MANUAL: Mikrotik, cómo montar un servidor VPN

Por qué tienes estas reglas duplicadas?
Código: 
add action=accept chain=input comment="Acepta established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="Rechaza invalidas en input" connection-state=invalid
add action=accept chain=input comment="Acepta ping ICMP" protocol=icmp

Te digo como dejaría yo tu firewall (limpiando dublicados y eliminando la última regla, puesto que la lista "bloqeuar" no existe)

Código: 
/ip firewall filter
add action=accept chain=input comment="Acepta established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="Rechaza invalidas en input" connection-state=invalid
add action=accept chain=input comment="Acepta ping ICMP" protocol=icmp
add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 ipsec-policy=in,ipsec protocol=udp
add action=drop chain=input comment="Rechaza todo lo que no venga de la lista LAN" in-interface-list=!LAN
add action=accept chain=forward comment="Acepta trafico ipsec entrante" ipsec-policy=in,ipsec
add action=accept chain=forward comment="Acepta trafico ipsec saliente" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=\
    "Fasttrack para conexiones ya establecidas o relacionadas" connection-state=established,related
add action=accept chain=forward comment="Acepta el resto de trafico no capturado por fasttrack" \
    connection-state=established,related,untracked
add action=drop chain=forward comment="Rechaza invalidas en forward" connection-state=invalid
add action=drop chain=forward comment="Rechaza todo trafico desde la WAN salvo el nateado" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=\
    "bloquea toda comunicacion en forward, a cualquier cosa que no sea internet" out-interface-list=!WAN \
    src-address-list=aislados
add action=drop chain=forward comment="permite solamente conexiones de la centralita con servidor Carlus" \
    dst-address=!159.8.126.226 src-address=192.168.212.200
 
pokoyo dijo:
Por qué tienes estas reglas duplicadas?
Código: 
add action=accept chain=input comment="Acepta established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="Rechaza invalidas en input" connection-state=invalid
add action=accept chain=input comment="Acepta ping ICMP" protocol=icmp

Te digo como dejaría yo tu firewall (limpiando dublicados y eliminando la última regla, puesto que la lista "bloqeuar" no existe)

Código: 
/ip firewall filter
add action=accept chain=input comment="Acepta established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="Rechaza invalidas en input" connection-state=invalid
add action=accept chain=input comment="Acepta ping ICMP" protocol=icmp
add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 ipsec-policy=in,ipsec protocol=udp
add action=drop chain=input comment="Rechaza todo lo que no venga de la lista LAN" in-interface-list=!LAN
add action=accept chain=forward comment="Acepta trafico ipsec entrante" ipsec-policy=in,ipsec
add action=accept chain=forward comment="Acepta trafico ipsec saliente" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=\
    "Fasttrack para conexiones ya establecidas o relacionadas" connection-state=established,related
add action=accept chain=forward comment="Acepta el resto de trafico no capturado por fasttrack" \
    connection-state=established,related,untracked
add action=drop chain=forward comment="Rechaza invalidas en forward" connection-state=invalid
add action=drop chain=forward comment="Rechaza todo trafico desde la WAN salvo el nateado" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=\
    "bloquea toda comunicacion en forward, a cualquier cosa que no sea internet" out-interface-list=!WAN \
    src-address-list=aislados
add action=drop chain=forward comment="permite solamente conexiones de la centralita con servidor Carlus" \
    dst-address=!159.8.126.226 src-address=192.168.212.200
Haz clic para expandir...
Muchas gracias!
Las tenía duplicadas por error, ya lo he limpado
En cuanto a la última regla, la tengo desactivada, a la espera de hacer esa lista de bloqueados con alguna IP desconocida mientras averiguo qué es.

He vuelto a probar y sigo sin poder acceder a 192.168.88.1 desde la VPN...

Muchas gracias!!

EDITO: Trasteando he visto que puedo acceder desde fuera apuntando a la 192.168.4.1, así que esa parte solucionada!!
Ahora seguiré trasteando para intentar acceder al MK desde la VLAN 216
Saludos
 
Última edición:
Te da una IP del rango 192.168.100.x cuando conectas a la VPN? Puedes aceptar explícitamente el tráfico ipsec para esa subred en input, en lugar de meter la interfaz en la lista LAN en el perfil de la VPN. Sería algo así:
Código: 
/ip firewall filter
add action=accept chain=input comment="vpn: allow ipsec road warriors" \
ipsec-policy=in,ipsec src-address=192.168.100.0/24 \ 
place-before=[find where comment="Rechaza todo lo que no venga de la lista LAN"]

Con eso ya no necesitas meter el interface-list=LAN en el perfil ppp.

