MANUAL: Mikrotik, IKEv2 VPN a fondo

Gracias @furny @pokoyo
Sería posible editar la guía/hilo de furny para adaptarlo al resto de manuales. Me refiero a las etiquetas de código.
Código:
Instrucciones para RouterOS
Para facilitar la lectura y su comprensión.
Si es posible y sin prisas.
Saludos.
eehmm! ... pues tienes toda la razón, quedaba un tanto ilegible. Disculpas, pero es que lo subí ya tarde anoche. Pensaba hacerlo hoy con tiempo, pero el compañero @pokoyo, está al quite y se ha anticipado. Muchas gracias a los dos!!
 
Hecho, a ver si te refieres a eso.

@furny, he editado directamente tu código, espero que no te importe, para meter las instrucciones de código en bloques de tipo <code>.

No obstante, si puedes y tienes tiempo @furny, aprovecha que está editado y llévatelo a un nuevo manual, que merece la pena tenerlo a mano. Algo así como EoIP sobre IKEv2 site to site. Le ponemos una chincheta y otro para la colección, así no se pierde entre los comentarios.

Saludos!
Estupendo, @pokoyo, me has ahorrado el trabajo y, por supuesto, no me importa en absoluto, al contrario!. Ha quedado mucho mejor, sin duda. Ahora lo paso a un hilo nuevo, tal cual. Gracias.
 
He comprobado la velocidad en Road Warrior y literalmente vuela con fibra 600. Estabilidad perfecta (volcado de un archivo de 40GB y 400 de 1KB, 25KB, 100KB, 250KB, 600KB y 1MB) y una media de tasa de transferencia de 598,9Mbps.

Me queda probar el site to site, a ver si consigo configurarlo tanto con eoip como sin.

Salu2!! y muchas gracias por el tuto
 

Introducción​

Hoy os vengo a traer una evolución (o directamente sustitución) del manual para montar una VPN de tipo IKEv2. Después de probar más a fondo esta VPN, me he dado cuenta de que, si bien el manual original es muy sencillo de montar y juega mucho con la configuración por defecto del router, no es la mejor de las configuraciones ni la más estable que podemos montar para este tipo de VPN. Además de esto, quiero mostraros cómo montar no sólo una VPN de tipo road-warrior, sino también como unir dos sedes usando este tipo de VPN, que sinceramente creo es la mejor que podéis montar en un equipo de esta marca, a día de hoy.
Como las presentaciones ya están hechas y sabéis de qué va el tema si habéis leído ya el otro manual, voy al grano.

Generación de certificados​

Me baso en que tenéis un dominio propio, en mi caso y para el ejemplo será pericopalotes.com, el cual apunta a la IP pública de vuestra conexión con el sub-dominio router.pericopalotes.com, de la manera que creáis conveniente. No obstante, podéis hacer lo mismo con el dominio que os regala mikrotik, el cual podéis encontrar en IP -> Cloud, si activáis esa opción. Vamos a crear dos certificados, uno para un cliente road-warrior, un supuesto teléfono móvil y el otro para un cliente de tipo oficina, que conectaremos en remoto a nuestro HQ.
Código:
# Creaccion de los certificados
# Primero la CA
/certificate
add name=vpn-ca country=ES state=Tabarnia locality=Rivendel organization="Perico Palotes LTD"\
common-name="VPN CA" subject-alt-name=DNS:pericopalotes.com key-size=2048 days-valid=3650 trusted=yes\
key-usage=digital-signature,key-encipherment,data-encipherment,key-cert-sign,crl-sign

# Luego el certificado del servidor
add name=vpn-server country=ES state=Tabarnia locality=Rivendel organization=Perico Palotes LTD" unit=VPN\
common-name="VPN Server" subject-alt-name=DNS:router.pericopalotes.com key-size=2048 days-valid=1825\
key-usage=tls-server,key-encipherment,digital-signature

# Por ultimo una template para crear certificados cliente
add name=~vpn-client-template country=ES state=Tabarnia locality=Rivendel organization=Perico Palotes LTD"\
common-name="VPN Client XXX" subject-alt-name=email:xxx@router.pericopalotes.com key-size=2048\
days-valid=730 key-usage=tls-client

