oVPN Kaspersky Secure Connection в роутере Microtik прошу помощи в настройке соединения

[yorik25]

Здравствуйте, прошу помочь настроить доступ к Kaspersky Secure Connection в роутере Microtik.
Не могу настроить подключение через oVPN клиент - не подключается.

Данные роутера:
Модель: Mikrotik 951Ui-2nD
Версия ПО: 6.49.13

Присутствует поддержка oVPN

 

Мои действия пошагово высылаю вам в прилагаемых скриншотах. 
Свободные лицензии на Kaspersky Secure Connection в ЛК на момент настройки присутствуют. 
Поиск по форуму не дал ответа на вопрос как решить проблему. 

[vvr]

Удалось решить? Аналогичная проблема . Перечан кучу формумов, у некоторых удалось. Сделал как указана тут https://www.cyberforum.ru/mikrotik/thread3124256.html , но результата ноль.

[BlackHeart]

Есть тот человек что поможет? 

[LonWolfius]

Проблема в том что Касперский генерирует сертификат сроком действия 100 лет, с 2022 по 2122 годы. А микротик воспринимает даты с 1970 по 2105г. Все что больше, отсчет начинается снова с 1970-го года. Из-за этого дата окончания действия сертификата меньше чем дата начала действия и поэтому сертификат считается не валидным.

Приложил скрин из mikrotik-а с тестовыми сертификатами со сроком действия от 10 до 100 лет

Обратился в техподдержку Касперского, посмотрим что ответят.

Edited July 10 by LonWolfius
Дописал ответ

[AHAPXICT]

Доброго всем дня. Поддержка Касперского ответила?

[LonWolfius]

После довольно продолжительного общения с поддержкой Касперского, вопрос решить не удалось. На моё предложение уменьшить срок действия сертификата или дать возможность пользователю самому выбрать срок действия, ответили следующее:

Цитата

Здравствуйте!

Уважаемый пользователь, мы передали Ваше пожелание по доработке продукта нашим разработчикам на рассмотрение.

К сожалению, так как процесс разработки и внедрения нового функционала достаточно трудоемкий, в данный момент сведения о дате выпуска обновления с возможностью изменения срока действия сертификата (даже приблизительной) отсутствуют.

Благодарим за обратную связь!

Так что к сожалению, в настоящее время настроить OpenVPN от касперского не представляется возможным (но если у кого-то вдруг получилось, буду благодарен решению).
В итоге у себя настроил через WireGuard, у касперского так же можно сгенерить.

[kmscom]

В 10.07.2025 в 23:58, LonWolfius сказал:

микротик воспринимает даты с 1970 по 2105г. Все что больше, отсчет начинается снова с 1970-го года.

а к микротику обращались?

[Friend]

@LonWolfius а зачем именно нужен oVPN? У WireGuard же больше плюсов или чего-то не хватает?
По срокам решения может быть подскажет @Romanamors.  А так соглашусь с @kmscom может стоит также обратиться в поддержку Mikrotik  или com, чтобы они со своей стороны фиксили.

[Romanamors]

Quote

По срокам решения может быть подскажет @Romanamors.

Добрый день. Если верить форумам микротика, то актуальные RouterOS/openvpn client понимают 64битное время, а UI - нет, поэтому даты валидности сертификатов только отображаются некорректно. 

У меня очень ограниченный опыт с настройкой микротика (удаленно + технически неподкованный пользователь), едиственное что получилось - завести openvpn клиент с tcp протоколом (но там скорость очень скромная получалась + работало очень нестабильно). 

В чем суть несовместимости с клиента микротика с серверами с современными ванильными релизами openvpn - затрудняюсь ответить, у меня нет под рукой микротика, чтобы детально изучить эту проблему. 

[BlackHeart]

Удалось настроить через wireguard.