Saludos!
 
pokoyo dijo:
Te da una IP del rango 192.168.100.x cuando conectas a la VPN? Puedes aceptar explícitamente el tráfico ipsec para esa subred en input, en lugar de meter la interfaz en la lista LAN en el perfil de la VPN. Sería algo así:
Código: 
/ip firewall filter
add action=accept chain=input comment="vpn: allow ipsec road warriors" \
ipsec-policy=in,ipsec src-address=192.168.100.0/24 \
place-before=[find where comment="Rechaza todo lo que no venga de la lista LAN"]

Con eso ya no necesitas meter el interface-list=LAN en el perfil ppp.

Saludos!
Haz clic para expandir...

Hemos contestado a la vez.. jejeje
 
Buenas,

Hace unos meses configuré una VPN L2TP/IPSEC siguiendo este magnífico tutorial. La conexión funciona correctamente, pero veo que el máximo de velocidad suele estar en 40-60 Mbps en un hEX S (que según especificaciones, debería llegar a 470 Mbps). ¿Hay que modificar algo para activar la aceleración por hardware?

Gracias!
 
Buenos días.
Tengo una duda. Seguramente sea una chorrada pero me ha dejado el culo torcido.
Tengo una VPN configurada que uso cuando estoy fuera de casa por si me conecto al WiFi de algún hotel y hoy al irme a conectar con un teléfono Samsun nuevo que tengo me sale un aviso que pone: "VPN no segura" y si pincho dentro me pone: "actualice a una ikev2".
El caso es que esto mismo en otro xiaomi no nos sale. Me pone conectado y seguro.
Entiendo que sea algún aviso del sistema por las circunstancias que sea y entiendo que el protocolo ikev2 sea más seguro pero el que tengo l2pt/ipsec PSK no será ahora inseguro o se habrá quedado obsoleto?
Gracias.
 
xmigoll dijo:
Buenos días.
Tengo una duda. Seguramente sea una chorrada pero me ha dejado el culo torcido.
Tengo una VPN configurada que uso cuando estoy fuera de casa por si me conecto al WiFi de algún hotel y hoy al irme a conectar con un teléfono Samsun nuevo que tengo me sale un aviso que pone: "VPN no segura" y si pincho dentro me pone: "actualice a una ikev2".
El caso es que esto mismo en otro xiaomi no nos sale. Me pone conectado y seguro.
Entiendo que sea algún aviso del sistema por las circunstancias que sea y entiendo que el protocolo ikev2 sea más seguro pero el que tengo l2pt/ipsec PSK no será ahora inseguro o se habrá quedado obsoleto?
Gracias.
Haz clic para expandir...

Donde tienes configurado el servidor vpn?
 
xmigoll dijo:
En un router mikrotik.. no sé si es esto lo que me preguntas.
Haz clic para expandir...

Si… te pregunto más que nada porque te aconsejaría le dieras unas vueltas al Wireguard como VPN…. Tienes manuales muy bien explicados, y créeme, una vez que pruebes, no vas a querer otra cosa…. Desde la v7 de RouterOS, viene incluida de serie esta VPN…

Te lo dice alguien que ha usado ikev2, openvpn, l2tp,… y desde que descubrí Wireguard, es mi vpn de cabecera…..
 
xmigoll dijo:
Buenos días.
Tengo una duda. Seguramente sea una chorrada pero me ha dejado el culo torcido.
Tengo una VPN configurada que uso cuando estoy fuera de casa por si me conecto al WiFi de algún hotel y hoy al irme a conectar con un teléfono Samsun nuevo que tengo me sale un aviso que pone: "VPN no segura" y si pincho dentro me pone: "actualice a una ikev2".
El caso es que esto mismo en otro xiaomi no nos sale. Me pone conectado y seguro.
Entiendo que sea algún aviso del sistema por las circunstancias que sea y entiendo que el protocolo ikev2 sea más seguro pero el que tengo l2pt/ipsec PSK no será ahora inseguro o se habrá quedado obsoleto?
Gracias.
Haz clic para expandir...

Mientras no uses pptp, el resto de vpn son practicamente igual de seguridad, siendo la más segura ikev2 y wireguard (y con el tema de que ikev2 es bastante lio a nivel de configuración)
 
huzoaaz dijo:
Si… te pregunto más que nada porque te aconsejaría le dieras unas vueltas al Wireguard como VPN…. Tienes manuales muy bien explicados, y créeme, una vez que pruebes, no vas a querer otra cosa…. Desde la v7 de RouterOS, viene incluida de serie esta VPN…

Te lo dice alguien que ha usado ikev2, openvpn, l2tp,… y desde que descubrí Wireguard, es mi vpn de cabecera…..
Haz clic para expandir...
He estado leyendo esta mañana y sí, lo voy a hacer como dices. Gracias.
Pero como esta semana estoy fuera y me conecto al hotel, cuando tengo que subir datos, no quería quedarme con la cara de gilipollas de que me he estado conectando de forma insegura. El ordenador y el pocom3 que tengo me dicen que es segura pero el samsung no.
Que yo creo sea algo de que samsung use ese protocolo como forma "más segura",
Pero preguntaba por si acaso. Que ya tengo cara de gilipollas y no deseo tener más. xD