#Y los certificados de tipo cliente, copia de la template
add copy-from=~vpn-client-template name=vpn-client-mobile common-name="VPN Client Mobile"\
subject-alt-name=email:mobile@router.pericopalotes.com
add copy-from=~vpn-client-template name=vpn-client-branch common-name="VPN Client Branch"\
subject-alt-name=email:branch@router.pericopalotes.com

# Los firmamos
/certificate
sign vpn-ca
{:delay 5};
sign vpn-server ca=vpn-ca
sign vpn-client-mobile ca=vpn-ca
sign vpn-client-branch ca=vpn-ca

# Exportar la CA y los certificados cliente
/certificate
export-certificate vpn-ca file-name=ca
export-certificate vpn-client-mobile type=pkcs12 export-passphrase="MySuperVPN!" file-name=mobile
export-certificate vpn-client-branch type=pkcs12 export-passphrase="MySuperVPN!" file-name=branch

A continuación, daremos de alta un pool para los clientes de tipo road-warrior. Abriremos un "hueco" en dicho pool, puesto que usaremos las primeras direcciones para las oficinas remotas en el modo site-to-site
Código:
/ip pool
add name=pool-vpn ranges=192.168.68.10-192.168.68.254

Y ahora creamos toda la configuración para IPSec, auto explicada en sus comentarios
Código:
#Creamos dos configuraciones, una para road warrior, y otra para la oficina remota
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=ike2-conf-road-warrior split-include=0.0.0.0/0 system-dns=yes
add address=192.168.68.2 address-prefix-length=32 name=ike2-conf-branch system-dns=no

# Damos de alta un nuevo groupo para asociar a él las plantillas de configuración con los policies a usar
/ip ipsec policy group
add name=ike2-template-group

# Damos de alta el perfil de authenticación
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 name=ike2-profile

# Damos de alta el peer que escuchará las conexiones remotas, de tipo IKEv2
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes profile=ike2-profile

# Damos de alta la propuesta de negociación para el intercambio de claves IKE y SAs
# Las claves tendrán una validez de 8h para evitar renegociaciones innecesarias y el pfs-group=none para
# aumentar la compatiblidad con dispositivos moviles, tipo Apple. Restringimos el proposal a tipo de encriptación AES
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm lifetime=8h \
    name=ike2-proposal pfs-group=none

# Damos de alta las identidades de los clientes que se van a conectar al router
# Por un lado el movil en modo road warrior, y por otro el router remoto en modo branch
# Cada uno apuntando a un mode-config distinto, y al nuevo grupo de plantillas que hemos creado
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=mobile generate-policy=port-strict match-by=certificate mode-config=ike2-conf-road-warrior peer=ike2-peer \
    policy-template-group=ike2-template-group remote-certificate=vpn-client-mobile
add auth-method=digital-signature certificate=vpn-server comment=router-branch generate-policy=port-strict match-by=certificate mode-config=ike2-conf-branch peer=\
    ike2-peer policy-template-group=ike2-template-group remote-certificate=vpn-client-branch

# Creamos dos plantillas con las políticas pertinentes, ambas pertenecientes al nuevo grupo
# Suponemos 192.168.88.0/24 como LAN local del router de HQ, este que estamos configurando, y 192.168.98.0/24 como LAN local del router tipo branch remoto
# La 192.168.68.0/24 es nuestro segmento VPN para los equipos en modo road-warrior
/ip ipsec policy
add comment=road-warrior dst-address=192.168.68.0/24 group=ike2-template-group proposal=ike2-proposal src-address=0.0.0.0/0 template=yes
add comment=site-to-site dst-address=192.168.98.0/24 group=ike2-template-group proposal=ike2-proposal src-address=192.168.88.0/24 template=yes

Una vez hecho esto, tenemos el router listo para admitir conexiones remotas, tanto de clientes que vengan de cualquier IP den modo road-warrior, como el cliente remoto que será nuestra oficina que conecta con este router como head-quarter. Estamos suponiendo que la oficina remota tiene una LAN distinta de la principal, en este caso la principal supones está en la 192.168.88.0/24 (la red por defecto del mikrotik) y la remota será la 192.168.98.0/24. Como veis, las plantillas de generación de políticas de ikev2 van asociadas a dichas IPs.

