Configuración Mikrotik con Triple VLAN Jazztel

Buenas Tardes

Ando probando el IP Service List con los servicios por defectos y sin tocar nada:
1619465113714.png

Mi pregunta es la siguiente, desde fuera de mi LAN (ya sea con mi IP o con la dirección que me ofrece IP Cloud de Mikrotik), no puedo acceder a los servicios que tengo aparecen en la imagen anterior y, como podeis ver, no tengo bloqueado el trafico (avariable from) desde ningún sitio. Con la configuración por defecto como lo tengo ahora mismo, ¿no podría acceder desde el exterior mediante www?
 
NO. Tienes una bonita regla de firewall en el chain de input que dice "Drop all not coming from LAN", que lo impide.
Es decir, si respetas el firewall por defecto, esos puertos están disponibles únicamente desde lo que sea que metas en la lista LAN. Desde fuera, y como debe ser, NO están accesibles.

Saludos!
 
NO. Tienes una bonita regla de firewall en el chain de input que dice "Drop all not coming from LAN", que lo impide.
Es decir, si respetas el firewall por defecto, esos puertos están disponibles únicamente desde lo que sea que metas en la lista LAN. Desde fuera, y como debe ser, NO están accesibles.

Saludos!
Repasando este mismo hilo, me iba a contestar yo mismo al mensaje, porque ya me lo comentaste cuando me explicaste las reglas del Firewall, pero has estado más rápido que yo.
Perdona las molestias @pokoyo.

Un saludo.
 
Repasando este mismo hilo, me iba a contestar yo mismo al mensaje, porque ya me lo comentaste cuando me explicaste las reglas del Firewall, pero has estado más rápido que yo.
Perdona las molestias @pokoyo.

Un saludo.
Nada, molestia ninguna. Tranquilo, que si respetas la config por defecto, vas protegido.

Saludos!
 
Buenas Tardes

He comprado un dominio ###.es en Hostalia para redirigir a mi dirección IP Cloud que me proporciona Mikrotik (para no tener que aprenderme la dirección tan larga). Me da 4 opciones para redirigir la web y no se cuál elegir, por si me podéis echar una mano. Estas son las 4 posibilidades:

1619633677927.png
 
Necesitas un subdominio del dominio. Si has comprado pericopalotes.com, crea el subdominio router.pericopalotes.com y lo configuras, en la configuración del DNS como un alias (CNAME) del dominio de mikrotik.

Saludos!
 
Necesitas un subdominio del dominio. Si has comprado pericopalotes.com, crea el subdominio router.pericopalotes.com y lo configuras, en la configuración del DNS como un alias (CNAME) del dominio de mikrotik.

Saludos!
Lo acabo de configurar pero no tengo acceso aún, he configurado el CNAME pero intento acceder desde mi PC y no he podido. He abierto un ticket en el proveedor.

Esta quedando un hilo curioso @pokoyo. Hoy lo he releido y hemos empezado desde 0 hasta tener un sistema bastante bueno y con muchas dudas resueltas.
 
A ver si es verdad! Y así, sacamos algo de provecho del tema.

Dependiendo de tu proveedor y de lo rápido que propague su dns, puede tardar un pelín el tema. Pero, en unas horas, deberías tenerlo

Saludos!
 
Buenos días

Esta mañana he modificado y añadido algunas cositas al router para seguir implementando cosas:

En primer lugar he añadido algunas IPs estáticas, como se muestra a continuación:
Código:
/ip dhcp-server lease
add address=192.168.88.4 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Swicth US-8-150W" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.6 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 2" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.7 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "ATA SIP Grandstream HT701" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.5 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 1" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.8 comment="Gigaset C530 IP" mac-address=\
    xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.3 client-id=xx:xx:xx:xx:xx:xx:xx comment="Swicth US-24" \
    mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.2 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "UniFi Cloud Key" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1

He añadido al servidor DHCP que me aporte la información del dominio interno ".lan":
Código:
/ip dhcp-server network
add address=192.168.88.0/24 domain=lan gateway=192.168.88.1

