MANUAL: Mikrotik, cómo montar un servidor VPN

Gracias por la respuesta.
Te hare caso y este fin de semana nos romperemos un poco los cuernos con este tema a ver si logro que funcione como necesito, aunque no descarto que tenga que recurrir a realizar alguna consulta de nuevo ya que no soy ningun experto en el tema.
Un abrazo.
 
Sin problema. Mira los manuales que hay en este mismo sub, y si tienes dudas pregunta. Si se te complica, abre un post nuevo, mejor que meterle más mensajes a este.

Saludos!
 
Hola a todos...

He creado una VPN L2TP/IPSEC para conectarme desde el móvil a mi MK mediante Winbox a la IP asignada por la VPN, no al dominio dinámico evidentemente, y puedo conectarme cuando levanto el túnel en el móvil.

Pero no veo movimiento en la regla del firewall de permitir tráfico L2TP, aunque sí en el tráfico IPSEC. He usado la configuración que recomienda pokoyo y ya digo que funciona pero me mosquea no ver tráfico en esa regla.

¿Alguna idea?

Código:
/ppp profile add change-tcp-mss=yes interface-list=LAN local-address=192.168.22.1 name=vpn-l2tp remote-address=pool-L2TP use-encryption=yes
/interface l2tp-server server set authentication=mschap2 default-profile=vpn-l2tp enabled=yes ipsec-secret=PEAZOCLAVE use-ipsec=yes
/ip firewall filter add action=accept chain=input comment="Permite IPSEC" dst-port=500,4500 protocol=udp
/ip firewall filter add action=accept chain=input comment="Permite IPSEC-RW" ipsec-policy=in,ipsec
/ip firewall filter add action=accept chain=input comment="Permite L2TP" dst-port=1701 protocol=udp


1626261459141.png
 
Porque la segunda regla no tiene restricción de puerto, y el tráfico L2TP, cuando habilitas IPSec, llega con política "in,ipsec" así que el tráfico está entrando por ahí, cuando la conexión es IPSec. Si el túnel no llevase IPSec, entraría por la última. Y, si mueves la que permite el L2TP encima de la que abre el 4500 y el 500, verás que recibe un paquete por cada conexión.

Si quieres hacerlo bien, y siempre vas a usar IPSec sin opción a usar el túnel L2TP en claro, yo lo dejaría así, restringiendo el acceso al router únicamente a la IP o segmento de IPs del pool VPN:
Código:
/ip firewall filter
add action=accept chain=input comment=allow-l2tp-with-ipsec-only dst-port=1701 \
    ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input comment=allow-ipsec dst-port=500,4500 protocol=\
    udp
add action=accept chain=input comment=allow-rw-access-router ipsec-policy=\
    in,ipsec src-address=192.168.22.0/24

Saludos!
 
Última edición:
Si añado tu tercera regla inmediatamente a continuación de las otras dos:

Código:
add action=accept chain=input comment=allow-rw-access-router ipsec-policy=\
    in,ipsec src-address=192.168.22.0/24

tampoco marca tráfico en ésta a pesar de establecer la conexión.
 
Si pones las reglas tal y como te las he mandado, generarás un paquete en la regla del L2TP, por cada conexión. No es que metas las mías a continuación de las tuyas, sino que metas esas tres que te doy, en ese orden, en lugar de las tres tuyas.

Saludos!
 
Si pones las reglas tal y como te las he mandado, generarás un paquete en la regla del L2TP, por cada conexión. No es que metas las mías a continuación de las tuyas, sino que metas esas tres que te doy, en ese orden, en lugar de las tres tuyas.

Saludos!
sí, eso es lo que he hecho, sustituir las mías por las tuyas en ese orden y no hay tráfico en la tercera.

1626273597644.png


Este es el contenido del menú PPP:

Código:
/ppp profile add change-tcp-mss=yes interface-list=LAN local-address=192.168.22.1 name=vpn-l2tp remote-address=pool-L2TP use-encryption=yes
/ppp secret add name=usuariovpn profile=vpn-l2tp remote-address=192.168.22.5 service=l2tp

Y este el del firewall:

Código:
/ip firewall filter add action=accept chain=input comment="Permite L2TP solo con IPSEC" dst-port=1701 ipsec-policy=in,ipsec protocol=udp
/ip firewall filter add action=accept chain=input comment="Permite IPSEC" dst-port=500,4500 protocol=udp
/ip firewall filter add action=accept chain=input comment=allow-rw-access-router ipsec-policy=in,ipsec src-address=192.168.22.0/24

Y la conexión se establece y puedo acceder vía 4G a la IP del MK por VPN (192.168.22.1).
 
