MANUAL: Mikrotik, cómo montar un servidor VPN

siguiendo los consejos de Pocoyo desisti de crear el tunel Eoip y me he creado un servidor L2tp/ipsec

No hay forma que funcione, ni por telefono movil, ni por VPN windows, todo desde fuera de mi red.

Siempre da el siguiente error, al intentar conectarme:

1631528487275.png

Alguna idea de por donde puede venir el problema.
 
siguiendo los consejos de Pocoyo desisti de crear el tunel Eoip y me he creado un servidor L2tp/ipsec

No hay forma que funcione, ni por telefono movil, ni por VPN windows, todo desde fuera de mi red.

Siempre da el siguiente error, al intentar conectarme:

Ver el adjunto 86265
Alguna idea de por donde puede venir el problema.

Pasa un pantallazo de la configuración de los clientes cuando puedas
 
Ver el adjunto 86268

A VER SI SE OS OCURRE ALGO.

Haz un par de pruebas… Yo en su día me pasó con Windows 10 y creo recordar que tenía que ver con el tema de la clave compartida y el usuario y contraseña

- prueba a poner una clave compartida din caracteres especiales: solo mayusculas, minúsculas y números…. Y que no sea muy larga

- usuario ponlo en minúsculas y con la contraseña, un poco lo que te he comentado arriba..

Es por probar, más que nada… porque a mi en su día me pasó algo similar…
 
Gracias, ahora estoy en el curro (probando desde fuera la VPN jeje ), a la tarde, pruebo esos cambios y os comento

Ok… te diré que no tiene mayor secreto la config, así que seguro q es algo que ya sabes 4,6,8,.. ojos ven más que dos……

Ya irás comentando….
 
Pues nada, he simplificado usuario y pass al minimo y no conecta desde fuera de la red.
Sin embargo desde dentro de la red si, por lo que empiezo a sospechar que alguna regla del firewall me esta bloqueando la conexion,
la adjunto a ver si veis algo

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add chain=input comment="default configuration" protocol=icmp
add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=accept chain=input dst-port=80,21 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=input dst-port=8291 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=input disabled=yes dst-port=1723 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=input comment="default configuration" in-interface=pppoe-out1
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan2 passthrough=yes
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1
add action=masquerade chain=srcnat comment="default configuration" disabled=yes out-interface=vlan2
add action=masquerade chain=srcnat comment="default configuration" out-interface=vlan3
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
add action=dst-nat chain=dstnat comment=VOD disabled=yes dst-address-type=local in-interface=vlan2 to-addresses=\
192.168.1.199-192.168.1.200
add action=dst-nat chain=dstnat disabled=yes dst-port=21 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.125
add action=dst-nat chain=dstnat comment="abrimos puertos al deco" disabled=yes dst-port=80,8001,8002 in-interface=pppoe-out1 \
protocol=tcp src-port="" to-addresses=192.168.1.213
add action=dst-nat chain=dstnat comment="Abrimos puertos a la xbox" dst-port=53,88,500,3074,3544,4500 in-interface=pppoe-out1 \
protocol=udp to-addresses=192.168.1.88
add action=dst-nat chain=dstnat dst-port=53,80,3074 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.88
add action=dst-nat chain=dstnat comment="abrimos puertos ordenador Ruben Hijo" disabled=yes dst-port=27000-27015 in-interface=\
pppoe-out1 protocol=udp to-addresses=192.168.1.218
add action=dst-nat chain=dstnat disabled=yes dst-port=27000-27015 in-interface=pppoe-out1 protocol=tcp to-addresses=\
192.168.1.218
add action=dst-nat chain=dstnat comment="direccionamos la ip publica al deco" disabled=yes dst-port=80 in-interface=pppoe-out1 \
protocol=tcp src-port="" to-addresses=192.168.1.213 to-ports=80
 
y ahora la nat

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1
add action=masquerade chain=srcnat comment="default configuration" disabled=yes out-interface=vlan2
add action=masquerade chain=srcnat comment="default configuration" out-interface=vlan3
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
add action=dst-nat chain=dstnat comment=VOD disabled=yes dst-address-type=local in-interface=vlan2 to-addresses=\
192.168.1.199-192.168.1.200
add action=dst-nat chain=dstnat disabled=yes dst-port=21 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.125
add action=dst-nat chain=dstnat comment="abrimos puertos al deco" disabled=yes dst-port=80,8001,8002 in-interface=pppoe-out1 \
protocol=tcp src-port="" to-addresses=192.168.1.213
add action=dst-nat chain=dstnat comment="Abrimos puertos a la xbox" dst-port=53,88,500,3074,3544,4500 in-interface=pppoe-out1 \
protocol=udp to-addresses=192.168.1.88
add action=dst-nat chain=dstnat dst-port=53,80,3074 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.88
add action=dst-nat chain=dstnat comment="abrimos puertos ordenador Ruben Hijo" disabled=yes dst-port=27000-27015 in-interface=\
pppoe-out1 protocol=udp to-addresses=192.168.1.218
add action=dst-nat chain=dstnat disabled=yes dst-port=27000-27015 in-interface=pppoe-out1 protocol=tcp to-addresses=\
192.168.1.218
add action=dst-nat chain=dstnat comment="direccionamos la ip publica al deco" disabled=yes dst-port=80 in-interface=pppoe-out1 \
protocol=tcp src-port="" to-addresses=192.168.1.213 to-ports=80
 
Yo partiría de la configuradción por defecto, ahí hay mucha morralla en esas reglas de filtrado. Desde la configuración por defecto, pasando por el quick set y simplemente con marcar la opción de VPN tienes montado 3 servidores de un plumazo. Desactivas PPTP por inseguro, y te quedas con SSTP y L2TP/IPSec. Coste total de implementación: 2min.

Saludos!
 
Arriba