RSS Feed

OpenVPN, Mikrotik i Bad LZO decompression header byte

Marzec 25, 2013 by 0verlord

mikrotik

Mikrotik to ogólnie fajny sprzęt i sporo może. Niestety kilka rzeczy jest nie do końca zaimplementowanych. Jedną z tych rzeczy jest OpenVPN.

Mimo najnowszej wersji softu i na wydawałoby się – poprawnego konfiga, tym razem nie chciał się połączyć.
Objawy były takie, że łączyło mnie, a po jakimś czasie do loga szedł komunikat
Inactivity timeout (--ping-restart)
i oczywiście rozłączało, potem łączyło znowu, znowu nie mogłem nic pingnąć po drugiej stronie i tak w kółko.

Logi śmiecił jeszcze komunikat pt:
Bad LZO decompression header byte: (numerek)

To już w ogóle było pozornie bez związku, ale poszedłem tropem tegoż węża. Po stronie klienta próbowałem to wyłączyć ustawiając
use-compression=no

w /ppp profile, ale to nic nie dało. Rzut oka do konfiga po stronie serwera ujawnił straszliwa prawdę – była tam odkomentowana dyrektywa comp-lzo.
Zakoment, restart openvpna i tadam.wav.

Podsumowując:

1. mikrotik obsługuje OpenVPNa w trybie klienta, ale tylko po TCP, udp nie jest zaimplementowane.
2. … za to obsługuje autoryzację zarówno po certyfikacie, jak i po userze/haśle.
3. klient nie rozumie kompresji – po stronie serwera trzeba wyłaczyć comp-lzo
4. jeżeli nie mamy kontroli nad serwerem, i nie możemy tam dodać trasy do podsieci zza naszego vpna, trzeba dodać regułkę maskarady na interfejsie ovpn-out1 (czy też jakkolwiek się u Was nazywa)


Brak komentarzy »

No comments yet.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

− 1 = jeden