He añadido algunas direcciones internas al DNS:
Código:
/ip dns static
add address=192.168.88.1 name=router.lan
add address=192.168.188.2 name=gpon.lan
add address=192.168.88.2 name=cloud.lan
add address=192.168.88.3 name=switch1.lan
add address=192.168.88.4 name=switch2.lan
add address=192.168.88.5 name=ap1.lan
add address=192.168.88.6 name=ap2.lan
add address=192.168.88.7 name=ata.lan
add address=192.168.88.8 name=giga.lan

Para un futuro, he creado la lista de dirección para la IP pública para poder hacer Hairpin si abro algún puerto.
Código:
/ip firewall address-list
add address=xxxxxxxxxxxx.sn.mynetname.net list=public-ip

/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
Aqui tengo una pregunta para @pokoyo, ¿sino abro ningun puerto, estas órdenes que he puesto hacen peligrar de algún modo la seguridad del router?

Por otra parte, he desactivado algún servicio que no voy a utilizar del router, y los otros que si utilizo los restringo solo a la LAN.
Código:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24
set ssh address=192.168.88.0/24
set api disabled=yes
set winbox address=192.168.88.0/24
set api-ssl disabled=yes
¿Es correcto como esta puesto @pokoyo ?

Finalmente, he eliminado el cliente NTP que tenia:
Código:
/system ntp client
set enabled=yes primary-ntp=185.132.136.116 secondary-ntp=185.111.204.220
Esto es porque me funciona ya el IP Cloud y actualiza la hora tambien, sino tengo mal entendido @pokoyo.

Os dejo la configuración completa:
Código:
# may/01/2021 09:26:51 by RouterOS 6.48.2
# software id = xxxx-xxxx
#
# model = RouterBOARD 1100Dx4
# serial number = xxxxxxxxxxxx
/interface bridge
add name=bridge1
/interface vlan
add interface=ether1 name=VLAN-Internet vlan-id=1074
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.88.200-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
add interface=VLAN-Internet list=WAN
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
add address=192.168.188.1/24 interface=ether1 network=192.168.188.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=VLAN-Internet
/ip dhcp-server lease
add address=192.168.88.4 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Swicth US-8-150W" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.6 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 2" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.7 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "ATA SIP Grandstream HT701" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.5 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 1" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.8 comment="Gigaset C530 IP" mac-address=\
    xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.3 client-id=xx:xx:xx:xx:xx:xx:xx comment="Swicth US-24" \
    mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.2 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "UniFi Cloud Key" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
/ip dhcp-server network
add address=192.168.88.0/24 domain=lan gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.88.1 name=router.lan
add address=192.168.188.2 name=gpon.lan
add address=192.168.88.2 name=cloud.lan
add address=192.168.88.3 name=switch1.lan
add address=192.168.88.4 name=switch2.lan
add address=192.168.88.5 name=ap1.lan
add address=192.168.88.6 name=ap2.lan
add address=192.168.88.7 name=ata.lan
add address=192.168.88.8 name=giga.lan
/ip firewall address-list
add address=xxxxxxxxxxxx.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24
set ssh address=192.168.88.0/24
set api disabled=yes
set winbox address=192.168.88.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Router
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Aqui tengo una pregunta para @pokoyo, ¿sino abro ningun puerto, estas órdenes que he puesto hacen peligrar de algún modo la seguridad del router?
No. Pero, al tenerlas hechas así, recuerda luego al abrir un puerto en NAT, usar el dst-address-list como filtro, en lugar de ninguna interface.

¿Es correcto como esta puesto @pokoyo ?
Correcto.

Esto es porque me funciona ya el IP Cloud y actualiza la hora tambien, sino tengo mal entendido @pokoyo.
Correcto, no necesitas uno explícito, ya lo hace el IP -> Cloud, si no le has quitado la opción de "Update Time", habilitada por defecto.

La config total está correcta. ¿no te atreves con VLANs para los AP's de ubiquiti? Para enrutar por separado un par de VLANs, para invitados y trabajo, por ejemplo.

