搜尋
搜尋
  • 2

想請教一下我的手機OPENVPN設定檔用於ROUTEROS哪邊出錯

前往頁尾
h12345678974
h12345678974
h12345678974
7分
樓主
2019-12-09 13:10
目前我給安卓手機用的腳本設定如下:
client
dev tun
proto tcp
remote x.x.x.x 443
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
auth-user-pass
auth-nocache
redirect-gateway
"ca"
-----BEGIN CERTIFICATE-----
金鑰
-----END CERTIFICATE-----
"/ca"
"cert"
-----BEGIN CERTIFICATE-----
金鑰
-----END CERTIFICATE-----
"/cert"
"key"
-----BEGIN ENCRYPTED PRIVATE KEY-----
金鑰
-----END ENCRYPTED PRIVATE KEY-----
"/key"
由於發文好像不能發像這樣"/ca>"故先在前頭改成""
但會一直出現如下圖的錯誤:
想請教一下我的手機OPENVPN設定檔用於ROUTEROS哪邊出錯

想請問我是哪部分搞錯了導致我會發生這樣錯誤,因為電腦可以正常使用,所以我是直接拿電腦用的給安卓吃以為可以互通,沒想到似乎會有金鑰方面的錯誤,想請教大家感謝。
2019-12-09 13:10 發佈
文章關鍵字 RouterOS OpenVPN 手機 設定檔
Save Oil
Save Oil
Save Oil
  • Save Oil
  • 個人積分:326分
    文章編號:75720965
326分
2樓
2019-12-09 13:24
我的設定檔,windows & android通用,給你參考,詳細設置我也不懂,反正可以用 XD

client
dev tun
proto udp
remote XXXXX 8443
float
comp-lzo adaptive
keepalive 15 60
auth-user-pass
ns-cert-type server
<ca>
-----BEGIN CERTIFICATE-----
XXXXX
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
XXXX
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
XXXX
-----END PRIVATE KEY-----
</key>
resolv-retry infinite
nobind
http://store.asus.com/?utm_campaign=zentalk&utm_so
小笨賢
小笨賢
小笨賢
  • 小笨賢
  • 個人積分:4305分
    文章編號:75721311
4305分
3樓
2019-12-09 13:47
h12345678974 wrote:
目前我給安卓手機用的(恕刪)

ROUTEROS....... OPEN VPN 有限制
1. 不能壓縮
2. 不能TLS
3. 不能UDP 連線
4. 不能 無須帳號密碼連線方式


之前英文網站有找到範例 連結沒留(因為我是兩台走 網路模式)

記得ROUTEROS 要設定 IP模式 ..
h12345678974
h12345678974
h12345678974
7分
樓主
2019-12-09 13:56
Save Oil wrote:
我的設定檔,windows...(恕刪)


感謝,但我試過還是不行,感覺是不是金鑰的問題而不是設定檔的問題,不知道是不是我金鑰生產的時候安卓不吃此格式,變成是單純是金鑰格式沒辦法共通。
h12345678974
h12345678974
h12345678974
7分
樓主
2019-12-09 13:59
小笨賢 wrote:
ROUTEROS..(恕刪)


感謝回應,不過想請問我原本設定檔ROS是給電腦可以正常使用的,有帳密,可是直接給手機卻不能,還是說手機版的有些限制目前我只知道手機只支援TUN MODE。 所以會是不是ROS的問題而是手機版支援度的問題嗎?
小笨賢
小笨賢
小笨賢
  • 小笨賢
  • 個人積分:4305分
    文章編號:75725842
4305分
6樓
2019-12-09 20:02
h12345678974 wrote:
感謝回應,不過想請問(恕刪)

====== 電腦端我是這樣 =========
client
dev tun
proto tcp
remote XXX.XXX.XXX.XXX 1194
ca cert_export_cert1.crt
cipher AES-128-CBC
auth SHA1
auth-user-pass auth.cfg
keepalive 10 120
============================

auth-user-pass auth.cfg <<==== 這個檔案放 帳號+密碼(用記事本編輯即可..檔名自取, 第一行帳號..第二行密碼)

cipher AES-128-CBC <<==== 要RouterOS 有勾
auth SHA1 <<==== 要RouterOS 有勾

不需要.key 檔案 只需要.ca
RouterOS .... 要設定成 IP模式
RouterOS 憑證轉出 可以看我之前做的...
hthttps://www.mobile01.com/topicdetail.php?f=110&t=5964738tps://www.mobile01.com/topicdetail.php?f=110&t=5964738
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:75726506
1603分
7樓
2019-12-09 21:09
小笨賢 wrote:
openvpn設定檔可以再簡約,
ca.crt code可置入,不需要額外路徑。大致是:

client
dev tun
remote abc123.dyndns.com 1194
proto tcp
auth-user-pass
redirect-gateway
mute-replay-warnings
<ca>
#複製ca.crt的內碼,然後轉貼到這#
</ca>


