How-TO: Servidor L2TP IPsec en Mikrotik

Aparte de ser más seguro que PPTP, es totalmente necesario para algunos, ya que varios operadores de móvil (como Simyo) capan el protocolo GRE necesario para conectar a PPTP.

1) En IP -> Firewall -> Filter Rules, abrimos los puertos:
-UDP 500, 1701, 4500
-50 ipsec-esp
-51 ipsec-ah



2) En IP -> Pools, creamos un rango de IPs para la VPN, en mi caso:



3) Pinchamos en PPP, Profiles y creamos uno para la VPN, en mi caso:



En el apartado Protocols lo dejamos todo en default.

4) En la pestaña Secrets creamos un usuario asociándolo al perfil:



5) En la pestaña Interface pinchamos en el botón de L2TP Server, lo habilitamos, seleccionamos perfil y sólo marcamos mschap2.



6) Nos vamos a IP -> IPsec y a la pestaña Peers añadimos quedando así:



Donde pone Secret hay que inventarse la clave que se usará para IPsec.

7) En la pestaña Proposals añadimos quedando así:



Y ya deberíais de poder conectar, creo que no se me pasa nada :)

¿alguien podría probar la vozIP conectado mediante esta VPN? Debería de funcionar, pero por si acaso...

Fuente: http://www.nasa-security.net/mikrotik/m ... ith-ipsec/ (además aparece como configurar windows e iOS)

PD: uso L2TP porque aún no conseguí usar OpenVPN en Mikrotik.
 
El OpenVPN sí que funciona pero solo en tcp.

Es el fallo de los Mikrotik, que no soporta openpvn en udp que es lo habitual.
 
Yo tengo simyo. Acabo de probar y me he podido conectar sin problemas al servidor PPTP del NAS. ¿simyo lo capa a todo el mundo?
 
Hola,

Muchas gracias por el tutorial. Lo he seguido, porque la VPN con PPTP no me funcionaba en tuenti, pero parece que Mikrotik ha cambiado algunas cosas en la parte de IpSec y nunca me funcionaba la conexión. Aparecía todo el rato un error de este tipo en los logs:

failed to pre-process ph2 packet

Me ha llevado varias horas, pero al final lo he hecho funcionar, la clave estaba aquí:

http://forum.mikrotik.com/viewtopic.php?t=88033

A través del interfaz de lineas de comando (desde la interfaz de usuario no funciona)  He tenido que ir a /ip ipsec peer y añadir el peer de esta manera:

Código:
add address=0.0.0.0/0 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="XXXXXX" generate-policy=port-override policy-template-group=*FFFFFFFF exchange-mode=main-l2tp\ send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=120 dpd-maximum-failures=5
Ojo con cambiar el pre-shared-key secret por lo que vosotros querais tener.

No tengo ni idea de por qué razón no funciona con la interfaz. Con esto te funciona una VPN/L2TP Ipsec en tuenti movil y el router Mikrotik a pesar de que Tuenti dice en su documentación que no funciona.

Un saludo.
 
Hola, no sé si a lo mejor este hilo es un poco antiguo. Lo rescato porque tengo un problema: a pesar de poner todas las reglas que especificas en el firewall:
1) En IP -> Firewall -> Filter Rules, abrimos los puertos: 
-UDP 500, 1701, 4500 
-50 ipsec-esp 
-51 ipsec-ah 

Sin embargo, no consigo que funcione salvo que deshabilite la regla que dice:

add action=drop chain=input comment=\ "default configuration (Blocks L2TP/IPSec)" in-interface=pppoe-out1

Cuando la desactivo, funciona perfectamente. El caso es que con el PPTP no me pasa. ¿me podéis echar una mano?

[EDITO] Lo curioso es que cuando tengo esa regla habilitada, todo lo demás me funciona sin problemas: transmission, p2p, navegar...
 
