Настройка Mikrotik OpenVPN Client?

Question

[Павел]

Всем ДВС.
Задача - подключить роутер Mikrotik к OpenVPN серверу в качестве клиента и часть трафика уводить через него.
К сожалению не нашел полноценного работающего гайда для чайников ОТ и ДО, все либо устарели, либо криво написаны.
OpenVPN развернут скриптом с GitHub'а на Ubuntu 22.04
По итогу при подключении вижу в логах:
ovpn-out1: terminating... - unkown cipher alg or key size.

Вот файл server.conf:

daemon
mode server
tls-server
port 27918
proto tcp
dev tun27918
log /var/log/openvpn-27918.log
status /var/log/openvpn-status-27918.log
ca /etc/openvpn/mikrotik-ssl/ca-27918.crt
cert /etc/openvpn/mikrotik-ssl/server-27918.crt
key /etc/openvpn/mikrotik-ssl/server-27918.key
dh /etc/openvpn/mikrotik-ssl/dh2048-27918.pem
topology subnet
server 10.72.62.0 255.255.255.0
client-to-client
ifconfig-pool-persist ipp.txt
username-as-common-name
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"
user nobody
group nogroup
keepalive 10 120
persist-key
persist-tun
auth sha1
cipher AES-256-CBC
verb 5
script-security 2
up /etc/openvpn/server-up.sh
down /etc/openvpn/server-down.sh
plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so login

В интерфейсе Mikrotik так же выставлены:
Auth: sha1
Cipher: aes 256
Сертификат и ключ само собой импортированы.

В чем может быть запинка?

Comments

[Ziptar]

все либо устарели, либо криво написаны

Либо и устарели, и криво написаны, как мой.

Cipher: aes 256

cbc?

В чем может быть запинка?

Не уверен, что овпн на микроте может работать с dh.

[Павел]

cbc?

В winbox'е при выбор из списка не указывается это.
Cписок:
aes 128
aes 192
aes 256
blowfish 128
null

[Ziptar]

Павел,

В winbox'е при выбор из списка не указывается это.

Ндя?

И это rb2011, на котором мипс, и аппаратной поддержки aes нет.

Энивей, попробуйте указать в настройках сервера aes-256-gcm

[Павел]

Ziptar,
RouterOS 6.49.15

[Ziptar]

Павел, лучше на 7 обновитесь.

А что у вас dh ключ на месте клиентского сертификата забыл?

[Павел]

Ziptar, Это просто обозвал его так, сертификат и ключ клиентские .

[Ziptar]

Павел, в любом случае я предлагаю следующее:
1) таки обновиться до ros 7.x
2) поиграться с алгоритмами шифрования
3) попробовать убрать dh из конфига сервера, я правда не уверен, что овпн на микроте умеет в dh key exchange

[Павел]

Ziptar, Взял другую железяку, обновил ее до ROS 7.5.13.
И все полетело. Спасибо за совет.
Правда единственный момент, почему-то завелось на AES-256-GSM, хотя на сервере указано AES-256-CBC.
Но это уже формальности, главное, что наконец-то случился коннект.

[Ziptar]

Павел, может как раз dh заработал, к слову. Они ж обновляли овпн существенно

Answer 1

[Drno]

расширьте типы шифрования на опенВПН сервре и переберите их микротиком. он не со всеми может работать