Configuración en modo road-warrior​

En esta parte no me voy a parar, porque ya está explicada en el manual anterior. Exportáis los certificados CA y cliente (en este caso el mobile, que yo llamé "VPN Client iPhone") y los importáis en el dispositivo móvil que vayáis a usar, confiando ciegamente en la CA. El endpoint de conexión sería "router.pericopalotes.com" y la autenticación se haría por certificados, sin ninguna otra contraseña de por medio. Una vez conectados, navegaréis y tendréis los DNS del router principal. Un ejemplo de configuración en un iPhone, una vez hecha la importación de los certificados:
Ver el adjunto 80596

Configuración en modo site-to-site​

Esta conexión hay dos maneras de hacerla. O podemos montar un túnel IKEv2, exactamente del mismo modo que se conectaría cualquier cliente road-warrior, usando su perfil, para luego levantar sobre dicho túnel otro túnel IPIP, GRE, EoIP, etc y así hacer el enrutado, o podemos usar las policies de IPSec para enrutar el tráfico. Esta segunda manera no es trivial, puesto que no vamos a tener como tal una tabla de rutas donde podamos ver el caminio que seguiran los paquetes, sino que IKEv2 los tele-transportará usando las políticas de in-ipsec y out-ipsec. Me voy a centrar en esta segunda manera porque creo que es la manera correcta de hacerlo, y además vamos a obtener mucho mejor resultado en rendimiento, puesto que no vamos a generar overhead por el encapsulado de un túnel dentro de otro túnel. Si alguien quiere más detalle del setup de túnel sobre túnel, que pregunte, que lo puedo explicar también.

Del lado del servidor lo tenemos todo listo (salvo ajustar la parte del firewall, que la veremos un pelín más tarde) para que un cliente remoto establezca la conexión, ya sea tipo road warrior (usará la primera template) o de tipo site-to-site (usará la segunda template). Podemos crear tantas templates como redes queramos transportar de un lado al otro usando IPSec.

Lo primero que haremos del lado cliente es importar los dos certificados, la CA y el certificado cliente. Una vez importados, podemos renombrarlos si queremos, y así ponerle un nombre más descriptivo. En mi caso, el certificado de tipo CA se va a llamar "ca" y el certificado cliente se llamará "vpn-client-branch". Hecho esto, damos de alta una configuración similar que en el router de la oficina principal, con la única salvedad que el peer apuntará a la URL del equipo que hace de servidor VPN (router.pericopalotes.com) y que crearemos una policy de tipo túnel, en lugar de template. En este caso el identity apuntará únicamente a nuestro certificado cliente (no hay certificado servidor como en el otro lado), y pediremos la configuración al remoto. Con esto, nos quedaría así la configuración del cliente de tipo oficina remota
Código:
# Nuevo template group, idéntico al del router HQ
/ip ipsec policy group
add name=ike2-template-group
# Perfil, idéntico al del servidor
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile

# Peer, apuntando a la dirección de nuestro dominio o IP estática del router HQ
/ip ipsec peer
add address=router.pericopalotes.com exchange-mode=ike2 name=ike2-hq-peer \
    profile=ike2-profile

# Proposal, idéntico al del router de HQ
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr,a\
    es-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
    lifetime=8h name=ike2-proposal pfs-group=none

# Identity, en este caso especificando únicamente el certificado cliente
# Y, como configuración, indicamos "request-only" para pedirsela al remoto
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-client-branch generate-policy=\
    port-strict mode-config=request-only peer=ike2-hq-peer \
    policy-template-group=ike2-template-group

# Policy, en este caso en modo túnel, no template
# Origen la LAN de nuestra oficina branch, destino la LAN del router HQ
/ip ipsec policy
add dst-address=192.168.88.0/24 level=unique peer=ike2-hq-peer proposal=\
    ike2-proposal src-address=192.168.98.0/24 tunnel=yes

Si todo ha ido bien, en el router cliente, el que hace de branch remota, tendremos una entrada tipo túnel en la pestaña de IPSec Policies, y en la columna PH2 State, veremos el mensaje "established". Dicha entrada habrá golpeado en el router remoto, en la template "site-to-site", y se habrá generado una entrada similar, creada por la plantilla de forma dinámica, con el mismo mensaje "established" en la columna PH2 State. Si navegamos en cualquiera de los dos routers a la pestaña "Installed SAs" podremos ver las claves de encriptado que se han generado en ambos extremos (autenticación sha512 y encriptado aes cbc de 256 bits) , y en la pestaña "Active Peers" podremos ver la conexión del cliente en sí. En este momento ambas LANs estarán conectadas y podremos lanzar un ping desde un cliente conectado al router de HQ hacia un cliente conectado al router de la branch y viceversa.
En el router cliente, veréis una nueva dirección 192.168.68.2 que ha aparecido de manera dinámica sobre ether1 (o la que sea vuestra interfaz WAN), lo cual podéis comprobar en IP -> Address.