Saludos!
 
Buenas Tardes

Tras unos meses un poco caóticos con mudanzas y traslados vuelvo por aquí.

Tras tener todo configurado, me surge un par de "necesidades" logísticas que necesito resolver y me gustaría pediros ayuda.

En primer lugar, me mudo a otra comunidad pero mi servidor rack no me lo puedo llevar ya que es muy grande y lo voy a dejar conectado en mi casa anterior (aún de mi propiedad) y me gustaría montar una VPN o algo similar. También he visto algunas sugerencias de conectividad túneles EoIP y diferentes tipos de VPN (OpenVPN, IKEv2 VPNs, tipo RoadWarrior usando WireGuard). Me gustaría saber cuál es la diferencia entre los diferentes tipos ya que he visto las guías para configurarlo pero no se cuál escoger.

Por otra parte, necesito abrir algunos puertos y me gustaría como hacerlo de la forma más segura posible. Dispongo de la dirección proporcionada por Mikrotik y además un subdominio de mi dominio (tipo CNAME).

Muchas gracias de antemano.

Un saludo.
 
Buenas Tardes

Tras unos meses un poco caóticos con mudanzas y traslados vuelvo por aquí.

Tras tener todo configurado, me surge un par de "necesidades" logísticas que necesito resolver y me gustaría pediros ayuda.

En primer lugar, me mudo a otra comunidad pero mi servidor rack no me lo puedo llevar ya que es muy grande y lo voy a dejar conectado en mi casa anterior (aún de mi propiedad) y me gustaría montar una VPN o algo similar. También he visto algunas sugerencias de conectividad túneles EoIP y diferentes tipos de VPN (OpenVPN, IKEv2 VPNs, tipo RoadWarrior usando WireGuard). Me gustaría saber cuál es la diferencia entre los diferentes tipos ya que he visto las guías para configurarlo pero no se cuál escoger.

Por otra parte, necesito abrir algunos puertos y me gustaría como hacerlo de la forma más segura posible. Dispongo de la dirección proporcionada por Mikrotik y además un subdominio de mi dominio (tipo CNAME).

Muchas gracias de antemano.

Un saludo.
Pues todo depende de para qué lo quieras y qué necesitas de esa localización en otro sitio. La VPN más rápida en mikrotik, diría que es IKEv2.
Saludos!
 
Buenos Días

He conseguido configurar la VPN de tipo IKEv2, con el manual de @pokoyo ha sido bastante fácil y rápido y está todo muy bien explicado.

