L2tp/ipsec no ve servidor truenas y pc de la red

y este es el log si activo la vpn desde dentro de la LAN

Sí, acabo de verlo. No estamos llegando al router, me da que el de la operadora lo está capando. He probado con las credenciales que me has pasado y lo mismo.

¿ves rastro de mi intento de login?

Saludos!

pokoyo dijo:

Sí, acabo de verlo. No estamos llegando al router, me da que el de la operadora lo está capando. He probado con las credenciales que me has pasado y lo mismo.

¿ves rastro de mi intento de login?

Saludos!

Haz clic para expandir...

no llega nada voy a hablar con Orange y preguntar si estan capando algo
muchisimas gracias

jose maria fernandez dijo:

Ver el adjunto 102024
no llega nada voy a hablar con Orange y preguntar si estan capando algo
muchisimas gracias

Haz clic para expandir...

Sino, a ver si te cambian el router por una ONT, sabiendo que detrás tienes un Mikrotik.

Saludos!

Buenos dias
Segun la informacion de Orange ellos no restringen ningun servicio ni ningun puerto.
Respecto a dejar solo la ONT no lo recomiendan, pues si tenemos alguna averia necesitan
el router funcionado para poder hacer pruebas.
Otra reflexion que tengo.
Al principio cuando teniamos el router mal configurado, es decir sin cortafuegos. Conseguimos
acceder a la red via vpn y ver la red interna. Luego entiendo que el cortafuegos de la nueva
configuracion debe estar bloqueando de algun modo la llamadas entrantes l2tp/ipsec.
Llegado a este punto creo que habria dos salidas .
1. probar wireguard o openvpn o algun otro tipo de vpn
2. Resetear todo y empezar de cero
Gracias de nuevo por tu ayuda

jose maria fernandez dijo:

Buenos dias
Segun la informacion de Orange ellos no restringen ningun servicio ni ningun puerto.
Respecto a dejar solo la ONT no lo recomiendan, pues si tenemos alguna averia necesitan
el router funcionado para poder hacer pruebas.
Otra reflexion que tengo.
Al principio cuando teniamos el router mal configurado, es decir sin cortafuegos. Conseguimos
acceder a la red via vpn y ver la red interna. Luego entiendo que el cortafuegos de la nueva
configuracion debe estar bloqueando de algun modo la llamadas entrantes l2tp/ipsec.
Llegado a este punto creo que habria dos salidas .
1. probar wireguard o openvpn o algun otro tipo de vpn
2. Resetear todo y empezar de cero
Gracias de nuevo por tu ayuda

Haz clic para expandir...

Vale, dame un ratito 20 min y nos ponemos mano a mano con ello. De tu último export he visto una regla del firewall bailada, pero aun así debería entrar, a menos que hayas toqueteado algo más y no lo vea. Te puedo pasar la config del firewall por defecto, más las reglas específicas de l2tp/ipsec, para que comentes las tuyas y metas estas.

Otra prueba que podemos hacer es configurar el servidor web de webfig en otro puerto, y abrirlo en input, eso nos va a cantar rápido si el router que tienes encima tiene algún resquicio de firewall aún funcionando.

Y, si optas por resetear, te digo los pasos básicos para, sin tocar NADA de la config original, montes el servidor con un click. De esa manera también podemos saber si el problema lo causa el router de encima o no.

Y, por descontado, si te planteas Wireguard, resetea y montamos ese tipo de VPN. Es mucho más segura y versátil, al poder correr en cualquier puerto UDP.

Lo dicho, dame unos minutos que me despejo de lo que tengo entre manos, y estoy contigo. Pásame porfa una vez más el export que tenemos ahora mismo, que tenga la última foto.

Saludos, y descuida, que damos con la tecla.

Ya estoy online, cuando quieras.

Saludos!

estoy en la otra oficina . estaria disponible sobre las 15:20 podria ser ?

Estoy. Sino, sobre las 4.

Saludos!

Como veo que andas liado, te paso las reglas de firewall por defecto, más las dos que necesitas para IPSec. Además, L2TP restringido únicamente a conexiones cifradas.

Desconecta el equipo de internet (simplemente apaga la interfaz VLAN832), comenta todas las reglas de firewall que tienes y metes estas. En ese orden y sin modificarlas un ápice:

Saludos!

Muchisimas Gracias Pocoyo eres un maquina
ya conecta



y en principio ve la LAN. Disculpa el retraso he tenido dos dias muy malos.

