 to 8E:D4:8A:C9:DF:A8
14:49:12 dhcp,info dhcp deassigned 192.168.0.133 from 52:96:4B:D8:C4:B0
14:49:14 pppoe,ppp,debug,packet rostelecom-eth5: rcvd LCP EchoReq id=0x6d
14:49:14 pppoe,ppp,debug,packet
14:49:14 pppoe,ppp,debug,packet rostelecom-eth5: sent LCP EchoRep id=0x6d
14:49:14 pppoe,ppp,debug,packet
14:49:15 dhcp,info dhcp assigned 192.168.0.217 to 2A:FA:34:90:9B:FD
14:49:30 dhcp,info dhcp assigned 192.168.0.109 to D6:8A:3A:F5:AB:AF
14:49:35 pppoe,ppp,debug,packet rostelecom-eth5: rcvd LCP EchoReq id=0x6e
14:49:35 pppoe,ppp,debug,packet
14:49:35 pppoe,ppp,debug,packet rostelecom-eth5: sent LCP EchoRep id=0x6e
14:49:35 pppoe,ppp,debug,packet
14:49:38 dhcp,info dhcp assigned 192.168.0.203 to 80:D2:1D:F0:A0:77

[res2001]

Влад Темников, Тут не видно логов OpenVPN
Как получить логи OpenVPN на микротик не в курсе.
Обычно на компе для того что бы OpenVPN генерировал логи их надо включить в конфиге опциями: log, log-append, verb
Тогда OpenVPN начинает писать логи куда указано в опциях.

[Влад Темников]

res2001, Можете подсказать как правильно использовать опции log, log-append, verb

[res2001]

Влад Темников, Указываете либо log либо log-append, в аргументе путь к файлу лога. log-append - дописывает лог в конец файл, log - на каждый запуск создается новый лог (старый удаляется).
verb - уровень логирования от 0 до 9
Права на запись в файл лога должны быть у процесса openvpn.
В микротике могут быть какие-то нюансы. Загляните в документашку. Возможно оно включается где-то в интерфейсе.

[Влад Темников]

res2001,

[May 21, 2024, 15:50:31] OpenVPN core 3.8.2connect3 win x86_64 64-bit OVPN-DCO built on Jan 31 2024 12:05:53
⏎[May 21, 2024, 15:50:31] Frame=512/2112/512 mssfix-ctrl=1250
⏎[May 21, 2024, 15:50:31] NOTE: This configuration contains options that were not used:
⏎[May 21, 2024, 15:50:31] Unsupported option (ignored)
⏎[May 21, 2024, 15:50:31] 4 [auth-nocache]
⏎[May 21, 2024, 15:50:31] 10 [resolv-retry] [infinite]
⏎[May 21, 2024, 15:50:31] 12 [persist-key]
⏎[May 21, 2024, 15:50:31] 13 [persist-tun]
⏎[May 21, 2024, 15:50:31] 15 [auth-nocache]
⏎[May 21, 2024, 15:50:31] EVENT: RESOLVE ⏎[May 21, 2024, 15:50:31] EVENT: WAIT ⏎[May 21, 2024, 15:50:31] WinCommandAgent: transmitting bypass route to XXX.XXX.XXX.XXX
{
"host" : "XXX.XXX.XXX.XXX",
"ipv6" : false
}

⏎[May 21, 2024, 15:50:31] Connecting to [XXX.XXX.XXX.XXX]:443 (XXX.XXX.XXX.XXX) via TCP
⏎[May 21, 2024, 15:50:41] Server poll timeout, trying next remote entry...
⏎[May 21, 2024, 15:50:41] EVENT: RECONNECTING ⏎[May 21, 2024, 15:50:41] EVENT: RESOLVE ⏎[May 21, 2024, 15:50:41] EVENT: WAIT ⏎[May 21, 2024, 15:50:41] WinCommandAgent: transmitting bypass route to XXX.XXX.XXX.XXX
{
"host" : "XXX.XXX.XXX.XXX",
"ipv6" : false
}

⏎[May 21, 2024, 15:50:41] Connecting to [XXX.XXX.XXX.XXX]:443 (XXX.XXX.XXX.XXX) via TCP
⏎[May 21, 2024, 15:50:51] Server poll timeout, trying next remote entry...
⏎[May 21, 2024, 15:50:51] EVENT: RECONNECTING ⏎[May 21, 2024, 15:50:51] EVENT: RESOLVE ⏎[May 21, 2024, 15:50:51] EVENT: WAIT ⏎[May 21, 2024, 15:50:51] WinCommandAgent: transmitting bypass route to XXX.XXX.XXX.XXX
{
"host" : "XXX.XXX.XXX.XXX",
"ipv6" : false
}

