MANUAL: Mikrotik, cómo montar un servidor VPN

Las contraseñas acaban en el carácter que tu quieras. Yo las he terminado en "!", pero no es obligatorio.

Hazme un export de la configuración, con un "hide-sensitive" (para que no se vean las contraseñas) y me la mandas. También verifica dos cosas:
- Que en IP -> Cloud tienes activo el DDNS y que este ha resuelto correctamente to IP pública (compruebalo con un ping al dominio ese que pones ahí en la dirección del servidor).
- Si te sale algo en los logs con el intento de conexión, nos lo pones aquí también.

Saludos!
 
No, lo de la contraseña te lo decía por si era algún caracter del programa.
En Logs no veo nada. Te mando lo que me has pedido.
ddns.PNG


Y ahora un corta pega del export:

---------------------------------------------------------------------------------------------------------------------------------------------------------------
# aug/07/2020 11:32:11 by RouterOS 6.45.8
# software id = H5UX-YPRR
#
# model = RBD52G-5HacD2HnD
# serial number = B4A00C3C0F5F
/interface bridge
add admin-mac=48:8F:5A:4E:D0:7D auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
country=spain disabled=no distance=indoors frequency=auto installation=\
indoor mode=ap-bridge ssid=MikroTik-4ED081 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX \
country=spain disabled=no distance=indoors frequency=auto installation=\
indoor mode=ap-bridge ssid=MikroTik-4ED082 wireless-protocol=802.11
/interface vlan
add interface=ether1 name=internet vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile \
supplicant-identity=MikroTik
/interface wireless
add disabled=no mac-address=4A:8F:5A:4E:D0:82 master-interface=wlan2 name=wlan3 \
security-profile=profile ssid=MikroTik-4ED083
add disabled=no mac-address=4A:8F:5A:4E:D0:81 master-interface=wlan1 name=wlan4 \
security-profile=profile ssid=MikroTik-4ED083
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn-pool ranges=192.168.89.2-192.168.89.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.89.1 name=\
vpn-profile remote-address=vpn-pool use-encryption=yes
/interface bridge filter
add action=drop chain=forward in-interface=wlan3
add action=drop chain=forward out-interface=wlan3
add action=drop chain=forward in-interface=wlan4
add action=drop chain=forward out-interface=wlan4
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=wlan3
add bridge=bridge interface=wlan4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set authentication=mschap2 default-profile=vpn-profile enabled=yes use-ipsec=\
yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=internet list=WAN
/interface wireless access-list
add ap-tx-limit=9000000 interface=wlan4
add ap-tx-limit=9000000 interface=wlan3
add comment="00000-Xiaomi PocoPhoneF1" interface=wlan1 mac-address=\
A4:50:46:6B:5B:6F vlan-mode=no-tag
add comment="Nieves-Xiaomi A2Lite" interface=wlan2 mac-address=\
A4:50:46:56:2E:2F vlan-mode=no-tag
add comment="00000-ieGeek C\E1mara" interface=wlan1 mac-address=\
10:A4:BE:92:1D:12 vlan-mode=no-tag
add comment="00000-Xiaomi PocoPhoneF1" interface=wlan3 mac-address=\
A4:50:46:6B:5B:6F vlan-mode=no-tag
add comment="00000-Xiaomi PocoPhoneF1" interface=wlan2 mac-address=\
A4:50:46:6B:5B:6F vlan-mode=no-tag
add comment="Nieves-Packard Bell Laptop" interface=wlan1 mac-address=\
A0:A8:CD:3D:7E:C1 vlan-mode=no-tag
add comment="00000-Xiaomi PocoPhoneF1" interface=wlan4 mac-address=\
A4:50:46:6B:5B:6F vlan-mode=no-tag
add comment="Nieves-Packard Bell Laptop" interface=wlan2 mac-address=\
A0:A8:CD:3D:7E:C1 vlan-mode=no-tag
add comment="Nieves-Xiaomi A2Lite" interface=wlan1 mac-address=\
A4:50:46:56:2E:2F vlan-mode=no-tag
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
internet
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=\
udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
/ip service
set www address=192.168.88.0/24,192.168.89.0/24
set winbox address=192.168.88.0/24,192.168.89.0/24
/ppp secret
add name=usuario service=l2tp
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] >
-----------------------------------------------------------------------------------------------------------------------------------------------------------
 
Última edición:
Esa... la que te pone mynetname...
Pr uffff... Porque tengo el móvil en el bajo que si no le tiro por la ventana.
Me da error. Supongo que la conexión es indistinta por datos que por wifi ya quiera conectarme desde el exterior o filtrar datos, ¿no?
Mañana lo intentaré de nuevo que si sigo ahora me veo con un sombrero de papel y soplando una cornetilla.
Gracias.