Спойлер

### Конфигурация интерфейса WireGuard

```
{
# Создание интерфейса
/interface/wireguard
  add listen-port=51820 name=wireguard1 private-key="..........."
  
# Добавление пира (сервера)  
/interface/wireguard/peers
  add interface=wireguard1 public-key="............"\
  allowed-address=0.0.0.0/0,::/0 endpoint-address=........ endpoint-port=51820 persistent-keepalive=10s
  
# Назначение IP-адреса  
/ip/address
    add address=......./32 interface=wireguard1
    
# NAT для выхода в интернет через VPN    
/ip firewall
  nat add chain=srcnat out-interface=wireguard1 action=masquerade comment="MASQ for WG"
}
```

### Перенаправление через wireguard1 (wg)
 

```
# 
/ip firewall address-list
  add address=8.47.69.0 list=list_wg comment="api.ipify.org"

/routing table 
  add fib name=mark_wg
  
/ip route
  add dst-address=0.0.0.0/0 gateway=wireguard1 routing-table=mark_wg
  
/ip firewall mangle
  add chain=prerouting action=mark-routing passthrough=no src-address=192.168.0.0/16 comment="Mark wg" dst-address-list=list_wg new-routing-mark=mark_wg
  
/ip firewall filter
  add chain=forward action=accept out-interface=wireguard1 routing-mark=mark_wg

# Если не отключить, то пакеты не будут маркироваться после подключения  
/ip firewall filter set [find comment="defconf: fasttrack"] disabled=yes

```

```
# Критические домены YouTube (FQDN)
/ip firewall address-list
add address=youtube.com list=list_wg
add address=www.youtube.com list=list_wg
add address=youtu.be list=list_wg
add address=yt.be list=list_wg
add address=googlevideo.com list=list_wg
add address=ytimg.com list=list_wg
add address=ggpht.com list=list_wg
add address=gvt1.com list=list_wg
add address=youtube-ui.l.google.com list=list_wg
add address=youtubeembeddedplayer.googleapis.com list=list_wg
add address=youtube-nocookie.com list=list_wg
add address=youtube.googleapis.com list=list_wg
add address=youtubei.googleapis.com list=list_wg

# Дополнительные домены YouTube
/ip firewall address-list
add address=m.youtube.com list=list_wg
add address=music.youtube.com list=list_wg
add address=gaming.youtube.com list=list_wg
add address=studio.youtube.com list=list_wg
add address=tv.youtube.com list=list_wg
add address=accounts.youtube.com list=list_wg
add address=upload.youtube.com list=list_wg
add address=api.youtube.com list=list_wg
add address=manifest.googlevideo.com list=list_wg
add address=yt-video-upload.l.google.com list=list_wg
add address=wide-youtube.l.google.com list=list_wg

# Дополнительные CDN и сервисные домены:
/ip firewall address-list
add address=googlehosted.com list=list_wg
add address=googleapis.com list=list_wg
add address=doubleclick.net list=list_wg
add address=googleadservices.com list=list_wg

# Важные региональные домены (пример для России):
/ip firewall address-list
add address=youtube.ru list=list_wg
add address=youtube.com.ru list=list_wg
add address=youtuberu.com list=list_wg

# Ключевые DNS-серверы Google
/ip firewall address-list
add address=8.8.8.8 list=list_wg
add address=8.8.4.4 list=list_wg
```

Автоматизация обновление YouTube CIDR (скрипт)

System > script > Update_Google_IPs

```
# Step 1: Download the JSON file
/tool fetch url="https://www.gstatic.com/ipranges/goog.json" dst-path="google_ips.json"
:delay 3s

# Step 3: Remove old entries
/ip firewall address-list remove [find where list="YouTube" && comment="YouTube CIDR"]

# Step 4: Add new entries from parsed data
:local jsonData [/file get google_ips.json contents]
:local data [:deserialize $jsonData from=json]
#:put $data
:local prefixes ($data->"prefixes")
#:put $prefixes
:put [:len $prefixes]
:foreach prefix in=$prefixes do={
    :local ipv4Prefix  ($prefix->"ipv4Prefix")
    #:put "ipv4Prefix: $ipv4Prefix "
    #:put [:typeof $ipv4Prefix]
    :if ([:typeof $ipv4Prefix] = "ip-prefix") do={
      :put "ipv4Prefix: $ipv4Prefix "
      /ip firewall address-list add address=$ipv4Prefix list=list_wg comment="YouTube CIDR"
    }
}
```

Запуск скрипта из терминала

```
/system script run Update_Google_IPs
```

Обновление каждые 3 дня

```
/system scheduler add name="Google_IP_Update_3d" interval=3d on-event=Update_Google_IPs
```