MANUAL: Mikrotik, cómo montar un servidor VPN
- Iniciador del tema pokoyo
- Fecha de inicio
Buenas, voy aprendiendo poco a poco con tus manuales pocoyo y cuando tengo un rato trasteo. El caso es que ya tengo bien configurado L2tp/ipsec con los routers de los operadores delante de los MK, hago ping desde la consola del MK al otro MK pero no consigo que desde el pc me haga ping a la otra red, no se si me falta alguna ruta en el MK o si tengo que configurar algo en el portátil. El portátil lo tengo conectado a unas de las bocas del MK pero la ip me la da el HGU de movistar. Muchas gracias.
Un Saludo.
- Mensajes
- 13,600
Ponme un poco en situación y mándame los export de ambos equipos. También cuéntame un poco qué pretendes hacer. ¿estás uniendo dos sedes? O es una conexión tipo road-warrior?
Saludos!
Si, me gustaría que las dos sedes se conectaran y se vieran entre si, por lo menos los equipos que estuvieran conectados a los Mk. Lo de road-warrior no tengo ni idea de lo que es jeje. Te mando el export de este que tengo aqui, al otro ahora mismo solo le hago ping desde este (192.168.2.1), pero por lo menos a ver si te puede orientar y que me orientes a mi a ver por donde van los tiros, jeje:
Un Saludo.
Un Saludo.
Última edición:
- Mensajes
- 13,600
Si vas a montar un site to site, te recomiendo que te vayas a la solución de los túneles EoIP, por ser más sencillos de configurar que esos que planteas aquí.
También comentarte que, si ese export es de un equipo que hace de router, te falta la parte del firewall y el NAT.
Por otro lado, un road warrior es un tipo de setup donde tú tienes un servidor, normalmente en una oficina, y tienes muchos clientes conectando a un único punto. Dichos clientes hacen roaming y conectan desde distintas IP públicas que tú no controlas. Es el tipo de setup de cualquier empresa donde te dan un portátil con una VPN para trabajar en remoto desde tu casa.
Por otro lado, un site-to-site es la unión de dos sedes en dos empresas. O tu casa de la playa con tu vivienda principal, por ejemplo. Son los dos principales modos de trabajo de un servidor de VPN.
Saludos!
También comentarte que, si ese export es de un equipo que hace de router, te falta la parte del firewall y el NAT.
Por otro lado, un road warrior es un tipo de setup donde tú tienes un servidor, normalmente en una oficina, y tienes muchos clientes conectando a un único punto. Dichos clientes hacen roaming y conectan desde distintas IP públicas que tú no controlas. Es el tipo de setup de cualquier empresa donde te dan un portátil con una VPN para trabajar en remoto desde tu casa.
Por otro lado, un site-to-site es la unión de dos sedes en dos empresas. O tu casa de la playa con tu vivienda principal, por ejemplo. Son los dos principales modos de trabajo de un servidor de VPN.
Saludos!
Si si, el caso es que lo monte con eoip y l2tp/ipsec y me funcionó, de hecho si cargo el backup que hice, tengo acceso al otro MK del otro domicilio, pero quería hacer un site-to-site con los dos mk detrás de los router de la operadora y empezar de nuevo entendiendo bien que había hecho y probar solo con l2tp/ipsec. En tema de Nat y sobre todo de firewall estoy muy muy verde, si me recomiendas alguna lectura te lo agradecería.
Gracias por la explicación del road warrior, lo he hecho con Openvpn pero con los términos muchas veces me pierdo.
Un Saludo.
Gracias por la explicación del road warrior, lo he hecho con Openvpn pero con los términos muchas veces me pierdo.
Un Saludo.
- Mensajes
- 13,600
Lo primero que hay que tener claro es si los routers de mikrotik están directamente expuestos a internet haciendo de routers (conectados a una ONT u otro equipo en modo monopuesto o bridge) o los tienes como switches detrás de un router de operadora. Sabiendo eso, te sabría orientar.
En la propia wiki de mikrotik creo que tienes un ejemplo de site-to-site usando l2tp/IPSec. Yo te sigo recomendando hacerlo con EoIP, que soporta igualmente IPSec y es bastante más sencillo de montar.
Saludos!