Que error te da exactamente?

Si pruebas desde fuera de la red, te pasa lo mismo?

De todas formas, ya sea desde fuera de tu red o desde dentro, deberia conectarte la VPN....
 
Que error te da exactamente?

Si pruebas desde fuera de la red, te pasa lo mismo?

De todas formas, ya sea desde fuera de tu red o desde dentro, deberia conectarte la VPN....

El mismo me conecte con datos o con wifi.
Pero no me específica más de lo que vesves y se desconecta.
Screenshot_2020-08-07-12-07-42-328_com.android.settings.jpg
 
A simple vista la configuración parece correcta. Créame un usuario y contraseña, cambia el secreto IPSec por lo que te de la gana y pásame esos datos por privado, que te digo en dos minutos si conecto o no. No tardo nada en darlo de alta en mi equipo y salimos de dudas. Me da que es el cliente de Android el problema, especialmente si no ves error en los logs.

Saludos!
 
A simple vista la configuración parece correcta. Créame un usuario y contraseña, cambia el secreto IPSec por lo que te de la gana y pásame esos datos por privado, que te digo en dos minutos si conecto o no. No tardo nada en darlo de alta en mi equipo y salimos de dudas. Me da que es el cliente de Android el problema, especialmente si no ves error en los logs.

Saludos!
Vale, te lo mando ahora mismo. Ten cuidado por favor no me desordenes el porno que lo tengo catalogado por fechas, desde el 1900 hasta hoy
Gracias
 
Como te he comentado por privado, yo conecto sin problemas. Vamos a probar un pequeño cambio en tu configuración, a ver si fuera por el método de autenticación por lo que te esté tirando. Con este comando vamos a activar otros métodos de autenticación menos seguros que mschap2, pero que puede que te den más compatibilidad con ciertos dispositivos:

Código:
interface l2tp-server server set authentication=mschap2,mschap1,chap,pap

Lo metes por consola y pruebas de nuevo. Asegúrate de tener bien puestos tanto la contraseña como el secreto de IPSec en los dispositivos.

Saludos!
 
De todas maneras probaré también con la aplicación que me dijiste en mensajes atrás. Voy a matar unas niñas que me están incordiando y luego te comento.
 
De todas maneras probaré también con la aplicación que me dijiste en mensajes atrás. Voy a matar unas niñas que me están incordiando y luego te comento.

Eso es. Si ves que con ese pequeño cambio te funciona es que tu aplicación nativa en android tira de métodos de autenticación más antiguos. En ese caso, te diría que lo dejaras como estaba (editas la interfaz l2tp server y le dejas marcada sólo mschap2) y que te pongas la app de StrongSwan, que seguro que esa tira de mschap2 para autenticación. Por ir un pelín más seguros.

Saludos!
 
A simple vista la configuración parece correcta. Créame un usuario y contraseña, cambia el secreto IPSec por lo que te de la gana y pásame esos datos por privado, que te digo en dos minutos si conecto o no. No tardo nada en darlo de alta en mi equipo y salimos de dudas. Me da que es el cliente de Android el problema, especialmente si no ves error en los logs.

Saludos!
Vale, te lo mando ahora mismo. Ten cuidado por favor no me desordenes el porno que lo tengo catalogado por fechas, desde el 1900 hasta hoy
Gracias

Ya sé que estás de coña, pero por puntualizar, otra cosa no sé, pero discreción y profesionalidad, son dos cosas que tiene el compañero @pokoyo... a mi me ha ayudado un montón y sabes más de las tripas de mi router que yo mismo
 
Que error te da exactamente?

Si pruebas desde fuera de la red, te pasa lo mismo?