Me imagino que tendre que borrar las reglas que tengo deshabilitadas y comentadas

Hare mañana pruebas y te termino de comentar
Lo unico que me falta es abrir el ftp contra la direccion 192.168.100.4 y abrir una vlan de orange para poder ver la tv.
Por que me imagino que al poner el router en ont . tendremos que renunciar al telefono fijo
Muchas gracias de nuevo

# dec/15/2022 23:57:05 by RouterOS 7.6
# software id = 9N2H-YIJV
#
# model = RB5009UG+S+
# serial number = EC190F4D45B5
/interface bridge
add admin-mac=DC:2C:6E:66:34:42 auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=VLAN832 vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.100.60-192.168.100.254
add name=vpn ranges=192.168.200.60-192.168.200.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/ppp profile
add change-tcp-mss=yes dns-server=192.168.100.1 interface-list=LAN \
local-address=192.168.200.1 name=vpn-new-profile remote-address=vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add comment=internet interface=VLAN832 list=WAN
/ip address
add address=192.168.100.1/24 comment=defconf interface=bridge network=\
192.168.100.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
add interface=VLAN832
/ip dhcp-server network
add address=192.168.100.0/24 comment=defconf dns-server=192.168.100.1 \
gateway=192.168.100.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip dns static
add address=192.168.100.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked PRIMARIA" \
connection-state=established,related,untracked disabled=yes
add action=accept chain=input comment="allow ipsec PRIMARIA" connection-type=\
"" disabled=yes dst-port=4500,500 protocol=udp
add action=accept chain=input comment=PRIMARIA disabled=yes dst-port=1701 \
protocol=udp
add action=accept chain=input comment="allow IPsec NAT PRIMARIA" disabled=yes \
protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept ICMP PRIMARIA" \
disabled=yes protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN) PRIMARIA" disabled=yes \
dst-address=127.0.0.1
add action=accept chain=forward comment=\
"defconf: accept in ipsec policy PRIMARIA " disabled=yes ipsec-policy=\
in,ipsec
add action=accept chain=forward comment=\
"defconf: accept out ipsec policy PRIMARIA" disabled=yes ipsec-policy=\
out,ipsec
add action=accept chain=forward comment=\
"defconf: accept established,related, untrackedPRIMARIA" \
connection-state=established,related,untracked disabled=yes
add action=drop chain=input comment="defconf: drop invalid PRIMARIA" \
connection-state=invalid disabled=yes
add action=drop chain=input comment=\
"defconf: drop all not coming from LAN PRIMARIA" disabled=yes \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=\
"defconf: fasttrack PRIMARIA" connection-state=established,related \
disabled=yes hw-offload=yes
add action=drop chain=forward comment="defconf: drop invalid PRIMARIA" \
connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed PRIMARIA" connection-nat-state=\
!dstnat connection-state=new disabled=yes in-interface-list=WAN
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow IPsec" dst-port=4500,500 \
protocol=udp
add action=accept chain=input comment="allow encrypted L2TP only" dst-port=\
1701 ipsec-policy=in,ipsec protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.200.0/24
/ip firewall service-port
set ftp disabled=yes
/ip service
set telnet disabled=yes
set www address=192.168.100.0/24,192.168.100.0/24
set ssh disabled=yes
set winbox address=192.168.100.0/24,192.168.200.0/24
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/ppp secret
add name=jmfj profile=vpn-new-profile service=l2tp
add name=mge profile=vpn-new-profile service=l2tp
add name=lgs profile=vpn-new-profile service=l2tp
add name=rpc profile=vpn-new-profile service=l2tp
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=LazarejoOS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Sí, borra el firewall que tenías y quédate con esas reglas. Cuando lo tengas “bonito”, le das un backup y export y bajas ambos ficheros, para ponerlos a buen recaudo.

Te aconsejo le eches un vistazo también a montar Wireguard, como sustituto de L2TP. Tienes un manual para ello en este mismo sub de Mikrotik.

Por último, de cara a abrir puertos para in ftp. ¿No te sale más a cuenta, ahora que tienes vpn, primero conectar a ella y luego localmente al ftp? Si no hay más remedo, crea la regla de nat correspondiente (usa un puerto alto como externo, mapeado al 21 interno), pero recuerda que todos los agujeritos que le hagas al NAT son pequeños coladeros por donde te puede llegar tráfico indeseado.

Ni idea de cómo va la TV de Orange, o de si pierdes o no el fijo al ponerlo en modo ONT. Si te interesa más, siempre puedes poner ese router como principal, con una ruta estática al mikrotik (o incluso una DMZ) y dejar el Mikrotik sin NAT, pero que tu red nazca de ahí, del Mikrotik. No es un setup tan bueno, pero es igual de válido.