Si pocoyo, pensé que me habías entendido, lo puse al principio:
pokoyo dijo:
Tipo de servidor: L2TP/IPSec sobre switch transparente [manteniendo nuestro router original]
Los tengo como switches detrás del de la operadora, lo mismo no me he explicado bien. Intenté al principio conectar el mk y quitar el router de la operadora, pero tengo dos niños pequeños enganchados a Pepa Pig, Patrulla canina, etc, mi mujer teletrabajando y no podía dejar la casa sin internet cada dos por tres, jeje, más cuando tengo un rato para echarle un vistazo a esto están ellos viendo la tv. Para mi es mucho mas cómodo ahora mismo aprender de esta forma.
Un Saludo.
pokoyo dijo:
Tipo de servidor: L2TP/IPSec sobre switch transparente [manteniendo nuestro router original]
Los tengo como switches detrás del de la operadora, lo mismo no me he explicado bien. Intenté al principio conectar el mk y quitar el router de la operadora, pero tengo dos niños pequeños enganchados a Pepa Pig, Patrulla canina, etc, mi mujer teletrabajando y no podía dejar la casa sin internet cada dos por tres, jeje, más cuando tengo un rato para echarle un vistazo a esto están ellos viendo la tv. Para mi es mucho mas cómodo ahora mismo aprender de esta forma.
Un Saludo.
- Mensajes
- 13,600
Vale. En ese caso me pillas un poco, porque nunca monté un site-to-site con dos equipos en modo bridge usando l2tp con ipsec. Pero te diría que vuelvas a intentarlo con EoIP, que me da la sensación de que va a ser más sencillo de montar. Si vas a usar IPSec, acuérdate de mandar el puerto 4500 y el 500 a la IP del mikrotik, desde el router que tengas delante.
Saludos!
Saludos!
Ya lo he revisado varias veces, y en principio está abierto. Lo he hecho y deshecho 20 veces, te pongo el export a ver si ves algo raro:
# jan/09/2021 23:32:12 by RouterOS 6.47.8 # software id = Y9V7-43DB # # model = RB750Gr3 # serial number = CC210B348613
/interface bridge add admin-mac=C4:AD:34:C6:C9:3C auto-mac=no comment=defconf name=bridge protocol-mode=none
/interface vlan add interface=ether1 name=vlan21 vlan-id=24
/interface pppoe-client add add-default-route=yes allow=pap,chap disabled=no interface=vlan21 keepalive-timeout=60 name=pppoe-out1 use-peer-dns=yes user=*@vodafone
/interface list add comment=defconf name=WAN add comment=defconf name=LAN
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot
/ip pool add name=dhcp ranges=172.193.3.10-172.193.3.254 add name=vpn-pool ranges=172.193.10.2-172.193.10.254
/ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile add change-tcp-mss=yes interface-list=LAN local-address=172.193.10.1 name=vpn-profile remote-address=vpn-pool use-encryption=yes /user group set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings set discover-interface-list=LAN
/interface l2tp-server server set authentication=mschap2 default-profile=vpn-profile enabled=yes use-ipsec=yes
/interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN add interface=pppoe-out1 list=WAN /ip address add address=172.193.3.1/24 comment=defconf interface=ether2 network=172.193.3.0
/ip cloud set ddns-enabled=yes /ip dhcp-client add comment=defconf disabled=no interface=ether1
/ip dhcp-server lease add address=172.193.3.250 client-id=1:a8:60:b6:30:b4:da mac-address=A8:60:B6:30:B4
A server=defconf add address=172.193.3.246 client-id=1:0:1d:ec:d:67:9a mac-address=00:1D:EC:0D:67:9A server=defconf add address=172.193.3.2 client-id=1:b0:5a:da:87:6b:a1 mac-address=B0:5AA:87:6B:A1 server=defconf add address=172.193.3.243 client-id=1:e0:63:da:6d:51:d5 mac-address=E0:63A:6D:515 server=defconf add address=172.193.3.248 client-id=1:0:80:92:82:ac:35 mac-address=00:80:92:82:AC:35 server=defconf add address=172.193.3.236 client-id=1:bc:5f:f4:89:d2:84 mac-address=BC:5F:F4:892:84 server=defconf add address=172.193.3.230 client-id=1:98:9e:63:25:43:66 mac-address=98:9E:63:25:43:66 server=defconf add address=172.193.3.11 client-id=1:b0:5a:da:87:6b:a3 mac-address=B0:5AA:87:6B:A3 server=defconf add address=172.193.3.16 client-id=1:9a:1f:1e:94:9c:1f mac-address=9A:1F:1E:94:9C:1F server=defconf add address=172.193.3.15 client-id=ff:3c:cc:a4:5a:0:1:0:1:27:7b:a8:c7:3e:9f:3c:cc:a4:5a mac-address=3E:9F:3C:CC:A4:5A server=defconf
