MANUAL: Mikrotik, cómo montar un servidor VPN

xmigoll dijo:
La de este mismo hilo https://www.adslzone.net/foro/index.php?posts/3409060 tal como indicas con la plantilla sin esas contraseñas, claro está.
No sé si esto te vale.
La Ras es una 4 de 8gb.

¡Tonto el que lo lea!
Haz clic para expandir...

Vale, perfecto, un L2TP con IPSec. Muy sencillo, una vez tengas la raspi corriendo, digamos en la ip 192.168.88.8, y siendo el router el 192.168.88.1 (adaptar a tu red), configuramos:

  • Editas tu configuración de DHCP principal, asignando los servidores manualmente. Lo tienes en DHCP Server -> Networks. Como primer servidor, la raspberry pi, como segundo servidor, el propio router (por si la PI se cae, no te quedes sin dns resolver):
    1600864927683.png
  • En el perfil de VPN que creaste, llamado vpn-profile, que puedes encontrar en PPP -> Profile. Lo editas y misma operación, especificamos los DNS en la pestaña correspondiente. El primero la Pi, el segundo el propio router:
    1600865088231.png

Y con esto y un bizcocho, tamañana a las 8. Lo tendrías configurado, la parte que al mikrotik se refiere.

Saludos!
 
pokoyo dijo:
xmigoll dijo:
La de este mismo hilo https://www.adslzone.net/foro/index.php?posts/3409060 tal como indicas con la plantilla sin esas contraseñas, claro está.
No sé si esto te vale.
La Ras es una 4 de 8gb.

¡Tonto el que lo lea!
Haz clic para expandir...

Vale, perfecto, un L2TP con IPSec. Muy sencillo, una vez tengas la raspi corriendo, digamos en la ip 192.168.88.8, y siendo el router el 192.168.88.1 (adaptar a tu red), configuramos:

  • Editas tu configuración de DHCP principal, asignando los servidores manualmente. Lo tienes en DHCP Server -> Networks. Como primer servidor, la raspberry pi, como segundo servidor, el propio router (por si la PI se cae, no te quedes sin dns resolver):Ver el adjunto 72196
  • En el perfil de VPN que creaste, llamado vpn-profile, que puedes encontrar en PPP -> Profile. Lo editas y misma operación, especificamos los DNS en la pestaña correspondiente. El primero la Pi, el segundo el propio router: Ver el adjunto 72199

Y con esto y un bizcocho, tamañana a las 8. Lo tendrías configurado, la parte que al mikrotik se refiere.

Saludos!
Haz clic para expandir...
Mañana te digo. Gracias

¡Tonto el que lo lea!
 
Ya no se puede entrar en el router a través de la aplicación y solamente se puede hacer por WebFig
Porque me estoy decargando la aplicación que he cambiado de ordenador y solamente se me abre una portable y de ahí me manda al navegador

Perdón por las negritas

PD- Edito. Reinicio y ya funciona. LOs fantasmas, los fantasmas.
 
Última edición:
Vale, de acuerdo. He instalado Pi hole, he hecho lo que me has mandado y perfecto. En la red local funciona bien, me sale que está filtrando un 35% que según he mirado por ahí parece ser que está bastate bien, no sé qué opinas al respecto, pero el problema estña cuando desde el móvil, por ejemplo, me conecto por VPN a mi red. No me filtra la publicidad. La conexión es correcta pero no trabaja.
No sé si se os ocurre lo que puede ser.

pd. Aunque tengo bloqueadores de la publicidad en youtube, ¿la publicidad de youtube se puede filtrar con pi hole, o es imposible?
 
Revisa que los usuarios vpn estén apuntando a ese perfil y no a default o default-encryption. También puedes revisarlo en la configuración del servidor L2TP.

Un 35% es una burrada. Significa que prácticamente la mitad de tu tráfico es basura. Supongo que las estadísticas estarán un poco locas hasta que lleve un tiempo funcionando. Yo no suelo pasar de un 10%, en el peor de los casos.