Saludos!

Buenas Tardes
Primero agradecerte lo que me estas ayudando.
La vpn l2tp/ipsec funciona y se conecta sin problemas y con buena velocidad detras del mikrotik funciona todo perfectamente. Pero una vez conectada no me deja imprimir con la impresoras de la red remota desde la que conecto. El resto de la red la ve pero no consigo imprimir. La impresora esta compartida atraves de un pc.
Con wireguard tal como me aconsejaste funciona y se conecta sin problemas y con buena velocidad detras del mikrotik funciona todo perfectamente pero bloquea totalmente la red remota desde la cual conecto. Es decir me integra en la red del mikrotik que sostiene la vpn pero me aisla de la red local desde donde estoy.
Te envio el export
Muchas gracias
Respecto al Ftp he decidido abrir los puertos que llevan al servidor ftp 192.168.100.4:21 . No terminan de conectar bien creo que tengo algo mal configurado.

# dec/20/2022 15:53:26 by RouterOS 7.6
# software id = 9N2H-YIJV
#
# model = RB5009UG+S+
# serial number = EC190F4D45B5
/interface bridge
add admin-mac=DC:2C:6E:66:34:42 auto-mac=no comment=defconf name=bridge
/interface wireguard
add listen-port=12345 mtu=1420 name=wireguard-rw
/interface vlan
add interface=ether1 name=VLAN832 vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.100.60-192.168.100.254
add name=vpn ranges=192.168.200.60-192.168.200.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/ppp profile
add change-tcp-mss=yes dns-server=192.168.100.1 interface-list=LAN \
local-address=192.168.200.1 name=vpn-new-profile remote-address=vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add comment=internet interface=VLAN832 list=WAN
/interface wireguard peers
add allowed-address=192.168.210.2/32 comment="PeerRW jmfj" interface=\
wireguard-rw public-key="tanzSUaulyOZROxyxpWoLFvjpmh2HpFabBMmzjaeHwQ="
add allowed-address=192.168.210.3/32 comment=Almacen interface=wireguard-rw \
public-key="aY/aZoMCdoRtAfPJ6LiVPaow9+IYd7cd8QdIW6O922s="
add allowed-address=192.168.210.10/32 comment=backup interface=wireguard-rw \
public-key="xuLH5VYcTuibEqWYIkXfNkNpbvyj0ZjVb6D+LXaL5TI="
add allowed-address=192.168.210.4/32 comment=contable interface=wireguard-rw \
public-key="mH9vxLU/mnq4LQ9XhiZ/YscDOggPhzbtzx4l5B9pvnc="
add allowed-address=192.168.210.5/32 comment=gira interface=wireguard-rw \
public-key="5W6QlV0dhH52euxmSp6rmIlcUHSkzvAMrpCyddJfsn4="
add allowed-address=192.168.210.6/32 comment=jmfg interface=wireguard-rw \
public-key="33bNNsvGAVxRWzQnt3AGuK+zlxnCIZ5l+e5PPL0w9A8="
add allowed-address=192.168.210.7/32 comment=lgs interface=wireguard-rw \
public-key="kpCkEz7P5mshpRRD7gRrHt/x/L9PjPooHErQMWMmUUA="
add allowed-address=192.168.210.8/32 comment=mge interface=wireguard-rw \
public-key="1oCDaqLbbHFuuJPaDEw1n1C01TjoUG+ie/Q7t2aq8mo="
add allowed-address=192.168.210.12/32 comment=ofa interface=wireguard-rw \
public-key="cCNerFmTqLKfj98C56DR8knJv2br9oRIsh06e+3dzwk="
add allowed-address=192.168.210.9/32 comment=rfg interface=wireguard-rw \
public-key="BTDCCJCOXU/it90KuMiXaRjUD4fd6YJr1CGIXBWe4R0="
add allowed-address=192.168.210.11/32 comment=rpc interface=wireguard-rw \
public-key="GnRLS5+Ual0GRyp+wsGsImJltcgmkNhSQmk+7icC6Co="
/ip address
add address=192.168.100.1/24 comment=defconf interface=bridge network=\
192.168.100.0
add address=192.168.210.1/24 interface=wireguard-rw network=192.168.210.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
add interface=VLAN832
/ip dhcp-server network
add address=192.168.100.0/24 comment=defconf dns-server=192.168.100.1 \
gateway=192.168.100.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip dns static
add address=192.168.100.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow IPsec" dst-port=4500,500 \
protocol=udp
add action=accept chain=input comment="allow encrypted L2TP only" dst-port=\
1701 ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
12345 protocol=udp
add action=accept chain=input src-address=192.168.210.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.200.0/24
add action=dst-nat chain=dstnat comment=ftp dst-address=0.0.0.0/0 dst-port=21 \
in-interface-list=WAN protocol=tcp to-addresses=192.168.100.4 to-ports=21
/ip firewall service-port
set ftp disabled=yes
/ip service
set telnet disabled=yes
set www address=192.168.100.0/24,192.168.100.0/24
set ssh disabled=yes
set winbox address=192.168.100.0/24,192.168.200.0/24
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/ppp secret
add name=jmfj profile=vpn-new-profile service=l2tp
add name=mge profile=vpn-new-profile service=l2tp
add name=lgs profile=vpn-new-profile service=l2tp
add name=rpc profile=vpn-new-profile service=l2tp
add name=contable profile=vpn-new-profile service=l2tp
add name=gira profile=vpn-new-profile service=l2tp
add name="almacen " profile=vpn-new-profile service=l2tp
add name=backup profile=vpn-new-profile service=l2tp
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=LazarejoOS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Muchas gracias de nuevo y disculpa las molestias