Esa regla tiene que estar después que las otras en winbox. Asegurate de que se aplica la última y funcionará
 
A continuación copio y pego desde el hilo principal de Mikrotik un post que he puesto sobre configuración de L2TP/IPSec.

Es prácticamente lo mismo que las instrucciones del primero post del hilo, salvo que todo por comando.

Entiendo que además de contestar al compañero, debido al título de este post y su finalidad, es correcto y bueno añadirlo aquí también para futuros buscadores de información.

Un saludo.
 
Bueno, pues ya está configurado el L2TP/IPSec

Son muchos pasitos pero debería funcionarte perfectamte. He seguido la guía del hilo que te han indicado y también me he ido fijando en lo que te he puesto.

Ten en cuenta que las pruebas las tienes que hacer desde una conexión externa a la de tu red interna. Yo utilizo Android con 3G. Cómo configurar la VPN en Android también hay que tenerlo en cuenta, pues si lo configuras mal, pues no irá, lógicamente.

Lo primero primero es (si ya has reestablecido la configuración de malosa como te he comentado en el post anterior), lo primero es hacer un backup desde el menú Files y luego pulsas Backup y No Encrypt y luego aceptar.

Luego ya, lo primera (segundo) que deberías hacer, es crear un Pool específico para las IPs de VPN, que te servirá tanto para conseguir una IP externa aunque interna, es decir, que será el Pool para identificar las IPs con NAT del lado de la red local VPN y enmascarar la IP real externa. Además después debes indicar una IP Interna que será la del router, es decir, la 1 del rango que utilices.

Yo me cree el rango 192.168.30.4/31 para tenerlo bien acotado y sólo tener disponibles un número limitado de IPs disponibles, es decir, de clientes VPN.

El comando es :
Código:
/ip pool
add name="Pool DHCP VPN" ranges=192.168.30.4/31

Luego creas la conexión L2TP para lo que debes ejecutar los siguientes comandos:

Aquí configuras los parámetros que se encuentran en Winbox en el botón L2TP Server:
Código:
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp-ipsec enabled=yes max-mru=1460 max-mtu=1460

Aquí configuras los parámetros del perfil default-encryption donde pones como dirección interna la correspondiente al router y como rango de IPs el Pool que te has creado anteriormente, y por último como DNS también pones el router:
Código:
/ppp profile
set default-encryption dns-server=192.168.30.1 local-address=192.168.30.1 remote-address="Pool DHCP VPN" use-encryption=required use-upnp=no

Luego te creas el usuario que más rabia te de para autenticarte en la VPN cuando se establece la conexión. Como ves en la instrucción, además de indicar el usuario y el password que desees (En este caso UsuarioVPN y UnaPassFuerte123), tambien se indica el perfil que hemos configurado antes y a qué servicio va dirigido el usuario, es decir, que este usuario sólo sirve para servicios de L2TP con las premisas de seguridad establecidas en el perfil default-encryption:
Código:
/ppp secret
add name=UsuarioVPN password=UnaPassFuerte123 profile=default-encryption service=l2tp

Y ya creamos la interface L2TP-Server,  que realmente no hace falta pues se crea de forma dinámica, pero si la creas de antemano, podrás configurar después reglas en Firewall, NAT, etc.., además de poder identificarla más facilmente, etc:
Código:
/interface l2tp-server
add name=l2tp-ipsec user=UsuarioVPN

Y creo que no se me olvida nada en esta parte, así que vamos a configurar la parte de IPSec.