De todas formas, ya sea desde fuera de tu red o desde dentro, deberia conectarte la VPN....

El mismo me conecte con datos o con wifi.
Pero no me específica más de lo que vesves y se desconecta.
Ver el adjunto 36949

Has probado desde Windows si te da el problema? Más que nada por corroborar lo que dice @pokoyo y descartar que sea un problema de configuración e igual lo que dice el compi, que sea algo del móvil....
 
Has probado desde Windows si te da el problema? Más que nada por corroborar lo que dice @pokoyo y descartar que sea un problema de configuración e igual lo que dice el compi, que sea algo del móvil....
Desde win10 accedo sin problema. He sacado un viejo samsung note que tengo, congifuro la conexión y me da problema igual.
Hummmm... he descargado la aplicación que me ha indicado pokoyo pero veo una cosa que ahora os subo en captura, ... Y no sé muy bien por cual decantar me...

Screenshot_2020-08-07-14-21-04-690_org.strongswan.android.jpg
 
Haz primero el cambio que te comento de los tipos de autenticación, y lo pruebas. Lo digo porque StrongSwan está pensada para otro tipo de conexión, por lo que veo, IKEv2. Pensaba que te iba a dar la opción también de L2TP/IPSec, pero no parece que se vea en esa lista, ¿no?

Saludos!
 
Haz primero el cambio que te comento de los tipos de autenticación, y lo pruebas. Lo digo porque StrongSwan está pensada para otro tipo de conexión, por lo que veo, IKEv2. Pensaba que te iba a dar la opción también de L2TP/IPSec, pero no parece que se vea en esa lista, ¿no?

Saludos!
no, solamente aparecen las que os he mostrado
:cry:
nada. no conecta con ninguna opción
voy a repasarlo por enésima vez
 
no, solamente aparecen las que os he mostrado
:cry:
nada. no conecta con ninguna opción
voy a repasarlo por enésima vez

Pon contraseñas más sencillas, tanto en el usuario como en el secreto de IPSec. Una vez consigas conectar, lo cambias y pones lo que más te guste. Hay clientes que te pueden dar problemas con los caracteres especiales.

Saludos!
 
Mira, esa es una buena explicación, Hace años tuve problemas en un servidor con un cara´cter. Ahora lo voy a probar.
 
Vale. Ya se ha conectado. El error era mú tonto -vamos, como yo- y no es más que cuando copio la dirección del servidor en android, en windows no me pasa, se me copia con un espacio que es casi imperceptible.
Joder.
Aprovechando el mensaje me gustaría haceros una pregunta. Estoy conectado a la VPN desde los datos móviles, cómo si estuviera fuera de casa vamos, para poder acceder a la red local y acceder al disco duro, ¿cómo lo hago?, porque ahora estoy con el culo torcido
 
Vale. Ya se ha conectado. El error era mú tonto -vamos, como yo- y no es más que cuando copio la dirección del servidor en android, en windows no me pasa, se me copia con un espacio que es casi imperceptible.
Joder.
Aprovechando el mensaje me gustaría haceros una pregunta. Estoy conectado a la VPN desde los datos móviles, cómo si estuviera fuera de casa vamos, para poder acceder a la red local y acceder al disco duro, ¿cómo lo hago?, porque ahora estoy con el culo torcido

Por IP. Abre un navegador y planta la IP de la máquina a la que quieras acceder. Pero necesitarás que esa máquina comparta en red local y/o exponga el disco de alguna manera. Tipo un FTP, webdav, o similar.

Saludos!
 
Vale. Ya se ha conectado. El error era mú tonto -vamos, como yo- y no es más que cuando copio la dirección del servidor en android, en windows no me pasa, se me copia con un espacio que es casi imperceptible.
Joder.
Aprovechando el mensaje me gustaría haceros una pregunta. Estoy conectado a la VPN desde los datos móviles, cómo si estuviera fuera de casa vamos, para poder acceder a la red local y acceder al disco duro, ¿cómo lo hago?, porque ahora estoy con el culo torcido

Puedes hacerlo de varias maneras: accediendo a una carpeta en concreto o accediendo al equipo como si estuvieses delante del equipo..... como quieres hacerlo?
 
Arriba