Con respecto a lo del youtube, ni idea. Pero el fácil que algunos servicios de google como el buscador o el propio YouTube funcionen regular en algún caso, puesto que a google no le gusta que le quites la publicidad ni la telemetría.

Saludos!
 
pokoyo dijo:
Revisa que los usuarios vpn estén apuntando a ese perfil y no a default o default-encryption. También puedes revisarlo en la configuración del servidor L2TP.

Un 35% es una burrada. Significa que prácticamente la mitad de tu tráfico es basura. Supongo que las estadísticas estarán un poco locas hasta que lleve un tiempo funcionando. Yo no suelo pasar de un 10%, en el peor de los casos.

Con respecto a lo del youtube, ni idea. Pero el fácil que algunos servicios de google como el buscador o el propio YouTube funcionen regular en algún caso, puesto que a google no le gusta que le quites la publicidad ni la telemetría.

Saludos!
Haz clic para expandir...

Perdona @pokoyo pero me acabo de perder. Disculpa. Cuando dices que hay que revisar, ¿Te refieres en el router, no? Es que ahora mismo no caigo en que zona me estás diciendo.
 
Sí, en el router. Lo tienes en PPP -> Secrets y en PPP - L2TP Server. Asegúrate de que en ambos sitios se referencia al profile donde has definido los dns

Saludos!
 
pokoyo dijo:
Sí, en el router. Lo tienes en PPP -> Secrets y en PPP - L2TP Server. Asegúrate de que en ambos sitios se referencia al profile donde has definido los dns

Saludos!
Haz clic para expandir...
Estas son las capturas de pantalla. En la primera verás como está, lo cambio, me conecto y sigue igual sin filtrar.

1.PNG
2.PNG


Y así lo tengo configurado:

3.PNG
4.PNG
5.PNG
 
Última edición:
Pues es raro, la verdad. Mi lógica me dice que ese perfil VPN debería funcionar bien con el pi-hole, a menos que tu dispositivo cliente esté ignorando los dns y usando los que le venga a él en gana. Prueba a dejar en el profile del vpn sólo el dns del pi-hole, una única dirección, a ver qué hace tu móvil entonces.

En la parte del DHCP lo tienes bien igualmente.

Saludos!
 
pokoyo dijo:
Pues es raro, la verdad. Mi lógica me dice que ese perfil VPN debería funcionar bien con el pi-hole, a menos que tu dispositivo cliente esté ignorando los dns y usando los que le venga a él en gana. Prueba a dejar en el profile del vpn sólo el dns del pi-hole, una única dirección, a ver qué hace tu móvil entonces.

En la parte del DHCP lo tienes bien igualmente.

Saludos!
Haz clic para expandir...
Voy a hacer lo que me dices, ahora mismo estoy usando un Samsung Note3 con Lollipop hasta ver que móvil compro, y lo voy a probar en in mono ipad y otro Móvil no vaya ser cosa del dispositivo.
Ya te digo algo a la tarde.
Gracias cono siempre @pokoyo

¡Tonto el que lo lea!
 
xmigoll dijo:
Voy a hacer lo que me dices, ahora mismo estoy usando un Samsung Note3 con Lollipop hasta ver que móvil compro, y lo voy a probar en in mono ipad y otro Móvil no vaya ser cosa del dispositivo.
Ya te digo algo a la tarde.
Gracias cono siempre @pokoyo

¡Tonto el que lo lea!
Haz clic para expandir...

Si tienes opción de instalar alguna aplicación tipo terminal o consola ssh, tira esto por terminal en el cliente cuando estés en 3G y con la vpn levantada, que te dirá quien es tu dns resolver:

Código: 
nslookup google.com

Saludos!
 
pokoyo dijo:
xmigoll dijo:
Voy a hacer lo que me dices, ahora mismo estoy usando un Samsung Note3 con Lollipop hasta ver que móvil compro, y lo voy a probar en in mono ipad y otro Móvil no vaya ser cosa del dispositivo.
Ya te digo algo a la tarde.
Gracias cono siempre @pokoyo

¡Tonto el que lo lea!
Haz clic para expandir...