Una cosa curiosa de este método es que nos permite conectividad incluso si el router de la oficina estuviera debajo de un NAT de otro router de operadora. Si además quisiéramos tener acceso desde al oficina HQ a dicho router que está por encima de nuestro mikrotik en la branch remota, bastaría con crear un nuevo túnel en el router de dicha oficina mandándole a la red remota la red de dicho equipo. Como ambos están conectados entre sí, podríamos incluso acceder a ese equipo que tenemos por encima.

Ajustando el firewall - Reglas de input y TCP MSS​

En el firewall de ambos equipos necesitamos hacer un par de ajustes. Obviamente permitir el tráfico de IPSec en el chain de input (puertos 4500 y 500), permitiremos también el tráfico del protocolo 50 para ESP. En el router de tipo branch, además, permitiremos el tráfico de entrada encriptado, desde la red lan HQ, para administrar ese router de forma remota, una vez el túnel esté levantado.
Fijaos que en ninguno de los dos lados nos hará falta una regla de masquerade como nos pasa con otro tipo de VPN's, puesto que la regla general que enmascara el tráfico que sale por la WAN ya lleva un tipo de policy "out,none" que nos evita tener que hacerlo. Del resto, se encargan las templates del apartado Policies en ambos lados de la conexión, auto-mágicamente.

Firewall -> Filter (Lado Servidor, HQ)
Código:
/ip firewall filter
add action=accept chain=input comment="allow ipsec" dst-port=500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp

Firewall -> Filter (Lado Cliente, Branch). Permitimos también la administración remota desde la LAN de HQ.
Código:
/ip firewall filter
add action=accept chain=input comment="allow ipsec" dst-port=500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="allow HQ access to router" ipsec-policy=in,ipsec src-address=192.168.88.0/24

Por último nos queda ajustar el MSS de los paquetes TCP. Y diréis, ¿qué narices es eso? Pues bien, aunque tal y como está la conexión os va a dar un buen resultado, el tema se puede mejorar aún más si ajustamos el tamaño del paquete. Al estar trabajando con IPSec y con tráfico encriptado, no toda la información del los 1500bytes del tamaño de paquete la podemos usar para transportar información útil, puesto que el propio encapsulado y el encriptado se come parte de ese tamaño. Para evitar dicha fragmentación, lo que haremos será modificar el valor del tamaño del paquete para los mensajes que se intercambien como TPC SYN, tal que si un cliente remoto quiere enviarnos información, lo primero que hará será mandarnos ese paquete de sincronización, donde ya le estaremos advirtiendo de que nuestra capacidad de mandar información útil es algo menor que los 1500bytes del MTU. Esto es algo que en otras VPN que manejan interfaces es automático, puesto que llevan un flag llamado "Clamp TCP MSS", que por defecto ya viene marcado (mirad por ejemplo los túneles de tipo L2TP o EoIP), pero al estar trabajando sin interfaces e ir directamente por IP, no tenemos esa opción. Para esto crearemos las siguientes reglas de mangle, que harán exactamente lo mismo:

Mangle, en el router HQ, Servidor (2x road warrior + 1x de entrada por cada de LAN de oficina remota)
Código:
/ip firewall mangle
add action=change-mss chain=forward comment="ike2-road-warrior clamp tcp mss" ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp src-address=192.168.68.0/24 \
    tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward dst-address=192.168.68.0/24 ipsec-policy=out,ipsec new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward comment="ike2-branch clamp tcp mss" dst-address=192.168.88.0/24 ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp \
    src-address=192.168.98.0/24 tcp-flags=syn tcp-mss=!0-1360

Mangle, en el router de la branch (una única entrada, para el tráfico de entrada al router HQ)
Código:
/ip firewall mangle
add action=change-mss chain=forward comment="ike2-hq clamp tcp mss" dst-address=192.168.98.0/24 \
    ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp src-address=192.168.88.0/24 tcp-flags=syn \
    tcp-mss=!0-1360

Y, con esto y un bizcocho, hemos terminado por hoy de afinar aún más las conexiones VPN de tipo IKEv2. Si alguien se anima a probar el túnel site-to-site, que me diga qué rendimiento le da.