buenos dias

SOLUCIONADO. La aplicacion que imprimia por la vpn necesitaba volver a relogarse para encontrar de nuevo la impresora. Vpn l2tp/ipsed 100% ok gracias

SOLUCIONADO
Con wireguard tal como me aconsejaste funciona y se conecta sin problemas y con buena velocidad detras del mikrotik funciona todo perfectamente pero bloquea totalmente la red remota desde la cual conecto. Es decir me integra en la red del mikrotik que sostiene la vpn pero me aisla de la red local desde donde estoy
LO UNICO QUE NO VE LA RED LOCAL DONDE ACCEDE CON LA VPN

FTP SOLUCIONADO
La unica duda que tengo es que me pide en dst address una ip . Yo no la tengo fijo. Como se puede poner el DDNS del router ?.

jose maria fernandez dijo:

buenos dias

SOLUCIONADO. La aplicacion que imprimia por la vpn necesitaba volver a relogarse para encontrar de nuevo la impresora. Vpn l2tp/ipsed 100% ok gracias

SOLUCIONADO
Con wireguard tal como me aconsejaste funciona y se conecta sin problemas y con buena velocidad detras del mikrotik funciona todo perfectamente pero bloquea totalmente la red remota desde la cual conecto. Es decir me integra en la red del mikrotik que sostiene la vpn pero me aisla de la red local desde donde estoy
LO UNICO QUE NO VE LA RED LOCAL DONDE ACCEDE CON LA VPN

FTP SOLUCIONADO
La unica duda que tengo es que me pide en dst address una ip . Yo no la tengo fijo. Como se puede poner el DDNS del router ?.

Haz clic para expandir...

Usa como filtro el in-interface-list=WAN. También puedes meter la dirección de ddns de IP > Cloud en una lista, y usar el dst-address-list = lista.

Saludos!

Gracias te paso el error que da el ftp
Iperius Backup - Informe de la copia de seguridad [gira - Duplicado20-12-2022-23-38-54]
\\192.168.0.230\web\Software\server-jre-8u212-linux-x64.tar.gz (Illegal PORT command ) - 1 (21/12/2022 15:42:22)
\\192.168.0.230\web\Software\apache-tomcat-8.5.42.tar.gz (Illegal PORT command ) - 1 (21/12/2022 15:42:22)

respecto a la lista ddns no veo como crearla
gracias

jose maria fernandez dijo:

Gracias te paso el error que da el ftp
Iperius Backup - Informe de la copia de seguridad [gira - Duplicado20-12-2022-23-38-54]
\\192.168.0.230\web\Software\server-jre-8u212-linux-x64.tar.gz (Illegal PORT command ) - 1 (21/12/2022 15:42:22)
\\192.168.0.230\web\Software\apache-tomcat-8.5.42.tar.gz (Illegal PORT command ) - 1 (21/12/2022 15:42:22)

respecto a la lista ddns no veo como crearla
gracias

Haz clic para expandir...

Pásame la regla de NAT que tienes creada, que la reviso.

Saludos!