Aún así pongo aquí la configuración por si me las puedes verificar @pokoyo:
Código:
# sep/27/2021 21:52:51 by RouterOS 6.48.2
# software id = 0SBI-GQI0
#
# model = RouterBOARD 1100Dx4
# serial number = xxxxxxxxxxxx
/interface bridge
add name=bridge1
/interface vlan
add interface=ether1 name=VLAN-Internet vlan-id=1074
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec mode-config
add address=192.168.56.2 address-prefix-length=32 name=ike2-conf-router-vpn \
    system-dns=no
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
    lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=dhcp_pool0 ranges=192.168.55.200-192.168.55.254
add name=pool-vpn ranges=192.168.56.200-192.168.56.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=\
    ike2-conf-road-warrior split-include=0.0.0.0/0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
add interface=VLAN-Internet list=WAN
/ip address
add address=192.168.55.1/24 interface=bridge1 network=192.168.55.0
add address=192.168.65.1/24 interface=ether1 network=192.168.65.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=VLAN-Internet
/ip dhcp-server lease
add address=192.168.55.4 client-id=xxx comment=\
    "Swicth US-8-150W" mac-address=xxx server=dhcp1
add address=192.168.55.6 client-id=xxx comment=\
    "AP UAP-AC PRO 2" mac-address=xxx server=dhcp1
add address=192.168.55.7 client-id=xxx comment=\
    "ATA SIP Grandstream HT701" mac-address=xxx server=dhcp1
add address=192.168.55.5 client-id=xxx comment=\
    "AP UAP-AC PRO 1" mac-address=xxx server=dhcp1
add address=192.168.55.8 comment="Gigaset C530 IP" mac-address=\
    xxx server=dhcp1
add address=192.168.55.3 client-id=xxx comment="Swicth US-24" \
    mac-address=xxx server=dhcp1
add address=192.168.55.2 client-id=xxx comment=\
    "UniFi Cloud Key" mac-address=xxx server=dhcp1
/ip dhcp-server network
add address=192.168.55.0/24 domain=lan gateway=192.168.55.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.55.1 name=router.lan
add address=192.168.65.2 name=gpon.lan
add address=192.168.55.2 name=cloud.lan
add address=192.168.55.3 name=switch1.lan
add address=192.168.55.4 name=switch2.lan
add address=192.168.55.5 name=ap1.lan
add address=192.168.55.6 name=ap2.lan
add address=192.168.55.7 name=ata.lan
add address=192.168.55.8 name=giga.lan
/ip firewall address-list
add address=xxxxxxxx.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=input comment="allow ipsec" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input protocol=ipsec-esp
/ip firewall mangle
add action=change-mss chain=forward comment="ike2-road-warrior tcp mss" \
    ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp \
    src-address=192.168.56.0/24 tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward dst-address=192.168.56.0/24 ipsec-policy=\
    out,ipsec new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn \
    tcp-mss=!0-1360
add action=change-mss chain=forward comment="ike2-router-vpn clamp tcp mss" \
    dst-address=192.168.55.0/24 ipsec-policy=in,ipsec new-mss=1360 \
    passthrough=yes protocol=tcp src-address=192.168.55.0/24 tcp-flags=syn \
    tcp-mss=!0-1360
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.55.0/24 src-address=192.168.55.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=\
    "PC" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-pc
add auth-method=digital-signature certificate=vpn-server comment="Router VPN" \
    generate-policy=port-strict match-by=certificate mode-config=\
    ike2-conf-router-vpn peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-router-vpn
add auth-method=digital-signature certificate=vpn-server comment=\
    "Movil" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-movil
/ip ipsec policy
add comment=road-warrior dst-address=192.168.56.0/24 group=\
    ike2-template-group proposal=ike2-proposal src-address=0.0.0.0/0 \
    template=yes
add comment=site-to-site dst-address=192.168.57.0/24 group=\
    ike2-template-group proposal=ike2-proposal src-address=192.168.55.0/24 \
    template=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.55.0/24
set ssh address=192.168.55.0/24
set api disabled=yes
set winbox address=192.168.55.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=router
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Cosas que tengo mis dudas:

1. El orden de las reglas del firewall. ¿No tendrian que ir las nuevas respectivas a la VPN en otro lugar más arriba?
filter.PNG


2. Lo mismo que lo anterior, pero con las Mangle:
mangle.PNG


3. Me he intentado conectar al VPN a través de PC con sus respectivos certificados (instalados CA y el del PC). y NO ha funcionado y no estoy seguro de los pasos que he dado. He utilizado el interfaz de "Agregar una conexión VPN" de Windows 10 que se muestra a continuación:
1.PNG


He puesto esta configuración :):::: COMENTARIOS):

Proveedor de VPN: Windows (integrado) :::: Es la única que salía
Nombre de la Conexión: VPN Casa
Nombre de servidor dirección: vpn.vpn.es ::::: Aquí he puesto la dirección que puse en el certificado del servidor (la de mi router).
Tipo de servidor: IKEv2 :::::: Vienen las siguientes opciones
tipos.PNG

Tipo de información de Inicio de sección: Certificado ::::::: vienen las siguientes opciones
Opciones.PNG

Nombre de usuario: -vacio-
Contraseña: -vacio-

Finalmente he marcado la opción "Recordar información de incio de sesión" y he dado a "Guardar".