Y gracias maño, que no he dicho nada.
 
xmigoll dijo:
He estado leyendo esta mañana y sí, lo voy a hacer como dices. Gracias.
Pero como esta semana estoy fuera y me conecto al hotel, cuando tengo que subir datos, no quería quedarme con la cara de gilipollas de que me he estado conectando de forma insegura. El ordenador y el pocom3 que tengo me dicen que es segura pero el samsung no.
Que yo creo sea algo de que samsung use ese protocolo como forma "más segura",
Pero preguntaba por si acaso. Que ya tengo cara de gilipollas y no deseo tener más. xD
Haz clic para expandir...

Puede ser alguna actualización del samsung, alguna capa que tenga o vete tu a saber…. Ya te digo que mientras no uses pptp, no deberías de tener problemas….

Por ponerte un ejemplo, yo antes usaba ikev2 y Windows 10 no admitia de primeras la configuración por considerarla “insegura”, y el iphone se la comía perfectamente… Al final, en el Windows había que “trampear” para que cogiera bien la configuración…
 
xmigoll dijo:
He estado leyendo esta mañana y sí, lo voy a hacer como dices. Gracias.
Pero como esta semana estoy fuera y me conecto al hotel, cuando tengo que subir datos, no quería quedarme con la cara de gilipollas de que me he estado conectando de forma insegura. El ordenador y el pocom3 que tengo me dicen que es segura pero el samsung no.
Que yo creo sea algo de que samsung use ese protocolo como forma "más segura",
Pero preguntaba por si acaso. Que ya tengo cara de gilipollas y no deseo tener más. xD

Y gracias maño, que no he dicho nada.
Haz clic para expandir...

Creeme…. Te va a parecer magia el Wireguard… tanto por la facilidad de configuración del servidor como lo fácil que se configura en los clientes…. Y lo más importante: seguro y la vpn más rápida que he probado nunca, la verdad…

Y luego ya, el hecho de que lo hayan implementado de serie en el Mikrotik, ya es la leche….
 
Prueba a editar servidor L2TP, y deja únicamente “mschap2” como tipo de autenticación, y el campo de ipsec como “required”. Si vas a IPSec -> Identities, verás la que crea dinámicamente la clave psk que se usará para la encriptación, y te canta si es muy corta o fácil de adivinar (poco segura). Si te canta que es insegura, métela más larga y alterna letras, números, símbolos, mayúsculas/minúsculas, etc

Si después de todo eso te sigue cantando el móvil el tema, me da que será un mensaje por defecto para L2TP, sugiriéndote migrar a IKEv2. Pero vamos, que puestos a migrar, lo que te dice el compi, directo a WireGuard si ya estás en la v7.

Saludos!
 
Muy buenas,

Al hilo de este tema, quisiera consultaros que estoy preparando una conexión VPN ya que un familiar se va a trabajar a EE.UU. y para que siga viendo las cuentas de Netflix, Prime, etc.

Estoy probando de las explicadas en este hilo por ser las más sencillas (la quiero montar sin certificados para no andar tocándole el portátil con el Teamviewer).

SSTP descartado porque en Windows 10 no funciona (sólo de MT Servidor a MT cliente), necesita certificado, consultado en los foros oficiales.

L2TP/IPSec con clave pre-compartida la vi buena candidata pero a la hora de probar tuve problemas del tipo "phase1".

1651752379052.png


Posiblemente porque ya tengo en el router una VPN del tipo IPSec-IKEv2 RW para el acceso de administración de router y parece que no se lleva bien con L2TP-IPSec.

PPTP aunque ya se que es inseguro (el propio routerOS avisa en rojo cuando se establece el enlace, que detalle jeje) ha sido la más rápida de configurar y de conectar. Le he añadido la regla que recomendó @pokoyo en otras ocasiones para obligar a que sólo conecte a Internet y nada de acceso LAN:

Código: 
# Bloqueamos el acceso de los clientes VPN a nuestra LAN,
# para sólo permitir la salida a interenet
/ip firewall filter add action=drop chain=forward comment=\
   "la vpn PPTP no accede a LAN" src-address=192.168.69.0/24 \
   out-interface-list=!WAN

WireGuard por ahora lo descarto ya que tengo encima los EoIP para IPTV y para cerrar un anillo OSPF. Además tengo montado también un RW para administración del MT.

¿Cómo lo veis, algún consejo?

