У меня бабка сама делала. Любил пожрать сырыми (подсушенными) их

Ну а че там, мука, вода да соль?

иичко ещё

Ах да, и это, как его.. .ВРЕМЯ, во!

иичко ещё

Точняк??

Доброго времни суток, подскажите пожалуйста, настраиваю ovpn на mikrotik взяме L2TP+ipsec и вот не понимаю почему, два микротика делают с одними и теми же параметрами соединение а винда + микротик нет? Куда копать? Микрот выступающий в качестве сервера говорит dublicate packet, droping

а на винде openvpn клиент что говорит в лог?

а на винде openvpn клиент что говорит в лог?

Connection reset, restarting [0]

и ведь годами висит и работает без сбоев)

и ведь годами висит и работает без сбоев)

Вроде переделали. Но без меня уже. А эти макароны я вешал

а на винде openvpn клиент что говорит в лог?

сертификаты через easy-rsa генерю, ca, server и клиентские

сертификаты через easy-rsa генерю, ca, server и клиентские

Протоколы tcp везде?

Протоколы tcp везде?

proto tcp-client микротик UDP не умеет

работает - не трогай

работает - не трогай

Именно

он на сервер пишет что TCP connection established from xxx

я уже и другой микротик поднял и сертификаты на генерировал раза 3 все

а винда с которой подключаюсь все одна и та же! Полагаю, что это из-за нее

я уже и другой микротик поднял и сертификаты на генерировал раза 3 все

вот рабочий конфиг клиента proto tcp-client remote srv.domain.local #зависит от того, что на микре прописано dev tap #dev tun auth-nocache nobind persist-key tls-client <ca> -----BEGIN CERTIFICATE----- MIIGHzCCBAegAwIBAgIIVt2jV2xMaWAwDQYJKoZIhvcNAQELBQAwgZExCzAJBgNV ....... -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIGDzCCA/egAwIBAgIIHmpeSxEAfaIwDQYJKoZIhvcNAQELBQAwgZExCzAJBgNV ......... -----END CERTIFICATE----- </cert> <key> -----BEGIN RSA PRIVATE KEY----- MIIJKAIBAAKCAgEA1l29+9k+RIEhnTpitfeAl5vxFgY11F/D/l1pSIxBHf1o9Wkn ................. -----END RSA PRIVATE KEY----- </key> verb 4 cipher AES-256-CBC auth SHA1 pull resolv-retry infinite auth-user-pass auth.cfg route-method exe #можно роуты для клиента прописать #route 192.168.0.0 255.255.255.0 10.0.88.1 #route 192.168.0.223 255.255.255.255 10.0.88.1 #route 192.168.2.0 255.255.255.0 192.168.0.223 ip-win32 dynamic dhcp-option DOMAIN 'domain.local' dhcp-option DNS 192.168.0.2 dhcp-option NTP 192.168.0.1 dhcp-option WINS 192.168.0.2 register-dns remote-cert-tls server

auth.cfg вида user P@ssword

вот рабочий конфиг клиента proto tcp-client remote srv.domain.local #зависит от того, что на микре прописано dev tap #dev tun auth-nocache nobind persist-key tls-client <ca> -----BEGIN CERTIFICATE----- MIIGHzCCBAegAwIBAgIIVt2jV2xMaWAwDQYJKoZIhvcNAQELBQAwgZExCzAJBgNV ....... -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIGDzCCA/egAwIBAgIIHmpeSxEAfaIwDQYJKoZIhvcNAQELBQAwgZExCzAJBgNV ......... -----END CERTIFICATE----- </cert> <key> -----BEGIN RSA PRIVATE KEY----- MIIJKAIBAAKCAgEA1l29+9k+RIEhnTpitfeAl5vxFgY11F/D/l1pSIxBHf1o9Wkn ................. -----END RSA PRIVATE KEY----- </key> verb 4 cipher AES-256-CBC auth SHA1 pull resolv-retry infinite auth-user-pass auth.cfg route-method exe #можно роуты для клиента прописать #route 192.168.0.0 255.255.255.0 10.0.88.1 #route 192.168.0.223 255.255.255.255 10.0.88.1 #route 192.168.2.0 255.255.255.0 192.168.0.223 ip-win32 dynamic dhcp-option DOMAIN 'domain.local' dhcp-option DNS 192.168.0.2 dhcp-option NTP 192.168.0.1 dhcp-option WINS 192.168.0.2 register-dns remote-cert-tls server

спасибо, щас попробую

хм, мне на убунте-серв для микрот-клиента наоборот пришлось отключать tls-server и tls-auth

ещё имеет смысл на микре включить лог поширше: /system logging add topics=ovpn,debug

хм, мне на убунте-серв для микрот-клиента наоборот пришлось отключать tls-server и tls-auth

тут микр клиент, на сколько я понял. и конфиг именно под такой вариант был

что за мистика?