Como ves, ahora la regla de L2TP tiene tráfico.

Correcto para esa última; te sobra. Está puesta para el caso de las IKEv2, donde no hay interfaz túnel como tal, y tienes que permitir ese tráfico explícitamente, pero para L2TP el tráfico entraría por el túnel, así que no necesitas esa regla.

Saludos!
 
Como ves, ahora la regla de L2TP tiene tráfico.

Correcto para esa última; te sobra. Está puesta para el caso de las IKEv2, donde no hay interfaz túnel como tal, y tienes que permitir ese tráfico explícitamente, pero para L2TP el tráfico entraría por el túnel, así que no necesitas esa regla.

Saludos!

Muchas gracias por la respuesta y el tiempo que te tomas en echar una mano a los pobres desgraciaos como yo que me quedé en la era pre-bridge con la introducción 6.41 y ando más perdido con los bridges y nuevas funciones que un pingüino en el desierto.
 
De nada. Una vez lo entiendes, lo viejo del master y slave interface te parece prehistoria.

Saludos!
 
Buenas!

He configurado una VPN L2TP/IPSec siguiendo los pasos sobre mi propia configuración (no he usado quick-set de nuevo, ya lo hice antes).

Resumiendo: si me conecto con datos conecto a la VPN sin problemas. Si lo hago con un WiFi (de casa de mis padres, mismamente, y desde otros que he probado) da error siempre.

Alguna idea?

Gracias!

Un saludo
 
Buenas!

He configurado una VPN L2TP/IPSec siguiendo los pasos sobre mi propia configuración (no he usado quick-set de nuevo, ya lo hice antes).

Resumiendo: si me conecto con datos conecto a la VPN sin problemas. Si lo hago con un WiFi (de casa de mis padres, mismamente, y desde otros que he probado) da error siempre.

Alguna idea?

Gracias!

Un saludo
Dale un export, como no sea un tema de puertos, ni idea. Diría que es cosa de las conexiones desde donde te conectas, pero es raro si has probado desde más de una red.

Saludos!
 
Dale un export, como no sea un tema de puertos, ni idea. Diría que es cosa de las conexiones desde donde te conectas, pero es raro si has probado desde más de una red.

Saludos!
Buenas!

Adjunto captura intentando conectar por WiFi desde casa de mis padres:

1628506199104.png


Ahora conectando por 4G:

1628506470202.png


Si te fijas, antes del primer mensaje que obtengo cuando lo intento por WiFi, hay dos líneas más (respond new phase 1 y ISAKMP-SA established). Por WiFi comienza directamente por la rcvd control.

Acabo de probar conectándome por WiFi a un móvil compartiendo datos, y lo mismo.

Siempre que mi móvil está por WiFi, no puedo conectar.