Saludos, y que lo disfrutéis!
Hola
Creo que te falta abrir las comillas dobles en el certificado del servidor y en el template

# Luego el certificado del servidor
add name=vpn-server country=ES state=Tabarnia locality=Rivendel organization="Perico Palotes LTD" unit=VPN\
common-name="VPN Server" subject-alt-name=DNS:router.pericopalotes.com key-size=2048 days-valid=1825\
key-usage=tls-server,key-encipherment,digital-signature

# Por ultimo una template para crear certificados cliente
add name=~vpn-client-template country=ES state=Tabarnia locality=Rivendel organization="Perico Palotes LTD"\
common-name="VPN Client XXX" subject-alt-name=email:xxx@router.pericopalotes.com key-size=2048\
days-valid=730 key-usage=tls-client
 
Hola
Creo que te falta abrir las comillas dobles en el certificado del servidor y en el template

# Luego el certificado del servidor
add name=vpn-server country=ES state=Tabarnia locality=Rivendel organization="Perico Palotes LTD" unit=VPN\
common-name="VPN Server" subject-alt-name=DNS:router.pericopalotes.com key-size=2048 days-valid=1825\
key-usage=tls-server,key-encipherment,digital-signature

# Por ultimo una template para crear certificados cliente
add name=~vpn-client-template country=ES state=Tabarnia locality=Rivendel organization="Perico Palotes LTD"\
common-name="VPN Client XXX" subject-alt-name=email:xxx@router.pericopalotes.com key-size=2048\
days-valid=730 key-usage=tls-client
Bien visto! Corregido, gracias!

Saludos!
 
Buenas noches, he seguido los pasos para crear la vpn, solo la parte de roadwarrior, ya que el branch no lo necesitaba y me funciona casi perfecto. De primeras lo cree para que otorgara una ip dentro del rango que tengo las cosas de casa, asi puedo acceder al router desde la vpn sin problemas. Si coloco otro pool que no este en ese rango, modificando tambien el policy, accedo bien a la vpn, pero no hay manera de acceder al router. De cualquiera de las 2 maneras, me surge el mismo problema, tengo una raspberry con adguard home y me filtra la publicidad pero en la vpn no me funciona, ademas, que no puedo tampoco acceder a las ddns (puedo acceder a un dispositivo a traves de su ip pero no de su nombre, lo expecifico porque a veces confundo el nombre ) no consigo que me asigne las dns que tengo en casa y no se donde podría dárselas o especificárselas. Conecto a la vpn con un iphone por si tuviera algo que ver, aunque ya digo, la conexion me va bien, salvo el detalle de las dns y que el pool tiene que ser en el mismo rango que está todo lo demas.
Por cierto, edito porque se me olvidaba... muchisimas gracias por el curro de los tutoriales porque nos ha servido y muy mucho, yo le tenia su aquel a mikrotik, pero haceis que todo sea mucho mas sencillo.
Saludos!!
 
La vpn no debe otorgar un rango dentro de la LAN, debe tener un segmento propio. Dicho segmento “llega” a la LAN, pero no es la LAN.

Para poder acceder al router desde la vpn, necesitas una regla de firewall en el chain de input (lo tienes explicado en otros manuales de vpn).

Otorgar las dns del router en vpn es ran simple como configurar correctamente el mode-config. Si es un iPhone, asegúrate del meter el split include a 0.0.0.0/0 en pa configuración del mode-config, que otorgas luego en el identity.

Saludos!
 
Muchas gracias por la rapidez, venia justo a decir que acababa de localizar como hacer lo del filtrado de publicidad en una de tus respuestas.
Voy a por la regla que lo mismo, creo que la he encontrado tambien en un comentario tuyo.
Gracias!!!
 

Adjuntos

  • 610CB1D8-0DBB-40F0-8ECD-03CCED7A8152.png
    610CB1D8-0DBB-40F0-8ECD-03CCED7A8152.png
    860.4 KB · Visitas: 48
Gracias como siempre por tus manuales @pokoyo!
Estoy intentando seguirlo al pie de la letra para tener como cliente una RPi que está conectada por wifi a un router 3G, pero a la hora de exportar los certificados para los clientes mobile y branch, me salta el siguiente error:
failure: Templates are not exportable!

¿Será por la versión del RouterOS?
 