Si tienes opción de instalar alguna aplicación tipo terminal o consola ssh, tira esto por terminal en el cliente cuando estés en 3G y con la vpn levantada, que te dirá quien es tu dns resolver:

Código: 
nslookup google.com

Saludos!
Haz clic para expandir...
Vale. Te cuento. Primero decir que tu orientación, comno siempre, impecable y muy buena. Tras esto comentar que el problema viene en mi teléfono. He usurpado ;) el móvil de mi mujer durante un rato, he metido la VPN, he conectado y filtra perfectamente la publicidad. Es verdad que se cuela algún pequeño anuncio pero eso ya es cosa de los filtros de pi Hole. Pedirte disculpas porque es lo primero que debería haber hecho ayer antes de molestaros. Pero a veces te ciegas y...

Entonces voy a ver si soy capaz de solucionarlo en este terminal. No quería subirle de versión y rotearle, actualmente le he dejado stock en 5.0, porque quiero seguir conservando alguna App que ya solamente funciona en esta versión , pero a lo mejor me pongo esta tarde, le instalo android 10 y miro si es de la versión del SO.
Si no es de eso, volveré a la 5.0 y entonces te comento a ver si podemos meterle mano por algún sitio.
Gracias maño. Eres un crack.
Un saludo

¡Tonto el que lo lea!
 
xmigoll dijo:
Vale. Te cuento. Primero decir que tu orientación, comno siempre, impecable y muy buena. Tras esto comentar que el problema viene en mi teléfono. He usurpado ;) el móvil de mi mujer durante un rato, he metido la VPN, he conectado y filtra perfectamente la publicidad. Es verdad que se cuela algún pequeño anuncio pero eso ya es cosa de los filtros de pi Hole. Pedirte disculpas porque es lo primero que debería haber hecho ayer antes de molestaros. Pero a veces te ciegas y...

Entonces voy a ver si soy capaz de solucionarlo en este terminal. No quería subirle de versión y rotearle, actualmente le he dejado stock en 5.0, porque quiero seguir conservando alguna App que ya solamente funciona en esta versión , pero a lo mejor me pongo esta tarde, le instalo android 10 y miro si es de la versión del SO.
Si no es de eso, volveré a la 5.0 y entonces te comento a ver si podemos meterle mano por algún sitio.
Gracias maño. Eres un crack.
Un saludo

¡Tonto el que lo lea!
Haz clic para expandir...
Venga, perfecto si lo tienes ya localizado. Me alegro de que el pi-hole lo tengas ya en funcionamiento. Es probablemente el mejor descubrimiento que he hecho en estos últimos meses. Una vez te acostumbres a él y te vayas a otro sitio donde no puedas usarlo, te va a estorbar la mierda. Otra cosa de la que no era consciente y me he dado cuenta la usar esto en VPN, es la cantidad de datos que ahorras. La publicidad genera bastante tráfico inútil, que al final son datos que se chupa el móvil. Un win/win en toda regla.

Saludos!
 
Españoles...
Añadir, por si a alguien le sucede en un futuro, que ayer me he encontrado con dos problemas en la Red local una vez finalizada la instalación de Pi Hole en la Ras.
Los ordenadores, teléfonos -salvo el mio que está pe diente de mirar-, tabletas y demás , a falta de la Tv de la que me acabo de acordar, funcionan bien salvo una cámara que tengo para vigilar a las nenas y un reloj de estos "tontiligentes".
Después de mil vueltas, dar permisos, cambiar DNS y demás, la cámara no conectaba. La he desista lado, la he vuelto a instalar, con el DNS primario que había cogido de la Raspberry cuando no funcionaba y ahora va correctamente.
Con el reloj espero que esta tarde me suceda lo mismo y que haciendo un hardreset se resuelva.
Simplemente cono información.
Un saludo.