Como he leído en otros foros, también me he ido a las propiedades del VPN creado y he cambiado en la pestaña Seguridad el Cifrado de datos a nivel máximo y la autentificación a "Usar certificados de equipo":
propiedades.PNG


4. Finalmente, me gustaría conectarme con el móvil (Android) pero no he conseguido que funciones (se me queda en conectando):
Screenshot_20210928-100231_Settings.jpg


Nombre: VPN :::: Aqui un nombre cualquiera
Tipo: IKEv2 RSA :::: Las opciones que salian eran las siguientes:
Screenshot_20210928-095810_Settings.jpg

Dirección del servidor: vpn.vpn.es ::::: Aquí he puesto la dirección que puse en el certificado del servidor (la de mi router).
Certificado IPSec de usuario: el generado para el móvil e instalado previamente.
Certificado IPSec CA: el generado CA e instalado previamente.
Certificado IPsec del servidor: Se ha recibido del servidor

Y le doy a guardar (en opciones avanzadas pone opciones de DNS, lo pongo aqui por si tengo que rellenar algo:
Screenshot_20210928-101331_Settings.jpg


Al intentar conectar se lleva un rato en Conectando.. y despues pone INCORRECTO.
No se lo que he configurado mal.


Por otra parte, me gustaría abrir dos puertos para temas de domótica y TV. Que forma me aconsejas de hacerlo @pokoyo para asegurar la priviacidad y seguridad.

También me gustaría saber si tengo que configurar o hacer algo que me aconsejes para aumntar la seguridad del VPN o de los puertos abiertos.

Muchas gracias y te debo una sin dudarlo.
 
Última edición:
Sube las reglas de firewall que has creado para el chain de input, y las pones delante de la regla que rechaza todo tráfico en input que no venga de la lista LAN (La que dice “drop all not coming from LAN”). Las de mangle están bien dónde están, ya que tienes fasttrack activado y esas reglas que tienes arriba se crean automáticamente.

A partir de ahí, vemos el resto, puesto que sin eso, es normal que no te funcione nada, el tráfico no está ni llegando al equipo.

Con respecto a abrir puertos, mi consejo es siempre el mismo: no abras ninguno. La idea de montar una vpn es justo esa, exponer públicamente un único puerto y que, una vez tu conexión esté cifrada y dentro de un túnel, accedas por ahí a todo lo que necesites que esté dentro de tu red, vía esa conexión privada.

Saludos!
 
Buenas @pokoyo

En primer lugar, perdona por el bombardeo de preguntas, espero no se muy pesado.

Ya he ordenado correctamente el Firewall. Me permite la conexión desde el PC y el Móvil (he comprobado como cambia la IP externa en la página "¿Cuál es mi IP?") pero hay cosas que no me funcionan, sobre todos dos que me son muy útiles:

1. Los DNS Estáticos (router.lan, giga.lan...)
2. No puedo entrar al router para configurarlo desde la VPN (me es importante ya que me voy a mudar y no tendré acceso físico)


Ten pongo de nuevo la configuración de PC y Móvil para que veas si hay algo mal con respecto a las anteriores características:

PC Windows
1. He utilizado el interfaz de "Agregar una conexión VPN" de Windows 10 que se muestra a continuación:
1.PNG


2. He puesto esta configuración (Lo marcado a partir de "::::" son COMENTARIOS):

Proveedor de VPN: Windows (integrado) :::: Es la única que salía
Nombre de la Conexión: VPN Casa
Nombre de servidor dirección: vpn.vpn.es ::::: Aquí he puesto la dirección que puse en el certificado del servidor (la de mi router).
Tipo de servidor: IKEv2 :::::: Vienen las siguientes opciones
tipos.PNG

Tipo de información de Inicio de sección: Certificado ::::::: vienen las siguientes opciones
Opciones.PNG

Nombre de usuario: -vacio-
Contraseña: -vacio-

3. Finalmente he marcado la opción "Recordar información de inicio de sesión" y he dado a "Guardar".

4. Como he leído en otros foros, también me he ido a las propiedades del VPN creado y he cambiado en la pestaña "Seguridad" el Cifrado de datos a nivel máximo y la autentificación a "Usar certificados de equipo":
propiedades.PNG