домашняя сеть. В езернет никто пролезть не мог точно

разве что вифи подобрали. Но тоже маловероятно - wpa выключен, wps выключен

и деассайн почему-то быстро происходит после ассайна

хотя у меня лиз стоит неделя

это устройство отправляет release-renew

может линк скачет у кого-то?

да всех устройств: два телефона, и 2 ноута по вифи

причём, оба ноута почти всегда шнуром подключены

и МАК странный - в базах он как Private числится

так вот

надо искать где он светится в каком порту

Зобанить и посмотреть че это такое

а вот это норм?

скриптов/шедулей нет в системе

Если учетка не твоя, то не норм

учётка моя

потому и спрашиваю

была ли она скомпрометирована?

тогда надо смотреть че там в скриптах, может и была)

ооочень маловероятно, ибо фаервол нормально закрытый

А может сам в пятницу вечером полуживой создал скрипт на рисование сисек в консоли

вот рабочий конфиг клиента proto tcp-client remote srv.domain.local #зависит от того, что на микре прописано dev tap #dev tun auth-nocache nobind persist-key tls-client <ca> -----BEGIN CERTIFICATE----- MIIGHzCCBAegAwIBAgIIVt2jV2xMaWAwDQYJKoZIhvcNAQELBQAwgZExCzAJBgNV ....... -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIGDzCCA/egAwIBAgIIHmpeSxEAfaIwDQYJKoZIhvcNAQELBQAwgZExCzAJBgNV ......... -----END CERTIFICATE----- </cert> <key> -----BEGIN RSA PRIVATE KEY----- MIIJKAIBAAKCAgEA1l29+9k+RIEhnTpitfeAl5vxFgY11F/D/l1pSIxBHf1o9Wkn ................. -----END RSA PRIVATE KEY----- </key> verb 4 cipher AES-256-CBC auth SHA1 pull resolv-retry infinite auth-user-pass auth.cfg route-method exe #можно роуты для клиента прописать #route 192.168.0.0 255.255.255.0 10.0.88.1 #route 192.168.0.223 255.255.255.255 10.0.88.1 #route 192.168.2.0 255.255.255.0 192.168.0.223 ip-win32 dynamic dhcp-option DOMAIN 'domain.local' dhcp-option DNS 192.168.0.2 dhcp-option NTP 192.168.0.1 dhcp-option WINS 192.168.0.2 register-dns remote-cert-tls server

попробовал, от моего отличается только строчкой ip-win32 dynamic опциями dhcp

пусто

попробовал, от моего отличается только строчкой ip-win32 dynamic опциями dhcp

та же самая ошибка

та же самая ошибка

а логи после ошибки (лог с дебугом) с микротика и в клиенте лог тоже вербозный есть?

Зобанить и посмотреть че это такое

Аха, это псина на мой вифи ломится периодически

тут коннекция удалась. а в клиентском логе?

на клиенте в конфиге поменять verb на 15 и ещё раз его лог, плз

на клиенте в конфиге поменять verb на 15 и ещё раз его лог, плз

https://pastebin.com/Y13hqCrY

Доброго времени. Емеется ли у кого-нибудь из здесь присутствующих mANTbox 2?

Хотелось бы узнать, как ведет себя сигнал по краям диаграммы его антенны.

https://pastebin.com/Y13hqCrY

а на стороне микротика в логах про разрыв ничего нет?

нет

ну он, как минимум, должен написать, что сессия же закрыта

Как сгенерировать трафик на микроте, чтоб загрузить канал провайдера для теста? Попробовал открыть 4 окна пинга в 10 мс 65000 байт - где-то работает, этой провайдер 1500 максимум пускает

все что он пишет

ERROR: S client not available

он пишет что соединение установлено, потом сразу дропает из-за какогото двойного пакета...

это стандартный буг про двойной пакет

только в логах светится

стандартный то стандартный, кучу мануалов перечитал что у всех раьботает - у меня ни по одному не получается :(

надо попробовать с другой винды подключиться..., но это конечно не решение нифига

это стандартный буг про двойной пакет

На другой винде то же самое

Нашел в своей сети

Это еще не стало мемом?

Ну это таинственный русский greyhat hacker, латающий дырки на сотнях тысяч микротиков

пишуший статьи на хабре

Я понимаю

Но удивился, что нашел в своей сети таких)

6.40.4 имеет уязвимость?

тут ещё один есть: лочит ИЗ локалки наружу все порты которые могут использовать ботнеты

routerscan

Помогла вот эта штука

значит прошивка не свежая

6,40,4

Уязвимость же на 6,39,х ?

вот же

Ну здорово, всегда хотел попробовать GRE и IPIP туннели сделать. Теперь есть с кем делать)

http://memesmix.net/media/created/250/1shyov.jpg

https://t.me/MikrotikRu/381101

я про исходящий трафик

что если на исходящем трафике можно поймать троян, то лучше это сделать, но это никто не делает

большое количество троянов висит на строго определенных портах

и это не 443)

а микротик может сделать чтобы был и ап и статион на одном вайфай?

а микротик может сделать чтобы был и ап и статион на одном вайфай?

Да

а как?