Gracias como siempre por tus manuales @pokoyo!
Estoy intentando seguirlo al pie de la letra para tener como cliente una RPi que está conectada por wifi a un router 3G, pero a la hora de exportar los certificados para los clientes mobile y branch, me salta el siguiente error:


¿Será por la versión del RouterOS?
Te lo dice el error: estás tratando de exportar las plantillas, no los certificados. Mira el primer manual, que te explica cómo crear y exportar los certificados.

Saludos!
 
Te lo dice el error: estás tratando de exportar las plantillas, no los certificados. Mira el primer manual, que te explica cómo crear y exportar los certificados.

Saludos!
Soy un caso :x
Estaba siguiendo los pasos por bloques en lugar de línea a línea... por lo que a la hora de firmar los certificados, solo había firmado el ca, así que al intentar exportarlos, únicamente exportaba el firmado, arrojando el error que mencionaba antes en el mobile y branch.

Vuelvo a la carga con los problemas >_<

Ahora en la parte que se dan de alta las identidades:
# Damos de alta las identidades de los clientes que se van a conectar al router
# Por un lado el movil en modo road warrior, y por otro el router remoto en modo branch
# Cada uno apuntando a un mode-config distinto, y al nuevo grupo de plantillas que hemos creado
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=mobile generate-policy=port-strict match-by=certificate mode-config=ike2-conf-road-warrior peer=ike2-peer \
policy-template-group=ike2-template-group remote-certificate=vpn-client-mobile
add auth-method=digital-signature certificate=vpn-server comment=router-branch generate-policy=port-strict match-by=certificate mode-config=ike2-conf-branch peer=\
ike2-peer policy-template-group=ike2-template-group remote-certificate=vpn-client-branch

Me salta el siguiente error:
input does not match any value of certificate

Los archivos vpn-client-mobile y vpn-client-branch sí que existen y en los pasos inmediatamente anteriores no me ha dado ningún error, así que vuelvo a estar perdido :oops:
 
Última edición:
Hola!, he estado probando esto (la parte del road-warrior) y no consigo que me funcione, ¿como puedo ver los logs para ver si consigo alguna pista?
 
Tienes un apartado logs en el router. No ves nada ahí? Sino, lo de siempre, pasa el export y lo vemos.

Saludos!
 
Yo sigo sin poder dar de alta las identidades. He hecho de nuevo el proceso tirando de backup 3 veces y me atasco en el mismo punto.

Si en el winbox miro los certificados, ahí los tengo... pero al intentar añadir la identidad me da en los morros con "input does not match any value of certificate"
 
Yo sigo sin poder dar de alta las identidades. He hecho de nuevo el proceso tirando de backup 3 veces y me atasco en el mismo punto.

Si en el winbox miro los certificados, ahí los tengo... pero al intentar añadir la identidad me da en los morros con "input does not match any value of certificate"
Porque estarás haciendo referencia al nombre que no debes. O eso, o tienes una versión vieja de RouterOS que no lleva esa opción. Pero vamos, que de cualquier forma, el set de comandos no es otra cosa que una serie de pasos que puedes replicar en winbox de manera visual paso a paso. Si te da fallo al crear el identity, haz ese paso en winbox y mira qué certificados te aparecen en los desplegables, y verás el error. Y recuerda que no es lo mismo una template que un certificado.

Saludos!
 
Porque estarás haciendo referencia al nombre que no debes. O eso, o tienes una versión vieja de RouterOS que no lleva esa opción. Pero vamos, que de cualquier forma, el set de comandos no es otra cosa que una serie de pasos que puedes replicar en winbox de manera visual paso a paso. Si te da fallo al crear el identity, haz ese paso en winbox y mira qué certificados te aparecen en los desplegables, y verás el error. Y recuerda que no es lo mismo una template que un certificado.

Saludos!
La cuestión es que lo he comprobado y no he escrito mal el nombre (tabulando en el terminal para que auto-complete) y en el apartado certificados, me aparecen y no son templates...

Luego cuelgo unas capturas por si hay algo que se me escapa o_O

Edit:
vpn_identity.png

¿Alguna idea?

Edit 2:
Al final resulta que el certificado vpn-server no estaba firmado (en la imagen anterior se puede ver), por eso fallaba.

Ahora ya lo tengo todo "correcto", a falta de probarlo... ¿algún tutorial para configurar una RPi como cliente?
 
Última edición:
Arriba