/ip dhcp-server network add address=172.193.3.0/24 comment=defconf gateway=172.193.3.1 netmask=24
/ip dns set allow-remote-requests=yes
/ip dns static add address=172.193.3.1 name=router.lan
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=udp add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=172.193.10.0/24
/ip service set www address=172.193.3.0/24,172.193.10.0/24 set winbox address=172.193.3.0/24,172.193.10.0/24
/ppp secret add name=usuario service=l2tp
/system clock set time-zone-name=Europe/Madrid /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
/interface bridge add admin-mac=C4:AD:34:C6:C9:3C auto-mac=no comment=defconf name=bridge protocol-mode=none
/interface vlan add interface=ether1 name=vlan21 vlan-id=24
/interface pppoe-client add add-default-route=yes allow=pap,chap disabled=no interface=vlan21 keepalive-timeout=60 name=pppoe-out1 use-peer-dns=yes user=*@vodafone
/interface list add comment=defconf name=WAN add comment=defconf name=LAN
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot
/ip pool add name=dhcp ranges=172.193.3.10-172.193.3.254 add name=vpn-pool ranges=172.193.10.2-172.193.10.254
/ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile add change-tcp-mss=yes interface-list=LAN local-address=172.193.10.1 name=vpn-profile remote-address=vpn-pool use-encryption=yes /user group set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings set discover-interface-list=LAN
/interface l2tp-server server set authentication=mschap2 default-profile=vpn-profile enabled=yes use-ipsec=yes
/interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN add interface=pppoe-out1 list=WAN /ip address add address=172.193.3.1/24 comment=defconf interface=ether2 network=172.193.3.0
/ip cloud set ddns-enabled=yes /ip dhcp-client add comment=defconf disabled=no interface=ether1
/ip dhcp-server lease add address=172.193.3.250 client-id=1:a8:60:b6:30:b4:da mac-address=A8:60:B6:30:B4
A server=defconf add address=172.193.3.246 client-id=1:0:1d:ec:d:67:9a mac-address=00:1D:EC:0D:67:9A server=defconf add address=172.193.3.2 client-id=1:b0:5a:da:87:6b:a1 mac-address=B0:5AA:87:6B:A1 server=defconf add address=172.193.3.243 client-id=1:e0:63:da:6d:51:d5 mac-address=E0:63A:6D:515 server=defconf add address=172.193.3.248 client-id=1:0:80:92:82:ac:35 mac-address=00:80:92:82:AC:35 server=defconf add address=172.193.3.236 client-id=1:bc:5f:f4:89:d2:84 mac-address=BC:5F:F4:892:84 server=defconf add address=172.193.3.230 client-id=1:98:9e:63:25:43:66 mac-address=98:9E:63:25:43:66 server=defconf add address=172.193.3.11 client-id=1:b0:5a:da:87:6b:a3 mac-address=B0:5AA:87:6B:A3 server=defconf add address=172.193.3.16 client-id=1:9a:1f:1e:94:9c:1f mac-address=9A:1F:1E:94:9C:1F server=defconf add address=172.193.3.15 client-id=ff:3c:cc:a4:5a:0:1:0:1:27:7b:a8:c7:3e:9f:3c:cc:a4:5a mac-address=3E:9F:3C:CC:A4:5A server=defconf /ip dhcp-server network add address=172.193.3.0/24 comment=defconf gateway=172.193.3.1 netmask=24
/ip dns set allow-remote-requests=yes
/ip dns static add address=172.193.3.1 name=router.lan
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=udp add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=172.193.10.0/24
/ip service set www address=172.193.3.0/24,172.193.10.0/24 set winbox address=172.193.3.0/24,172.193.10.0/24
/ppp secret add name=usuario service=l2tp
/system clock set time-zone-name=Europe/Madrid /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
- Mensajes
- 13,600
A priori no veo nada raro. Te diría que le marcaras todos los métodos de autenticación en el servidor l2tp, pero estoy seguro de que en Mac funciona machap2. ¿Cómo estás configurando el cliente en Mac? Cuando pruebas, lo haces desde una conexión 3G o desde otra red distinta a tu red principal, donde corre el servidor?