¡Tonto el que lo lea!
 
xmigoll dijo:
Españoles...
Añadir, por si a alguien le sucede en un futuro, que ayer me he encontrado con dos problemas en la Red local una vez finalizada la instalación de Pi Hole en la Ras.
Los ordenadores, teléfonos -salvo el mio que está pe diente de mirar-, tabletas y demás , a falta de la Tv de la que me acabo de acordar, funcionan bien salvo una cámara que tengo para vigilar a las nenas y un reloj de estos "tontiligentes".
Después de mil vueltas, dar permisos, cambiar DNS y demás, la cámara no conectaba. La he desista lado, la he vuelto a instalar, con el DNS primario que había cogido de la Raspberry cuando no funcionaba y ahora va correctamente.
Con el reloj espero que esta tarde me suceda lo mismo y que haciendo un hardreset se resuelva.
Simplemente cono información.
Un saludo.

¡Tonto el que lo lea!
Haz clic para expandir...

Venga, que ya lo tienes casi. Te adelanto dos cosas que te pueden dar problemas: una los anuncios de google, los que salen como más relevantes en las búsquedas. Esos enlaces dejarán de funcionar. Si bajas a los resultados de búsqueda, esos funcionan correctamente, pero los promocionados como anuncio no.
Por otro lado, es posible que algún vídeo de YouTube que intente enchufarte un anuncio falle también, y te toque abrirlo con otro navegador.

Por lo demás, el invento es una maravilla.

Saludos!
 
Hola @pokoyo.

Excelente manual, como todos los que haces :)

En mi caso, he montado las 3 VPNs desde el QuickSet, y estoy usando únicamente L2TP+IPSec, así que he deshabilitado las reglas de Firewall para IKE, PPTP y SSTP.

Hasta aquí bien, pero tengo un par de dudas. Cuando dices:

Deshabilitad métodos de autenticación más antiguos si no son estrictamente necesarios, tipo "pap" y "chap" o "mschap1"

¿Esto cómo se hace?

Por otro lado he visto que esa misma ventana de "Firewall", pestaña "Service Ports" que hay un puerto para PPTP y que está habilitado. Deberíamos deshabilitarlo también, ¿Verdad?
 
sermayoral dijo:
En mi caso, he montado las 3 VPNs desde el QuickSet, y estoy usando únicamente L2TP+IPSec, así que he deshabilitado las reglas de Firewall para IKE, PPTP y SSTP.
Haz clic para expandir...
Qué reglas has deshabilitado para IKEv2? Ojo que usa los mismos puertos que el IPSec de L2TP (no deja de ser IPSec, a fin de cuentas). Asegúrate de tener abiertos el 1723, 4500 y 500 para esa VPN.

sermayoral dijo:
Deshabilitad métodos de autenticación más antiguos si no son estrictamente necesarios, tipo "pap" y "chap" o "mschap1"
Haz clic para expandir...
En las propiedades del servidor L2TP, en PPP-> L2TP Server. Pero ojo y prueba bien en todos los equipos, que puede que esto haga que no conecten algunos más viejos o que, por lo que sea, algunos que sigan usando esos métodos. Yo normalmente lo tenia sólo con mschap2.

sermayoral dijo:
Por otro lado he visto que esa misma ventana de "Firewall", pestaña "Service Ports" que hay un puerto para PPTP y que está habilitado. Deberíamos deshabilitarlo también, ¿Verdad?
Haz clic para expandir...
No es necesario. Si te fijas, ese puerto de servicio no está especificado, como si está por ejemplo el de la VoIP (SIP). No hace falta que toques nada en los puertos de servicio.

Saludos!
 
pokoyo dijo:
Qué reglas has deshabilitado para IKEv2? Ojo que usa los mismos puertos que el IPSec de L2TP (no deja de ser IPSec, a fin de cuentas). Asegúrate de tener abiertos el 1723, 4500 y 500 para esa VPN.
Haz clic para expandir...