把ca.crt code置入到設定檔有何優點?
若您把ca.crt獨立,
要匯入要先開啟手機的檔案管理員,或是iTunes(ios)的app管理。
將設定檔與ca.crt拉到手機後,再操作Openvpn Connect進行匯入。

而ca.crt存入openvpn設定檔,
您只要將設定檔加在e-mail附件,寄給用戶(或自己)。
收mail後點擊附件,指定Openvpn Connect打開,同意匯入即可。
不管是分享給他人 或是進行匯入,感覺流程都省事的多
h12345678974
h12345678974
h12345678974
7分
樓主
2019-12-09 22:03
小笨賢 wrote:
====== 電腦端(恕刪)



感謝回應,不過我問題解決了,發現透過ROS建立的證書,會讓官版的安卓OPENVPN客戶端看不懂該格式的金鑰,所以改用別人寫放在GOOGLE PLAY上的OPENVPN客戶端後(也蠻多人下載的跟官方差不多多),再用我原本的設定就可以正常連線了。

單純是官版的OPENVPN安卓版沒啥更新而已支援度太低,網路也查到大多像這樣都得改寫金鑰格式去解決,所以一開始就不是設定問題....,而且這問題似乎也很久沒解決了,找到3年前到去年年底還有人問這問題...看來不只我在問。

以目前找到的資料可以讓手機吃的似乎是OPENVPN電腦版附的EASYRSA去生產證書才能用。網路上查到好像是ROS所產生的證書格式較新。

不過最後是有點無言就是了,感覺官版的寫的比別人還差有點神奇,電腦版跟手機版支援度也差太多了吧。


不過多個WAN的話是不是可以單純透過變更設定檔去指定走哪個WAN做出口嗎?還是ROS也得透過ROUTE MARK去做指定用哪個WAN做出口,發現目前我設定的是A WAN做連OPENVPN但他走B WAN(預設路由)出去...。
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:75728091
1603分
9樓
2019-12-09 23:38
h12345678974 wrote:
感謝回應,不過我問題(恕刪)
您要在server端(ROS)控制路由,還是client端(手機)?

Server端當然在ROS設置路由標記;
但只在client端(手機)操作,不對server(ROS)時要怎做?

答案同在openvpn設定檔下參數,但要怎下? 有兩個方向:

方案1>
走原手機路由,指定的網段才用vpn:
route 1.0.1.0 255.255.255.0 vpn_gateway
route 1.0.2.0 255.255.254.0 vpn_gateway
...往下添增。

方案2>
走vpn路由,除指定的網段例外 走原手機路由:
redirect-gateway
route 1.0.1.0 255.255.255.0 net_gateway
route 1.0.2.0 255.255.254.0 net_gateway
...往下添增。

注意redirect-gateway這參數,這參數代表以vpn為主。
會套在方案2是有意義的,即是全使用vpn後,挑掉些例外的;

但若把redirect-gateway加在方案1,又指定網段走vpn...
網路都已經全走vpn了,再強調特定網段走vpn,明顯是多此一舉。
ulimie
ulimie
ulimie
  • ulimie
  • 個人積分:1900分
    文章編號:75738449
1900分
10樓
2019-12-10 19:23
h12345678974 wrote:
網路也查到大多像這樣都得改寫金鑰格式去解決,所以一開始就不是設定問題....,而且這問題似乎也很久沒解決了,找到3年前到去年年底還有人問這問題...看來不只我在問。

OpenVPN client 有使用更新版本的要注意,為了改善安全性,安全性較低的舊版的 PKI 不再適用,所以原來用的好好的,卻突然不能再連上,除了效期過期之外,大都是這個問題,要用新版本重做過....
  • 2
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?