Se crea un "proposal" donde configuramos algunos parámetros. Con la instrucción de abajo se modifican sólo unos pocos, dejando el resto por defecto. Así, la autenticación se queda en sha1 por ejemplo. Nosotros sólo ponemos que el cifrado sea bajo aes-256-cbc. Esto tiene que coincidir con la configuración de Peers, si no, no funcionará. Aquí se pueden añadir varios algoritmos de cifrado. Puedes poner varios o dejar uno. Si ves que con 256 va muy lenta la conexión, puedes ir bajando y utilizar una 128, aunque es más debil.
Código:
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc pfs-group=none

Ahora la configuración del Peer. Como ves, también sólo cambiamos algunos parámetros, indicando que el cifrado sea como el que hemos puesto en proposal, es decir aes-256, luego indicamos que el modo principal de conexión será main-l2tp, generate-policy que no se muy bien que es, pero he visto que si permito que esta configuración se cree de forma dinámica lo pone con port-strict, así que así lo ponemos nosotros. Y el parámetro que necesitas para establecer la conexión, un secreto, que debería ser largo, tipo frase.
Código:
/ip ipsec peer
add enc-algorithm=aes-256 exchange-mode=main-l2tp generate-policy=port-strict  secret=MeGustaElChocolateSecreto

Y luego por último te pongo la política por defecto. Aquí sirve de plantilla pero se creará una siempre que un cliente se conecte. La política que se crea por defecto se crea para la IP de entrada del cliente y la IP del router externa:
Código:
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0

Ya sólo queda abrir los puertos en el Firewall para permitir el tráfico entrante. Aquí cuidado, pues si simplemente añades la regla y la dejas la última y tienes una regla de bloqueo de entrada, pues como si no haces nada.

El Firewall funciona de arriba a abajo hasta que se encuentra una regla que coincide y entonces la aplica. Es decir, que si tienes 10 reglas, empezará a evaluar la conexión desde la primera desde arriba, ya sea entrante, saliente o de paso, con puerto x, protocolo,
pascualo, etc... Si no coincide con la primera, pues pasa a ver si coincide con la segunda, y así hasta que encuentra una que sí coincide; aplica la acción y se para (existen unas pocas acciones que continuan pero por para no complicar, en regla general se para). Las acciones principales son aceptar o bloquear. Entonces pensemos, si no coincide con ninguna regla, qué ocurre? Pues que permite la conexión! Entonces para que las reglas? Pues por que la última regla, para que no se permita la conexión es una regla de que toda conexión entrante al routerse bloquee.

Si tienes así configurado el Firewall, que es lo normal, si añades una regla y está debajo de la de bloquear toda conexión entrante, pues como si no pones nada, pues nunca se podrá evaluar dicha regla que acabas de añadir.

Bien, pues sabiendo eso, añadimos la siguiente regla:
Código:
/ip firewall filter
add chain=input comment="##### VPN L2TP/IPSec entrante desde internet 
#####" dst-port=500,1701,4500 in-interface=pppoe-out1 protocol=udp
IMPORTANTE: donde pone pppoe-out1 asegurate que es la interface de entrada desde internet, ya que si no nunca coincidirá y no permitirás entrar la conexión. Este nombre puede cambiar. Además si no tienes Movistar, esta interface no la tendrás y tendrás otra interface, como es mi caso, que es una VLAN, y no tengo pppoe.

Bien, pues teniendo esto en cuenta, ahora que has añadido la regla por comando, tienes que ir a la pantalla de firewall y con el ratón mover la regla para que esté por delante/arriba de la que tengas de bloqueo de entrada.

Y por último, una regla de NAT para enmascarar la IP por si hiciera falta,
pero que veo que en mi caso no hace falta por que veo que no genera
tráfico, la verdad que no entiendo muy bien por qué. De todas formas te
la pongo, pues cuando tenía Movistar, sí la tenía puesta:

Código:
/ip firewall nat
add action=masquerade chain=srcnat comment="##### Enmascara el trafico VPN #####" out-interface=l2tp-ipsec

Si ves que el contador de paquetes está siempre a 0, pues la eliminas y listo.

Bueno, pues eso es todo. Así lo tengo yo ahora mismo y desde Android lo tengo configurado y probado y funcionando. En Android asegurate de que pones el secreto en la configuración de IPSec en la parte de "Clave precompartida de IPSec" y no en L2TP secreto pues puede dar a confusión.

Una vez la configuración de la conexión es correcta, la primera vez que te conectas te pedirá usuario y password y ahí ya metes el usuario y password que creamos en la parte de configuración L2TP.