Gracias de antemano.
S@lu2.
 
diamuxin dijo:
Muy buenas,

Al hilo de este tema, quisiera consultaros que estoy preparando una conexión VPN ya que un familiar se va a trabajar a EE.UU. y para que siga viendo las cuentas de Netflix, Prime, etc.

Estoy probando de las explicadas en este hilo por ser las más sencillas (la quiero montar sin certificados para no andar tocándole el portátil con el Teamviewer).

SSTP descartado porque en Windows 10 no funciona (sólo de MT Servidor a MT cliente), necesita certificado, consultado en los foros oficiales.

L2TP/IPSec con clave pre-compartida la vi buena candidata pero a la hora de probar tuve problemas del tipo "phase1".

Ver el adjunto 94839

Posiblemente porque ya tengo en el router una VPN del tipo IPSec-IKEv2 RW para el acceso de administración de router y parece que no se lleva bien con L2TP-IPSec.

PPTP aunque ya se que es inseguro (el propio routerOS avisa en rojo cuando se establece el enlace, que detalle jeje) ha sido la más rápida de configurar y de conectar. Le he añadido la regla que recomendó @pokoyo en otras ocasiones para obligar a que sólo conecte a Internet y nada de acceso LAN:

Código: 
# Bloqueamos el acceso de los clientes VPN a nuestra LAN,
# para sólo permitir la salida a interenet
/ip firewall filter add action=drop chain=forward comment=\
   "la vpn PPTP no accede a LAN" src-address=192.168.69.0/24 \
   out-interface-list=!WAN

WireGuard por ahora lo descarto ya que tengo encima los EoIP para IPTV y para cerrar un anillo OSPF. Además tengo montado también un RW para administración del MT.

¿Cómo lo veis, algún consejo?

Gracias de antemano.
S@lu2.
Haz clic para expandir...
Y qué problema tienes en usar ese mismo site to site wireguard, que ya está montado? (Sobre el que va el EoIP y el ospf)

Es decir, si ya hay una unión física, para qué otra! La de RW también te la podrías ahorrar en el router que está en EEUU, aunque te viene bien para conectarte allí cuando tu familiar necesite soporte y tú no estés en casa (aunque, igualmente, se puede enrutar el tráfico), o como simple failover.

Pero yo desde luego no montaba otra. El tráfico de la IP o segmento que se elija para que salga por españa se enruta, y andando.

Saludos!
 
pokoyo dijo:
Y qué problema tienes en usar ese mismo site to site wireguard, que ya está montado? (Sobre el que va el EoIP y el ospf)

Es decir, si ya hay una unión física, para qué otra! La de RW también te la podrías ahorrar en el router que está en EEUU, aunque te viene bien para conectarte allí cuando tu familiar necesite soporte y tú no estés en casa (aunque, igualmente, se puede enrutar el tráfico), o como simple failover.

Pero yo desde luego no montaba otra. El tráfico de la IP o segmento que se elija para que salga por españa se enruta, y andando.

Saludos!
Haz clic para expandir...
No, no, quizas no me he explicado bien. El se conectaria con su portátil con Windows 10 desde allí (road warrior) a mi router para obtener IP española.

S@lu2.
 
Vale, que pensaba que le ibas a dar un router con un site to site ya montado. En ese caso, sí, que se conecte a tu interfaz RW y andando, ¿no? ¿por qué lo descartabas?

Saludos!
 
pokoyo dijo:
¿por qué lo descartabas?
Haz clic para expandir...
Porque la interfaz WireGuard RW que tengo es la que me da acceso a mi toda mi LAN y no quiero compartir ese segmento de red.

Pensándolo mejor, tendría que crear otra RW con un segmento de red diferente para poder filtrarla y que solo le sirva para conseguir la IP española, no? O bien pasarle los datos de la que he creado PPTP.

S@lu2.
 
diamuxin dijo:
Porque la interfaz WireGuard RW que tengo es la que me da acceso a mi toda mi LAN y no quiero compartir ese segmento de red.

Pensándolo mejor, tendría que crear otra RW con un segmento de red diferente para poder filtrarla y que solo le sirva para conseguir la IP española, no? O bien pasarle los datos de la que he creado PPTP.

S@lu2.
Haz clic para expandir...
Filtra ese peer y andando. Drop en input, y en forward, salvo WAN.

Saludos!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

leptismame
configurar Digi 10 g - RB4011
Respuestas
6
Visitas
494
leptismame
J
L2tp/ipsec no ve servidor truenas y pc de la red
2 3
Respuestas
44
Visitas
2,143
jose maria fernandez
G
Home Assistant, DuckDNS y Mikrotik ¿un problema?
Respuestas
9
Visitas
1,050
generalpirata
D
Dudas hAP ax3
2
Respuestas
22
Visitas
1,656
Donette
DavidGrandes
Restringir puerto
Respuestas
6
Visitas
574
DavidGrandes
Arriba