Gracias te lo envio

# dec/21/2022 20:39:32 by RouterOS 7.6
# software id = 9N2H-YIJV
#
# model = RB5009UG+S+
# serial number = EC190F4D45B5
/interface bridge
add admin-mac=DC:2C:6E:66:34:42 auto-mac=no comment=defconf name=bridge
/interface wireguard
add listen-port=12345 mtu=1420 name=wireguard-rw
/interface vlan
add interface=ether1 name=VLAN832 vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.100.60-192.168.100.254
add name=vpn ranges=192.168.200.60-192.168.200.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/ppp profile
add change-tcp-mss=yes dns-server=192.168.100.1 interface-list=LAN \
local-address=192.168.200.1 name=vpn-new-profile remote-address=vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add comment=internet interface=VLAN832 list=WAN
/interface wireguard peers
add allowed-address=192.168.210.2/32 comment="PeerRW jmfj" interface=\
wireguard-rw public-key="tanzSUaulyOZROxyxpWoLFvjpmh2HpFabBMmzjaeHwQ="
add allowed-address=192.168.210.3/32 comment=Almacen interface=wireguard-rw \
public-key="aY/aZoMCdoRtAfPJ6LiVPaow9+IYd7cd8QdIW6O922s="
add allowed-address=192.168.210.10/32 comment=backup interface=wireguard-rw \
public-key="xuLH5VYcTuibEqWYIkXfNkNpbvyj0ZjVb6D+LXaL5TI="
add allowed-address=192.168.210.4/32 comment=contable interface=wireguard-rw \
public-key="mH9vxLU/mnq4LQ9XhiZ/YscDOggPhzbtzx4l5B9pvnc="
add allowed-address=192.168.210.5/32 comment=gira interface=wireguard-rw \
public-key="5W6QlV0dhH52euxmSp6rmIlcUHSkzvAMrpCyddJfsn4="
add allowed-address=192.168.210.6/32 comment=jmfg interface=wireguard-rw \
public-key="33bNNsvGAVxRWzQnt3AGuK+zlxnCIZ5l+e5PPL0w9A8="
add allowed-address=192.168.210.7/32 comment=lgs interface=wireguard-rw \
public-key="kpCkEz7P5mshpRRD7gRrHt/x/L9PjPooHErQMWMmUUA="
add allowed-address=192.168.210.8/32 comment=mge interface=wireguard-rw \
public-key="1oCDaqLbbHFuuJPaDEw1n1C01TjoUG+ie/Q7t2aq8mo="
add allowed-address=192.168.210.12/32 comment=ofa interface=wireguard-rw \
public-key="cCNerFmTqLKfj98C56DR8knJv2br9oRIsh06e+3dzwk="
add allowed-address=192.168.210.9/32 comment=rfg interface=wireguard-rw \
public-key="BTDCCJCOXU/it90KuMiXaRjUD4fd6YJr1CGIXBWe4R0="
add allowed-address=192.168.210.11/32 comment=rpc interface=wireguard-rw \
public-key="GnRLS5+Ual0GRyp+wsGsImJltcgmkNhSQmk+7icC6Co="
/ip address
add address=192.168.100.1/24 comment=defconf interface=bridge network=\
192.168.100.0
add address=192.168.210.1/24 interface=wireguard-rw network=192.168.210.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
add interface=VLAN832
/ip dhcp-server network
add address=192.168.100.0/24 comment=defconf dns-server=192.168.100.1 \
gateway=192.168.100.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip dns static
add address=192.168.100.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow IPsec" dst-port=4500,500 \
protocol=udp
add action=accept chain=input comment="allow encrypted L2TP only" dst-port=\
1701 ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
12345 protocol=udp
add action=accept chain=input src-address=192.168.210.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.200.0/24
add action=dst-nat chain=dstnat comment=ftp dst-port=21 in-interface-list=WAN \
protocol=tcp to-addresses=192.168.100.4 to-ports=21
/ip firewall service-port
set ftp disabled=yes
/ip service
set telnet disabled=yes
set www address=192.168.100.0/24,192.168.100.0/24
set ssh disabled=yes
set winbox address=192.168.100.0/24,192.168.200.0/24
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/ppp secret
add name=jmfj profile=vpn-new-profile service=l2tp
add name=mge profile=vpn-new-profile service=l2tp
add name=lgs profile=vpn-new-profile service=l2tp
add name=rpc profile=vpn-new-profile service=l2tp
add name=contable profile=vpn-new-profile service=l2tp
add name=gira profile=vpn-new-profile service=l2tp
add name="almacen " profile=vpn-new-profile service=l2tp
add name=backup profile=vpn-new-profile service=l2tp
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=LazarejoOS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

por otra parte el cliente wireguard no ve lo pc cuando accede a la red con vpn

por favor podrias mirarlo?

La regla tiene buena pinta. Pero necesitarás implementar hairpin nat para acceder desde dentro al FTP, usando el dominio público.

Con respecto a la vpn, no sé a qué te refieres exactamente.

Saludos!