Espero que por fin consigas configurarlo.

Un saludo.
 
Muchas gracias. La verdad es que lo había dejado por imposible. Al final, me he limitado a poner la regla que lo bloqueaba todo al final. Y ha funcionado. Me funcionaba perfectamente desde casa, es decir, sin pasar por el firewall. Es decir que el servidor estaba bien configurado, pero no funcionaba en cuanto establecía la conexión desde la red 4G.
Ahora bien:
Si he puesto lo primero de todo las reglas que especificáis del firewall, se supone que se deberían procesar y por tanto no seguir hasta la que lo bloqueaba. Sin embargo, no era así. Después de las reglas del post, y de alguna otra del script de malosa, estaba la de bloqueo del resto del tráfico. Y después, estaban las reglas siguientes (pongo lo de la tabla, no sé cómo exportar):

12.- accept | forward | established
13.- accept | forward | related

#NTP Connect
14.- accept | forward | 17(udp) | port 123 | IN all ethernet |OUT ppoe-out1
15.- accept | output | 17(udp) | port 123 | OUT ppoe-out1

Las 12 y 13 indican tráfico. La 14 tercera ninguno. La 15 casi nada.

Alguien me puede decir para qué sirven esas reglas? Las he deshabilidato (las cuatro) y TODO sigue funcionando igual. EDITO: No he probado la voz sobre IP. El NTP es para eso?

Después de esta está la regla drop forward invalid y luego la última, la que he movido al final.
No entiendo nada.
 
Hola Monsam,

por finnn!!! he conseguido configurar L2TP/IPSec en mi iPhone!! :) . He subido las reglas al principio del todo del firewall y ya me ha conectado. La verdad es que me estab volviendo loco y lo pero de todo, me empezaba a sentir inútil jeje.

Ahora se me presenta una duda: Ya puedo conectar mi iPhone y iPad a mi casa. La configuración para que funcione es que el algoritmo del hash debe ser SHA1 impepinable. Por lo que he leído SHA1 ya ha sido vulnerado, por lo que se recomienda el uso de SHA256 o SHA512.

Ahora bien, me gustaría configurar mi portátil para conectarme también a la VPN, pero si técnicamente me permite usar SHA256 o SHA512 preferiría usar ese HASH. He probado a  tener 2 Proposals (uno con SHA1 y otro con SHA256) y no me conecta el iPhone. Además he creado 2 Peers cada uno con su HASH.

Lo que pido es viable técnicamente o únicamente es posible configurar en el router una VPN con un único algoritmo de HASH para todas las conexiones/usuarios??

No sé si estoy pidiendo demasiado jeje. Un saludo y gracias.
 
Re:

davidmv dijo:
EDITO: No he probado la voz sobre IP. El NTP es para eso?

Después de esta está la regla drop forward invalid y luego la última, la que he movido al final.
No entiendo nada.

El NTP es para sincronizar la hora. Es un servicio. Puedes buscar más información al respecto. No tiene mucho más.

Lo de las reglas y eso ....


El firewall de Mikrotik está basado o funciona como Iptables.

Lo mejor para entenderlo es buscar información y saber qué es input, ouput, forward, etc y cómo y en qué orden se procesa.

Espero que te sirva de ayuda.

Un saludo.
 
soydekra dijo:
Hola Monsam,

por finnn!!! he conseguido configurar L2TP/IPSec en mi iPhone!! :) . He subido las reglas al principio del todo del firewall y ya me ha conectado. La verdad es que me estab volviendo loco y lo pero de todo, me empezaba a sentir inútil jeje.

Ahora se me presenta una duda: Ya puedo conectar mi iPhone y iPad a mi casa. La configuración para que funcione es que el algoritmo del hash debe ser SHA1 impepinable. Por lo que he leído SHA1 ya ha sido vulnerado, por lo que se recomienda el uso de SHA256 o SHA512.