/interface bridge
add admin-mac=**:**:**:**:**:**:**:** auto-mac=no igmp-snooping=yes name=bridge-LAN \
protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-PC
set [ find default-name=ether3 ] name=ether3-Xiaomi
set [ find default-name=ether4 ] name=ether4-Comedor
set [ find default-name=ether5 ] name=ether5-RaspberryPi
/interface vlan
add disabled=yes interface=ether1-WAN name=vlan2-TV vlan-id=2
add disabled=yes interface=ether1-WAN name=vlan3-Voz vlan-id=3
add interface=ether1-WAN name=vlan6-Datos vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-Datos max-mru=1492 \
max-mtu=1492 name=pppoe-out user=adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add comment="vlan2-TV & vlan3-Voz" name=vlan2&3
/ip dhcp-server option
add code=240 name=option_para_deco value=\
"':::::239.0.2.10:22222:v6.0:239.0.2.30:22222'"
/ip pool
add name=dhcp_pool-LAN ranges=192.168.87.202-192.168.87.254
add name=vpn-pool ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool-LAN disabled=no interface=bridge-LAN name=dhcp-LAN
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.88.1 name=\
vpn-profile remote-address=vpn-pool use-encryption=yes
/interface bridge port
add bridge=bridge-LAN interface=ether2-PC
add bridge=bridge-LAN interface=ether3-Xiaomi
add bridge=bridge-LAN interface=ether4-Comedor
add bridge=bridge-LAN interface=ether5-RaspberryPi
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=\
yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set authentication=mschap2 default-profile=vpn-profile enabled=yes use-ipsec=\
yes
/interface list member
add interface=bridge-LAN list=LAN
add interface=ether1-WAN list=WAN
add interface=pppoe-out list=WAN
add interface=vlan2-TV list=vlan2&3
add interface=vlan3-Voz list=vlan2&3
/ip address
add address=192.168.87.1/24 comment=LAN interface=bridge-LAN network=\
192.168.87.0
add address=**.**.***.**/10 comment=iptv interface=vlan2-TV network=10.64.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1-WAN
add add-default-route=no disabled=no interface=vlan3-Voz use-peer-ntp=no
/ip dhcp-server lease
ME SALTO ESTA PARTE QUE TENGO UNOS CUANTOS (y no aportan nada para este caso de VPN)
/ip dhcp-server network
add address=192.168.87.0/24 comment="Red local" dns-server=\
192.168.87.201,192.168.87.1 gateway=192.168.87.1
add address=192.168.87.200/32 comment="Red Desco " dhcp-option=option_para_deco \
dns-server=172.26.23.3 gateway=192.168.87.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1 use-doh-server=\
https://1.1.1.1/dns-query verify-doh-cert=yes
/ip dns static
add address=192.168.87.1 comment=defconf name=router.lan (ME ACABO DE DAR CUENTA DE ESTA LÍNEA... DEBERÍA TENERLA DESACTIVADA, NO? Tengo una RaspberryPi con Pi-Hole, y utilizo DoH; primer DNS la RaspberryPi, segundo por si falla, MikroTik)
/ip firewall filter (TENGO REGLAS DUPLICADAS, o me lo parece, DE VPN, las default y las que creé, puede ser?)
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=\
udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
# vlan2-TV not ready
add action=accept chain=input comment="Accept vlan2 Iptv IGMP packets" \
in-interface=vlan2-TV protocol=igmp
add action=accept chain=input comment=\
"Accept vlan2 & 3 (Iptv & Voip) multicast & broadcast traffic" \
dst-address-type=!unicast in-interface-list=vlan2&3
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" disabled=yes dst-address=\
127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN log-prefix=WAN_
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=\
"Drop all new unicast traffic from vlan3 & 2 (Voip & Iptv) not DSTNATed" \
connection-nat-state=!dstnat connection-state=new dst-address-type=unicast \
in-interface-list=vlan2&3
/ip firewall mangle
# vlan3-Voz not ready
add action=set-priority chain=postrouting comment="Prioritise Voip packets" \
new-priority=5 out-interface=vlan3-Voz passthrough=yes
# vlan2-TV not ready
add action=set-priority chain=postrouting comment="Prioritise Iptv packets" \
new-priority=4 out-interface=vlan2-TV passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
pppoe-out
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.88.0/24
add action=dst-nat chain=dstnat comment=qBittorrent disabled=yes dst-port=**** \
in-interface-list=WAN log-prefix=bt_ protocol=tcp to-addresses=192.168.87.2 \
to-ports=****
add action=masquerade chain=srcnat comment="masq. vlan2 & vlan3 (Iptv & Voip)" \
out-interface-list=vlan2&3
# vlan2-TV not ready
add action=dst-nat chain=dstnat comment="VOD Movistar 1 Desco" \
dst-address-type=local in-interface=vlan2-TV to-addresses=192.168.87.200
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.87.0/24,192.168.88.0/24 port=*****
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ppp secret
add name=******* profile=vpn-profile service=l2tp
add name=****** profile=vpn-profile service=l2tp
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan2-TV upstream=yes
add interface=bridge-LAN
/routing rip interface
add interface=vlan3-Voz passive=yes receive=v2
add interface=vlan2-TV passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
add network=172.26.0.0/16
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=*********
/system logging
add disabled=yes topics=dns
add topics=l2tp
/tool e-mail
set from=""
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
A ver que ves... y de paso si crees que se puede mejorar algo, tu mismo!

Un saludo
 

Adjuntos

  • 1628507085679.png
    1628507085679.png
    11.9 KB · Visitas: 23
Edita el servidor L2TP y marca todas las opciones de autenticación, a ver si va a ser eso (en lugar de solo mschap2). No se me ocurre qué más pueda ser, a menos que tengas algún bloqueo de puertos desde esas WIFI's.

Por otro lado, de tu config y sin tener que ver con el tema VPN, esto no te hace ningún bien:
Código:
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=\
yes

Saludos!
 
Edita el servidor L2TP y marca todas las opciones de autenticación, a ver si va a ser eso (en lugar de solo mschap2). No se me ocurre qué más pueda ser, a menos que tengas algún bloqueo de puertos desde esas WIFI's.