Saludos!
Saludos!
Buenas! Pues nada, imposible, he cambiado el usuario y contraseña a ver si así, pero nada. Lo estoy probando desde otra red, y desde Mac, pues creo una nueva VPN L2TP y poco más, cuenta pongo el usuario, contraseña la contraseña del usuario y el secreto compartido... Ni idea que está pasando. No se si resetearlo todo y volver a empezar pero tengo ya todo configurado y me da cosa volver a empezar.
- Mensajes
- 13,600
Buenas @Dexter91
acabo de revisar esto a conciencia y no veo nada raro. Lo único que se me ocurre, que ya le ha pasado a algún usuario, es que te esté dando problemas la contraseña de usuario o el secreto de IPSec al contener algún carácter especial. Prueba con un par de valores de contraseña simples y me dices.
Saludos!
acabo de revisar esto a conciencia y no veo nada raro. Lo único que se me ocurre, que ya le ha pasado a algún usuario, es que te esté dando problemas la contraseña de usuario o el secreto de IPSec al contener algún carácter especial. Prueba con un par de valores de contraseña simples y me dices.
Saludos!
xmigoll
Usuari@ ADSLzone
- Mensajes
- 281
Buenos días. Tengo un problemilla que no sé cómo resolver.
Hace unos meses me ayudastéis a montar la VPN en mi Mikrotik sobre un servicio de NEBA de Yoigo. Ha estado funcionando muy bien.
El otro día cambié a Másmóvil, configuré la ONT, el router, la VPN y las Raspberry y en principio pensé que estaba funcionando pero ayer por la tarde intenté conectar con la VPN y me da error.
He recuperado configuraciones del router hechas cuando funcionaba, he cambiado contraseñas por si era algún carácter que estaba mal puesto, lo he configurado nuevamente según me dijo @pokoyo y no me deja conectarme. Siempre me sale "con error".
He mirado por si me habían vuelto a meter en el CGNat y veo que la IP empieza por 213.xxx.xxx.xxx. así que no debería ser el problema.
¿Se os ocurre lo que puede ser?
Pd. Edito. Vamos a ver. Acabo de rellamar a Másmóvil y ahora me dicen que estoy dentro de CGNat. Vamos a ver si el martes se soluciona esto.
Enviado desde mi SM-N9005 mediante Tapatalk
Hace unos meses me ayudastéis a montar la VPN en mi Mikrotik sobre un servicio de NEBA de Yoigo. Ha estado funcionando muy bien.
El otro día cambié a Másmóvil, configuré la ONT, el router, la VPN y las Raspberry y en principio pensé que estaba funcionando pero ayer por la tarde intenté conectar con la VPN y me da error.
He recuperado configuraciones del router hechas cuando funcionaba, he cambiado contraseñas por si era algún carácter que estaba mal puesto, lo he configurado nuevamente según me dijo @pokoyo y no me deja conectarme. Siempre me sale "con error".
He mirado por si me habían vuelto a meter en el CGNat y veo que la IP empieza por 213.xxx.xxx.xxx. así que no debería ser el problema.
¿Se os ocurre lo que puede ser?
Pd. Edito. Vamos a ver. Acabo de rellamar a Másmóvil y ahora me dicen que estoy dentro de CGNat. Vamos a ver si el martes se soluciona esto.
Enviado desde mi SM-N9005 mediante Tapatalk
Última edición:
SHINZONITO
Usuari@ ADSLzone
- Mensajes
- 1,103
Hola de nuevo, pokoyo. Ayer activé el VPN que te crea el mikrotik y supongo que es el pptp. He leído en tu manual que es el menos seguro de todos y he pensado que quizás debería subir al l2tp pero no se si sería recomendable teniendo el hap ac. ¿Me quedo como estoy o crees que mi router podría con ello? Tampoco es que le vaya a exigir mucho por el momento, pero.....