Ahora bien, me gustaría configurar mi portátil para conectarme también a la VPN, pero si técnicamente me permite usar SHA256 o SHA512 preferiría usar ese HASH. He probado a  tener 2 Proposals (uno con SHA1 y otro con SHA256) y no me conecta el iPhone. Además he creado 2 Peers cada uno con su HASH.

Lo que pido es viable técnicamente o únicamente es posible configurar en el router una VPN con un único algoritmo de HASH para todas las conexiones/usuarios??

No sé si estoy pidiendo demasiado jeje. Un saludo y gracias.
 Jo...er! Ya era hora :D  me alegro! Estupendo!

Sobre la regla, si quieres y tienes interés, ves bajando poco a poco su posición hasta que deje de funcionar, y así ves cual es la otra regla que te estaba haciendo que no llegara a la qye te intersaba. Además si consigues comprender como funciona el firewall se te abrirá un mundo de posibilidades.

Sobre el SHA1 tienes razón.

Estuve probando como dices pero no funciona. Se me escapa la razón.

Aquí el riesgo depende de cuántas veces te conectas y cuanto tiempo utilizas la vpn, así como qué podrían obtener para que alguien esté lo suficientemente motivado para intentar romperte el cifrado, hacerte un man in the middle o buscar una vulnerabilidad.

Además, si proteges tus sistemas dentro y creas diferentes segmentos abriendo reglas en el fw sólo para lo que puedas comprometer, pues el tema del sha1 se relaja bastante, no?  ;)

Vamos, que sí, que fastidia que no funcione con mejor sistema de cifrado y no saber por qué, pero hay muchas mas cosas que mirar o hacer.... Así que....

Ahora estoy mirando a ver si consigo configurar OpenVPN, pero algo raro pasa que me está volviendo loco.

También está el VPN SSL que es el más sencillo de configurar y usar. El SSTP es un tipo de SSL VPN de microsoft si no recuerdo mal y es fácil de configurar en Mikrotik, lo malo es que no hay muchos clientes nativos, como pasa con android.

En fin, no me enrollo más,  que me alegro de que ya te funcione y espero que lo puedas afinar.

Si consigues mejor cifrado, please, comparte.

Un saludo.
 
Re: Re:

Monsam dijo:
El NTP es para sincronizar la hora. Es un servicio. Puedes buscar más información al respecto. No tiene mucho más.

Lo de las reglas y eso ....


El firewall de Mikrotik está basado o funciona como Iptables.
Lo mejor para entenderlo es buscar información y saber qué es input, ouput, forward, etc y cómo y en qué orden se procesa.
Espero que te sirva de ayuda.

Un saludo.

Gracias! Efectivamente, más o menos entiendo el funcionamiento. Pero lo que no entendía es porqué la posición de la regla afectaba al tráfico si las relevantes estaban antes. De hecho, he vuelto a la configuración anterior y sí funciona. Así que doy por solucionado el error, después de actualizar el firm del router (a lo mejor era un bug cualquiera).

Ahora mi problema es poder explorar la red desde VPN. Ayer funcionaba, y hoy no. En fin...

Gracias otra vez.
 
Buenas tardes a todos,

¿Alguien ha podido probar si funciona bajo Android 6?

Pregunté en el foro oficial de mikrotik (http://forum.mikrotik.com/viewtopic.php?t=101415) si existe algún bug con Android 6, ya que en mi Nexus5 soy incapaz de echarlo andar, teniendo por error un bonito "authtype mismatched: my:hmac-sha1 peer:hmac-sha256".

Como se deduce del log, en Mikrotik en la definición del peer, el algoritmo es SHA1 (según veo en los manuales/pasos que publicáis), y en Android, tiene de forma nativa SHA256, por tanto, procedo a cambiar en Mikrotik a SHA256 y en teoría, debería funcionar.
Pues no, el mensaje de error cambia a: "failed to pre-process ph2 packet"

Antes tenia andando el tipico PPTP, pero desde que me cambié a Tuenti necesito usar L2TP o similar (aun no me he puesto con OpenVPN).

