Acceso APP Mikrotik Android desde el exterior con la VPN Mikrotik

Buenas, esta tarde me he puesto y he realizado un reseteo del hap ac porque ya le había muchas perrerías probando y he conseguido que funcione sin mayores problemas. También me he decidido y he activado la VPN que ofrece Mikrotik con la que puedo acceder a mi red desde un móvil Android ( funciona porque puedo conectarme a mi descodificador de casa y ver los canales como si estuviera delante del televisor ) con la conexión 4G del móvil. Además, he decidido instalar la app que ofrece Mikrotik para manejar el router y mediante wifi no tengo problema, pero si lo intento desde 4G no lo consigo. He probado conectándome a la VPN y desde ahí abrir la app pero nada. He probado a poner la dirección que nos ofrece Mikrotik pero nada, que "connection refused".

No se si es que no sirve esta dirección y hay que tener otra tipo duckdns o similar. ¿Alguna ayuda de alguien? Gracias de antemano.
 
SHINZONITO dijo:
Buenas, esta tarde me he puesto y he realizado un reseteo del hap ac porque ya le había muchas perrerías probando y he conseguido que funcione sin mayores problemas. También me he decidido y he activado la VPN que ofrece Mikrotik con la que puedo acceder a mi red desde un móvil Android ( funciona porque puedo conectarme a mi descodificador de casa y ver los canales como si estuviera delante del televisor ) con la conexión 4G del móvil. Además, he decidido instalar la app que ofrece Mikrotik para manejar el router y mediante wifi no tengo problema, pero si lo intento desde 4G no lo consigo. He probado conectándome a la VPN y desde ahí abrir la app pero nada. He probado a poner la dirección que nos ofrece Mikrotik pero nada, que "connection refused".

No se si es que no sirve esta dirección y hay que tener otra tipo duckdns o similar. ¿Alguna ayuda de alguien? Gracias de antemano.
Haz clic para expandir...

@pokoyo.... en su día lo estuvimos mirando recuerdo
 
Eso es tema de firewall. Dime qué tipo de vpn has montado y pásame un export de la configuración y lo miramos.

Saludos!
 
Es el vpn que Mikrotik te activa por defecto con el Quickset. ¿Cuál era el comando para el export? Recuerdo haberlo hecho alguna vez pero.... ¿Era con la terminal y ....? Espera que ya lo tengo creo, te lo envío.
 
Última edición:
La vpn por defecto te mete dentro de la red, pero no te deja acceder al router por seguridad. Hay que tocar la regla de input o meter el perfil en la lista LAN para que te deje acceder.

el export se lo das con un export hide-sensitive file=config

Saludos!
 
Lo acabo de enviar. No recordarba cómo ocultar lo sensible y lo he borrado pero, vamos, que eres de confianza. :)
Todavía me faltan por abrir puertos y demás, pero esto de la VPN me resultaba curioso. A ver si ves algo raro :)
Gracias.
 
Me acabo de dar cuenta de que el rango de ip que tiene para dar no coincide con el que usa para la vpn, supongo que será que no me dí cuenta y solamente cambié el primer rango. ¿Lo cambio también o no hace falta? Cuando me conecté al principio con el móvil ví que había ese problema pero no lo relacioné y seguí un tutorial tuyo para asignar una ip fija una vez que ya le había dado una.
 
edita el perfil de default-encryption y añade la lista LAN al "Interface List". De esa manera, podrás acceder al router cuando conectes a la VPN.

Saludos!
 
Ya lo he conseguido, poco a poco estoy quitándome el miedo a los mikrotik. Gracias por tu ayuda, pokoyo.
Por si alguien lo necesita en el futuro es tan sencillo como entrar en el menú del mikrotik, seleccionar PPP/PROFILES/DEFAULT ENCRYPTION y luego seleccionar en el desplegable INTERFACE LIST la opción LAN para que, como decía pokoyo, te permita acceder desde cualquier dirección de tu LAN.
 
Y, si quieres entender el porqué, mira las reglas de firewall del chain de input: verás una que diga "drop all not coming from LAN". Esa es la que estás "evitando" cuando metes ese cambio en el perfil default-encryption. Básicamente pasas a considerar todo lo que se genere a partir de ese perfil como perteneciente a tu red local.

Saludos!
 
Ahora lo comprendo, gracias por todo. Es mejor comprenderlo que no limitarse a copiar y ya está por si sucede otra vez. Una última consulta sobre esto... ¿Sería posible limitar el acceso mediante VPN por filtrado de MAC? Estoy mirando pero no encuentro nada. Quizás estoy pidiendo demasiado. Mi intención es que solamente se pueda acceder desde 1 ó 2 equipos cuando estoy fuera tipo tablet, móvil o portátil.
 
La vpn va con usuario y password. Si lo haces bien, cada usuario tendrá su set de credenciales. No te entiendo, para qué quieres la MAC? Qué pretendes filtrar?

Saludos!
 
pokoyo dijo:
La vpn va con usuario y password. Si lo haces bien, cada usuario tendrá su set de credenciales. No te entiendo, para qué quieres la MAC? Qué pretendes filtrar?

Saludos!
Haz clic para expandir...
Solamente era como una medida adicional, pero tienes razón con lo de las credenciales. Era como decir necesitas las credenciales pero hacerlo desde un cierto equipo.

Enviado desde mi Mi 9T Pro mediante Tapatalk
 
SHINZONITO dijo:
Ahora lo comprendo, gracias por todo. Es mejor comprenderlo que no limitarse a copiar y ya está por si sucede otra vez. Una última consulta sobre esto... ¿Sería posible limitar el acceso mediante VPN por filtrado de MAC? Estoy mirando pero no encuentro nada. Quizás estoy pidiendo demasiado. Mi intención es que solamente se pueda acceder desde 1 ó 2 equipos cuando estoy fuera tipo tablet, móvil o portátil.
Haz clic para expandir...

Cuanta gente va a usar tu vpn??
 
SHINZONITO dijo:
Yo solo en principio. Quizás, más adelante, una o dos personas más.

Enviado desde mi Mi 9T Pro mediante Tapatalk
Haz clic para expandir...

Si solo es para ti, con que tengas una buena clave compartida y la clave de usuario potente tambien (que no se sencilla de descifrar), vas de sobra...

Y si se van a conectar otras personas con esa vpn, tienes que valorar si van a querer acceder a toda tu red local o solo a ciertas partes...
 
Si lo quieres restringir por equipo, yo montaría IKEv2, que sabes que hasta que no le instales a ese equipo el certificado, no vas a poder conectar.

Sino, si vas a compartir la conexión vpn con gente de fuera, deja el perfil default-encryption como estaba, lo duplicas, y al nuevo le das el permiso de LAN en el interface List. Luego modificas los usuarios que vayas a querer que, además de acceder a la vpn, puedan llegar a la IP del router, y solo a esos les asignas un perfil con esos permisos. Al resto de usuarios, de que usen el perfil de encriptado por defecto.

Y, para cada usuario, su par de usuario y contraseña.

Saludos!
 
Debes estar conectado o registrado para responder aquí.
Arriba