Pues era el 500. Me di cuenta anoche, cuando lo deshabilité probé la VPN y no me conectaba, y vi en tu sección de crear la VPN L2TP + IPSec manualmente que abrías el puerto 4500 y 500, así que sí, deduje que ese puerto lo necesitaba IPSec y lo volví a abrir.

1603269344066.png


Quizás me confundió el comentario. Por cierto el puerto que tengo abierto es el 1701 para L2TP. El 1723 lo tengo deshabilitado ya que, según el QuickSet, es el puerto para PPTP. Me está funcionando así que entiendo que sí.

pokoyo dijo:
En las propiedades del servidor L2TP, en PPP-> L2TP Server. Pero ojo y prueba bien en todos los equipos, que puede que esto haga que no conecten algunos más viejos o que, por lo que sea, algunos que sigan usando esos métodos. Yo normalmente lo tenia sólo con mschap2.
Haz clic para expandir...

Anotado!

pokoyo dijo:
No es necesario. Si te fijas, ese puerto de servicio no está especificado, como si está por ejemplo el de la VoIP (SIP). No hace falta que toques nada en los puertos de servicio.
Haz clic para expandir...

Aclarado!
 
sermayoral dijo:
Pues era el 500. Me di cuenta anoche, cuando lo deshabilité probé la VPN y no me conectaba, y vi en tu sección de crear la VPN L2TP + IPSec manualmente que abrías el puerto 4500 y 500, así que sí, deduje que ese puerto lo necesitaba IPSec y lo volví a abrir.

Ver el adjunto 73486

Quizás me confundió el comentario. Por cierto el puerto que tengo abierto es el 1701 para L2TP. El 1723 lo tengo deshabilitado ya que, según el QuickSet, es el puerto para PPTP. Me está funcionando así que entiendo que sí.



Anotado!



Aclarado!
Haz clic para expandir...

1701, perdón. Siempre me bailan esos dos puertos entre l2tp y pptp. Los que tienen que quedar son esos tres que salen ahí: 1701, 4500 y 500.

Saludos!
 
pokoyo dijo:
Venga, que ya lo tienes casi. Te adelanto dos cosas que te pueden dar problemas: una los anuncios de google, los que salen como más relevantes en las búsquedas. Esos enlaces dejarán de funcionar. Si bajas a los resultados de búsqueda, esos funcionan correctamente, pero los promocionados como anuncio no.
Por otro lado, es posible que algún vídeo de YouTube que intente enchufarte un anuncio falle también, y te toque abrirlo con otro navegador.

Por lo demás, el invento es una maravilla.

Saludos!
Haz clic para expandir...
Una pregunta. A ver si sabes a qué puede ser debido.
He reinstalado pihole y todo bien. Instalo TeamViewer por SSH se instala, conecto la Raspberry por wifi y me puedo conectar en remoto con el TeamViewer, pero cuando le pongo el cable y pihole actúa, no puedo conectarme. Me lanza el error "WaitforConnectFailed".
He entrado en PiHole/herramientas/lista de consultas y he buscado la entrada "TeamViewer.com" sin encontrar coincidencias que hagan suponer que pi-hole lo está bloqueando.
¿Alguna idea?
Gracias.

Enviado desde mi SM-N9005 mediante Tapatalk
 
Debes estar conectado o registrado para responder aquí.

Similar threads

leptismame
configurar Digi 10 g - RB4011
Respuestas
6
Visitas
500
leptismame
J
L2tp/ipsec no ve servidor truenas y pc de la red
2 3
Respuestas
44
Visitas
2,150
jose maria fernandez
G
Home Assistant, DuckDNS y Mikrotik ¿un problema?
Respuestas
9
Visitas
1,057
generalpirata
I
Fallo red WIFI CAPsMan con SFP Stick
Respuestas
1
Visitas
39
pokoyo
D
Dudas hAP ax3
2
Respuestas
22
Visitas
1,665
Donette
Arriba