Un saludo!
 
kbzajunior dijo:
Buenas tardes a todos,

¿Alguien ha podido probar si funciona bajo Android 6?

Pregunté en el foro oficial de mikrotik (http://forum.mikrotik.com/viewtopic.php?t=101415) si existe algún bug con Android 6, ya que en mi Nexus5 soy incapaz de echarlo andar, teniendo por error un bonito "authtype mismatched: my:hmac-sha1 peer:hmac-sha256".

Como se deduce del log, en Mikrotik en la definición del peer, el algoritmo es SHA1 (según veo en los manuales/pasos que publicáis), y en Android, tiene de forma nativa SHA256, por tanto, procedo a cambiar en Mikrotik a SHA256 y en teoría, debería funcionar.
Pues no, el mensaje de error cambia a: "failed to pre-process ph2 packet"

Antes tenia andando el tipico PPTP, pero desde que me cambié a Tuenti necesito usar L2TP o similar (aun no me he puesto con OpenVPN).

Un saludo!

Mira mi primer mensaje de este hilo. Yo tenía el mismo error y lo solucione con la línea especificada allí, aunque con android 5.1 y Tuenti.
 
falchion dijo:
Mira mi primer mensaje de este hilo. Yo tenía el mismo error y lo solucione con la línea especificada allí, aunque con android 5.1 y Tuenti.

He probado tal y como dices, creando el peer mediante terminal y he conseguido que no aparezca el error en el log, pero no conecta :sneaky:.

En el log aparece los intentos de conexión por parte del móvil, no mostrando ningún error, pero tras unos intentos, en Android dice "Con error" (lástima que no pueda tener mas detalles de lo que ocurre en el móvil)

Adjunto una captura del log.


Añado además que si en el proposal marco SHA1 y SHA256, es cuando empieza de nuevo el error diciendo que no coincida la encriptación entre mikrotik y el cliente l2tp, por lo que solo marcho SHA256 y ya deja de pintar el error en el log.

Un saludo

EDITO:
Sé donde está el problema. He probado a crear una VPN utilizando la IP local del router, osea, estando conectado por wifi.
Tanto en Android 6.0 como en 5.0 funciona perfectamente. Cuando uso la red de datos de Tuenti es cuando no conecta, apareciendo en el log los intentos de conexión...

Me temo que, ante tal situación, no se como solucionarlo. Tendré que cambiar de operador.
 
Lo siento, no se como ayudarte más. Tiene pinta de ser algo de Tuenti por tus pruebas. Tal vez puedas echarlo a andar sólo con IPsec sin l2tp. Yo ahora tengo Symio y la VPN me funciona bien con Android 5.1.
 
Hola,

tengo configurado en un 951G un servidor VPN a través de L2TP/IPSec funcionando a la perfección gracias a la info de este hilo. Mis dudas son las siguientes:

1º. Según las imágenes añadidas por Monino en el apartado 5) de su explicación (L2TP Server)no aparece la opción abajo de "Use IPSec", entiendo que será porque en su versión no apareciese en su momento. A mi si me aparece. Vosotros habéis marcado la opción de Use IPSec? He seguido todos los pasos del manual y me funciona perfectamente, pero no sé si es mejor marcar o desmarcar esa opción. Si la marco y aplico me genera otro Peer en IP --> IPSec --> Peers y me lo deja por defecto sin posibilidad de modificar nada dentro de el.