Por otro lado, de tu config y sin tener que ver con el tema VPN, esto no te hace ningún bien:
Código:
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=\
yes

Saludos!
Antes de escribir justamente probé eso del "mschap2", y no es. Hace lo mismo.

Entonces no sabemos porque a través de WiFi no puedo? Me parece increíble XD

En cuanto a lo otro, ya lo he desactivado. Pero recuerdo haberlo activado por algún motivo...

Un saludo
 
Antes de escribir justamente probé eso del "mschap2", y no es. Hace lo mismo.

Entonces no sabemos porque a través de WiFi no puedo? Me parece increíble XD

En cuanto a lo otro, ya lo he desactivado. Pero recuerdo haberlo activado por algún motivo...

Un saludo
Viendo tu configuración no se me ocurre qué pueda ser, que esté del lado del router mikrotik (si el problema está en el lado de las WiFi’s, olvídate, que ahí no te puedo ayudar).

No obstante, se me ocurre que, dado que tienes una config algo más compleja que la habitual, pruebes empezando de cero. Es decir, hacer la configuración más básica, la del quick set + vlan 6 para navegar y aplicar la vpn directamente desde el quick set, y ver cómo respira. Hecho esto, y si funciona, meteríamos poco a poco el resto de la configuración. A simple vista, no veo qué otra cosa pueda causarte este problema, puesto que si desde 4G funciona, desde cualquier otro tipo de conexión externa a la de tu casa, debería funcionar igual.

Saludos!
 
Viendo tu configuración no se me ocurre qué pueda ser, que esté del lado del router mikrotik (si el problema está en el lado de las WiFi’s, olvídate, que ahí no te puedo ayudar).

No obstante, se me ocurre que, dado que tienes una config algo más compleja que la habitual, pruebes empezando de cero. Es decir, hacer la configuración más básica, la del quick set + vlan 6 para navegar y aplicar la vpn directamente desde el quick set, y ver cómo respira. Hecho esto, y si funciona, meteríamos poco a poco el resto de la configuración. A simple vista, no veo qué otra cosa pueda causarte este problema, puesto que si desde 4G funciona, desde cualquier otro tipo de conexión externa a la de tu casa, debería funcionar igual.

Saludos!
Es que por eso me está volviendo loco, es increíble.

Si con 4G estoy conectando, significa que todo funciona correctamente, no hay más.

Pero cuando entro por WiFi falla? Es inexplicable.

La config la hice con vlan al final porque descubrí que la ONT si que va bien con 1gbps. Y para tener el HGU en modo bridge ocupando ESPACIO, prefería así. Además, que de esta manera un solo cable que va al comedor me vale para el desco y el resto de cosas. Sino, debería tirar otro cable exclusivo solo para el desco...
Seguiré haciendo pruebas, a ver si veo algo.

Un saludo
 
Mantén el setup físico, pero empieza la configuración sin todo el rollo de la triple vlan de Movistar. Y, en lugar de hacer la configuración vpn que ves en mis manuales, marca directamente la opción “VPN” del quick set. Es decir, ejecuta un reset + quick set con vpn marcado, y añade sólo la vlan 6 para el cliente PPPoE. Si con eso no te funciona tampoco desde wifi, algo raro hay en esas redes.

Saludos!
 
Mantén el setup físico, pero empieza la configuración sin todo el rollo de la triple vlan de Movistar. Y, en lugar de hacer la configuración vpn que ves en mis manuales, marca directamente la opción “VPN” del quick set. Es decir, ejecuta un reset + quick set con vpn marcado, y añade sólo la vlan 6 para el cliente PPPoE. Si con eso no te funciona tampoco desde wifi, algo raro hay en esas redes.

Saludos!
Probado con otro dispositivo y por WiFi funciona.

Solo falla desde mi móvil por WiFi...

Igualmente, un día con tiempo probaré lo que comentas, ya por descartar. Pero viendo esto último, tiene pinta de que es culpa de mi terminal (antes funcionaba perfectamente).

Un saludo
 
Probado con otro dispositivo y por WiFi funciona.

Solo falla desde mi móvil por WiFi...

Igualmente, un día con tiempo probaré lo que comentas, ya por descartar. Pero viendo esto último, tiene pinta de que es culpa de mi terminal (antes funcionaba perfectamente).

Un saludo
¿qué terminal es, y cómo te conectas? Ya por curiosidad.

Saludos!
 
Arriba