MOVIL (Android)
1. He utilizado el configurador que viene en el móvil que se muestra a continuación:
Screenshot_20210928-100231_Settings.jpg


2. La configuración es la siguientes (Lo marcado a partir de "::::::" son COMENTARIOS)
Nombre: VPN :::: Aquí un nombre cualquiera
Tipo: IKEv2 RSA :::: Las opciones que salían eran las siguientes:
Screenshot_20210928-095810_Settings.jpg

Dirección del servidor: vpn.vpn.es ::::: Aquí he puesto la dirección que puse en el certificado del servidor (la de mi router).
Certificado IPSec de usuario: el generado para el móvil e instalado previamente.
Certificado IPSec CA: el generado CA e instalado previamente.
Certificado IPsec del servidor: "Se ha recibido del servidor"

Y le doy a guardar (en opciones avanzadas pone opciones de DNS, lo pongo aquí por si tengo que rellenar algo):
Screenshot_20210928-101331_Settings.jpg


Finalmente, lo de los puertos entiendo que la VPN es lo más seguro pero son de necesidad ya que son para familiares que no saben usar el VPN y me gustaría saber como es la configuración para abrir un puerto con el Hairpin NAT [NAT Loopback]. Creo que es algo así pero no estoy seguro si esta bien y en que lugar de prioridad Firewall NAT Ponerlo:
Código:
/ip firewall nat
add action=dst-nat chain=dstnat comment=Web-Admin dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.88.100 to-ports=1234

Indicar que tengo una dirección de tipo https://serial.sn.mynetname.net/ pero en realidad uso un subdominio de un dominio propio comprado: router.pericodelospalotes.es.

Muchas gracias de antemano.

Un saludo.
 
1. Los DNS Estáticos (router.lan, giga.lan...)
Entrégalos en el mode-config. Modifica este
Código:
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=\
    ike2-conf-road-warrior split-include=0.0.0.0/0

Por este otro (supongo 192.168.55.100 un pi-hole, adguard, o similar; sino, entrega sólo un DNS, el propio router)
Código:
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=\
    ike2-conf-road-warrior split-include=0.0.0.0/0 static-dns=192.168.55.100,192.168.55.1 system-dns=\
    no

2. No puedo entrar al router para configurarlo desde la VPN (me es importante ya que me voy a mudar y no tendré acceso físico)
Añade una regla. Está preparada para ir ya en el sitio que le toca. Básicamente aceptas en input el tráfico cifrado de la subred de la VPN. Ojo con quien metes en la VPN, que esto es peligroso (no lo es si sólo al usas tú)
Código:
/ip firewall filter
add action=accept chain=input comment=allow-ipsec-rw ipsec-policy=in,ipsec \
    src-address=192.168.56.0/24 place-before=\
    [find where comment="defconf: drop all not coming from LAN"]

Tema abrir puertos: correcto, se abren como el ejemplo que pones.

Saludos!
 
Buenas Noches

Cambiando los parámetros que me has comentado ya funciona todo (mañana lo probaré más a fondo y pondré por aquí la configuración). He tenido que añadir en el apartado de Service que me deje entrar al router a través del pool asignado a la VPN road-warrior. Algunas cositas (la pongo por número para que sea fácil contestar):

1. En un principio estoy usando configuración road-warrior pero he dejado preparada la opción site-to-site para cuando encuentre un router baratito para activar ese modo.

2. Por otra parte, quisiera que me verificase @pokoyo que la configuración que he realizado con el PC y el Móvil es correcta (esta en el post anterior https://www.adslzone.net/foro/threa...k-con-triple-vlan-jazztel.570793/post-3599646) y saber si es todo correcto y seguro.

3. La regla de los puertos en que lugar de la lsita NAT tengo que colocarla (solo tengo la regla de Hairpin en el lugar 0 y la de Masquerade en la 1).

4. ¿Se puede abrir los puertos filtrando por MACs determinadas (solo tendrían acceso varios equipos que conozco la MAC).

Muchas gracias de antemano.
 
Arriba