2º. Tengo los 3 puertos del L2TP separados en reglas del Firewall para poder ver los contadores de cada puerto, y me resulta curioso lo siguiente: Cuando me conecto por primera vez desde la calle (con la IP que sea) se conecta y los contadores de los 3 puertos (500,1701 y 4500) pasan de cero a tener un valor XXX. Cosa entiendo correcta, ya que el L2TP usa el 1701, y el 500 y 4500 se usan para IPSec. Lo curioso viene cuando me desconecto de la VPN y me vuelvo a conectar. Conecta sin problemas pero solo aumenta de tamaño el contador del puerto 1701. No debería en cada conexión, independientemente de que la IP desde la que me conecte no haya cambiado respecto de la anterior conexión, usarse los 3 puertos y por tanto aumentase el valor de los contadores? Si es correcto, ¿por qué sólo aumenta el valor del contador del puerto 1701? Ahora eso si, si desde el móvil pongo el modo avión y luego le quito ese modo, y adquiero una nueva IP pública en mi teléfono y , tras ello, me conecto a la VPN, entonces si aumentan los valores de los 3 puertos.

3º. Si me conecto a la VPN desde mi portátil con Windows 10 Pro por narices tengo que tener configurado en el apartado del Mikrotik IP --> IPSec --> IPSec Peer  tanto el algoritmo de encriptación 3DES como AES 256. Si sólo dejo AEs256 me da error y no se conecta la VPN. Si añado 3DES se conecta sin ningún problema, ahora eso si, me voy a los datos de la conexión de la VPN en mi Windows y me dice que el cifrado es AES256. La pregunta es: Si coge AES256 por defecto porque me obliga a poner en el Mikrotik tanto 3DES como AES?


Gracias y un saludo.
 
soydekra dijo:
Hola,

tengo configurado en un 951G un servidor VPN a través de L2TP/IPSec funcionando a la perfección gracias a la info de este hilo. Mis dudas son las siguientes:

1º. Según las imágenes añadidas por Monino en el apartado 5) de su explicación (L2TP Server)no aparece la opción abajo de "Use IPSec", entiendo que será porque en su versión no apareciese en su momento. A mi si me aparece. Vosotros habéis marcado la opción de Use IPSec? He seguido todos los pasos del manual y me funciona perfectamente, pero no sé si es mejor marcar o desmarcar esa opción. Si la marco y aplico me genera otro Peer en IP --> IPSec --> Peers y me lo deja por defecto sin posibilidad de modificar nada dentro de el.

2º. Tengo los 3 puertos del L2TP separados en reglas del Firewall para poder ver los contadores de cada puerto, y me resulta curioso lo siguiente: Cuando me conecto por primera vez desde la calle (con la IP que sea) se conecta y los contadores de los 3 puertos (500,1701 y 4500) pasan de cero a tener un valor XXX. Cosa entiendo correcta, ya que el L2TP usa el 1701, y el 500 y 4500 se usan para IPSec. Lo curioso viene cuando me desconecto de la VPN y me vuelvo a conectar. Conecta sin problemas pero solo aumenta de tamaño el contador del puerto 1701. No debería en cada conexión, independientemente de que la IP desde la que me conecte no haya cambiado respecto de la anterior conexión, usarse los 3 puertos y por tanto aumentase el valor de los contadores? Si es correcto, ¿por qué sólo aumenta el valor del contador del puerto 1701? Ahora eso si, si desde el móvil pongo el modo avión y luego le quito ese modo, y adquiero una nueva IP pública en mi teléfono y , tras ello, me conecto a la VPN, entonces si aumentan los valores de los 3 puertos.

3º. Si me conecto a la VPN desde mi portátil con Windows 10 Pro por narices tengo que tener configurado en el apartado del Mikrotik IP --> IPSec --> IPSec Peer  tanto el algoritmo de encriptación 3DES como AES 256. Si sólo dejo AEs256 me da error y no se conecta la VPN. Si añado 3DES se conecta sin ningún problema, ahora eso si, me voy a los datos de la conexión de la VPN en mi Windows y me dice que el cifrado es AES256. La pregunta es: Si coge AES256 por defecto porque me obliga a poner en el Mikrotik tanto 3DES como AES?


Gracias y un saludo.

Hola @soydekra !
¿Puedes conectarte desde un Android, por ejemplo? Si es afirmativo,¿que operador usas?
PD: Que version de rOS tienes?

Un saludo!
 
Arriba