⏎[May 21, 2024, 15:50:51] Connecting to [XXX.XXX.XXX.XXX]:443 (XXX.XXX.XXX.XXX) via TCP
⏎[May 21, 2024, 15:51:01] Server poll timeout, trying next remote entry...
⏎[May 21, 2024, 15:51:01] EVENT: RECONNECTING ⏎[May 21, 2024, 15:51:01] EVENT: RESOLVE ⏎[May 21, 2024, 15:51:01] EVENT: WAIT ⏎[May 21, 2024, 15:51:01] WinCommandAgent: transmitting bypass route to XXX.XXX.XXX.XXX
{
"host" : "XXX.XXX.XXX.XXX",
"ipv6" : false
}

⏎[May 21, 2024, 15:51:01] Connecting to [XXX.XXX.XXX.XXX]:443 (XXX.XXX.XXX.XXX) via TCP
⏎[May 21, 2024, 15:51:11] Server poll timeout, trying next remote entry...
⏎[May 21, 2024, 15:51:11] EVENT: RECONNECTING ⏎[May 21, 2024, 15:51:11] EVENT: RESOLVE ⏎[May 21, 2024, 15:51:11] EVENT: WAIT ⏎[May 21, 2024, 15:51:11] WinCommandAgent: transmitting bypass route to XXX.XXX.XXX.XXX
{
"host" : "XXX.XXX.XXX.XXX",
"ipv6" : false
}

⏎[May 21, 2024, 15:51:11] Connecting to [XXX.XXX.XXX.XXX]:443 (XXX.XXX.XXX.XXX) via TCP
⏎[May 21, 2024, 15:51:21] Server poll timeout, trying next remote entry...
⏎[May 21, 2024, 15:51:21] EVENT: RECONNECTING ⏎[May 21, 2024, 15:51:21] EVENT: RESOLVE ⏎[May 21, 2024, 15:51:21] EVENT: WAIT ⏎[May 21, 2024, 15:51:21] WinCommandAgent: transmitting bypass route to XXX.XXX.XXX.XXX
{
"host" : "XXX.XXX.XXX.XXX",
"ipv6" : false
}

⏎[May 21, 2024, 15:51:21] Connecting to [XXX.XXX.XXX.XXX]:443 (XXX.XXX.XXX.XXX) via TCP
⏎[May 21, 2024, 15:51:31] EVENT: CONNECTION_TIMEOUT BYTES_OUT : 96
PACKETS_OUT : 6
CONNECTION_TIMEOUT : 1
N_RECONNECT : 5
⏎[May 21, 2024, 15:51:31] EVENT: DISCONNECTED ⏎

[res2001]

Влад Темников, Давайте уже и конфиг ВПН сервера то же.
На сколько я помню "Server poll timeout" выдается когда нет связи (сервер не доступен, блокировка фаервола, в общем то с чего мы начали). Вот только это сообщение вроде бы должно выдаваться на стороне клиента а не сервера, но это не точно.

Что поставили в verb? Поставьте большее значение, что-то он не многословен.

И еще не понятно. Вот эти сообщения они когда в логе появляются? Когда подключается клиент или сразу после старта? У меня такое впечатление, что у вас на микротике то же сконфигурирован клиент.

На микротике 443 порт на внешнем интерфейсе не занят встроенным веб интерфейсом?

Кстати, по UDP OpenVPN работает лучше.

Если микротик позволяет можно посмотреть слушается ли 443 порт и каким процессом слушается.

[Влад Темников]

res2001, Вот конфиг клиента, к сожалению на habr ограничение в количество символов по этому через Яндекс диск https://disk.yandex.ru/d/wI6By1WjuvJRMw

[res2001]

Влад Темников, Это не то.
Это видимо конфиг микротика.
Нужен конфиг OpenVPN на его стороне.
Не знаю как там у микротика, но обычно конфиг openvpn - это отдельный файл. Содержимое похоже на конфиг клиента, но там обычно больше опций.

[Влад Темников]

res2001, в микротике вроде такого нет, можем созвониться я включу трансляцию если удобно

[res2001]

Влад Темников,

можем созвониться я включу трансляцию если удобно

Не удобно.
Погуглил. Да, похоже отдельного конфига в микротике нет. Это осложняет дело, я не силен в микротиках.
Покажите конфиг микротика Юрий MikroTik, он там выше вопросы задавал, у него ник говорящий, может поможет больше чем я :)

Answer 4

[Дмитрий]

Если в вашем клиентском конфиге есть раздел tls-crypt

<ca>
-----BEGIN CERTIFICATE-----
"some key"
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
"some key"
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
"some key"
-----END PRIVATE KEY-----
</key>
<tls-crypt>
-----BEGIN OpenVPN Static key V1-----
"some key"
</tls-crypt>

- такое конфиг может не работать.
Зависит от версии прошивки микротика. Но вроде в 7 версии оно так еще и не заработало.

Comments

[Влад Темников]

Дмитрий

[Дмитрий]

Это не то, что я имел ввиду. У вас ошибку пишет клиент и логи вы показываете с клиента. Но конфиг клиента типа "my_name".ovpn не показываете. Там указаны сертификаты клиента, сервера и может быть секция про которую я писал - если она есть - микротик ее не понимает и может давать вашу ошибку. На вашей прошивке 6,49 гарантированно не работает tls-crypt