MANUAL: Mikrotik, IKEv2 VPN a fondo
- Iniciador del tema pokoyo
- Fecha de inicio
vdias
Usuari@ ADSLzone
- Mensajes
- 290
Código:
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
hash-algorithm=sha256 name=profile-vpn
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
lifetime=8h name=proposal-vpn pfs-group=noneCual seria la conf en windows equivalente a esta conf de MK.
elalvaro19
Usuari@ ADSLzone
- Mensajes
- 9
- Mensajes
- 14,216
Cuando pasa eso, normalmente es porque el cliente (windows en tu caso) tiene más de un certificado cliente instalado. Revísalo. En cuanto tengas dos, se vuelve tarumba y no sabe cual usar al conectar
Saludos!
elalvaro19
Usuari@ ADSLzone
- Mensajes
- 9
he probado con un equipo recién formateado y me pasa lo mismo, no se si será cosa del certificado autofirmado.
- Mensajes
- 14,216
Si te llevas la CA y la instalas en su sitio, no deberías tener problemas.
Saludos!
elalvaro19
Usuari@ ADSLzone
- Mensajes
- 9
Vale por fin he conseguido que conecte!!, comento lo que he tenido que hacer por si alguien le pasa lo mismo, he creado la conexión vpn desde la configuración y en el tipo de conexión le he puesto automático porque si pongo ike me sale el error de que la autenticación ike es inaceptable, bueno lo dejo en automático y en el administrador de redes cuando se crea la conexión ya cambio los parámetros correctos y así si me funciona.
- Mensajes
- 14,216
Claro, si no lo marcas automático vas con autenticación radius. De esta manera, auténticas con el propio certificado.
Saludos!
- Mensajes
- 14,216
Sí, se podría igualmente. La solución más sencilla es montar un EoIP sobre el IKEv2 y te llevas toda la L2 de un lado al otro. Es poco eficiente, pero para lo que sospecho que lo queires, te vale.
Saludos!
elalvaro19
Usuari@ ADSLzone
- Mensajes
- 9
Sabéis si puedo hacer de alguna manera que la vpn integrada de windows coja los certificados de usuario, porque solo me funciona con los certificados instalados en el equipo, claro si me voy a otro usuario del mismo equipo también puede utilizar estos certificados.
- Mensajes
- 14,216
Supongo que dependerá de donde metas el certificado, si en el almacén general o en el de usuario. ¿no? Sino te tocaría usar autenticación por usuario vía Raius o, si no te quieres meter en ese jardín, usar L2TP/IPsec, que autentica con secreto compartido y usario+password.
Saludos!
- Mensajes
- 14,216
Sí. Si hablamos de IKEv2, la configuración de los DNS lo haces en el mode-config. Ejemplo:
Código:
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=ike2-conf-rw \
split-include=0.0.0.0/0 static-dns=192.168.77.7,192.168.77.1 system-dns=\
noSaludos!
elalvaro19
Usuari@ ADSLzone
- Mensajes
- 9
Si, ya he estado haciendo pruebas y si lo meto el certificado en usuario local no coge el certificado. Buscaré a ver si puedo hacer funcionar con certificados local. Antes tenía montado un l2tp pero por seguridad y velocidades pues estoy probando pasar al ikev2 pero tengo que testearlo antes de ponerlo en marcha puesto que tengo que dar acceso a varios usuarios.
- Mensajes
- 14,216
Se te ha escapado un masquerade que no es necesario al segmento de la vpn quizá?
saludos!
elalvaro19
Usuari@ ADSLzone
- Mensajes
- 9
Si también tiene acceso, probado. Sino tendré que ver como montar ikev2 eap-mschapv2
horse_spirit2
Usuari@ ADSLzone
- Mensajes
- 7
Buenas.
Solicito ayuda a ver si conseguimos dar con la tecla y resolver un problema que me trae de cabeza y me está volviendo más trastornado de lo que ya estoy.
Tengo un router Huawei F680 configurado en modo bridge por lo que debería actuar solo como ONT y en principio no debería tener doble NAT, ni estar actuando su firewall (aunque ya lo estoy dudando) y conectado a él un Microtik hAP ac2 actuando como router principal.
Por lo tanto ----> Router Huawei F680 (modo bridge) + Router Microtik hAP ac2
En la configuración inicial del quick set que hice en el Microtik no habilité el servidor vpn y en la sección ppp no tengo nada activado (ni el L2TP/IPSEC), ni secrets ni nada, por si tuviera algo que ver en lo que expondré a continuación.
He configurado el túnel VPN Ikev2 en un Microtik hAP ac2 y me está sucediendo una cosa muy extraña.
El caso es que la conexión de los clientes en modo road-warrior se realiza correctamente, se les asigna una dirección ip correctamente y parece que todo está correcto, pero no puedo navegar por internet a través del túnel con los clientes (la configuración branch, aunque la hice, la tengo deshabilitada pues no la necesito de momento).
Sin embargo sí que puedo acceder a los equipos de la red, ya que, desde otras ubicaciones he conectado a la VPN y he podido acceder al pi-hole, a la configuración del router Microtik (tanto por webfig como por winbox) y del Huawei, hacer ping a los distintos equipos de la red con respuesta (ningún paquete perdido), por lo que en principio debería de estar todo correctamente configurado, pero no doy con la tecla de la razón por la cual no tengo salida a internet.
Por lo que estoy viendo, tras diferentes pruebas, el problema puede venir dado porque no se les esté entregando los DNS a los clientes.
Me baso en ello pues al realizar la conexión por VPN desde un equipo remoto, con sistema operativo Windows 10, al revisar los datos de la conexión, no ha sido entregada la puerta de enlace ni los servidores DNS.
Si yo le asigno unas DNS manualmente a esa conexión VPN en el cliente Windows puedo navegar sin problema, además con el añadido de una navegación sin publicidad, lo que significa que está actuando el pi-hole (lo cual no sé si tiene sentido pues he asignado unas DNS manualmente y en teoría debería saltarse el servidor del router).
En los clientes móviles no tengo opción de configurar manualmente los servidores DNS, por lo que sólo tengo acceso a la red local, cuando lo que realmente interesa es poder navegar de manera segura cuando estás conectado a una wifi pública.
En la configuración del ipsec mode-config he revisado que está en system-dns=yes en el road-warrior.
No sé si el problema pueda venir de alguna regla del firewall mal configurada, que falte o esté en el lugar inadecuado.
He llegado al punto que me he bloqueado y ya no sé por dónde tirar, incluso he llagado a abrir los puertos en el Huawei por si las moscas, poniendo un DMZ hacia el router Microtik (tanto a ether1 como al bridge) obteniendo idénticos resultados.
Cabe mencionar, también, que antes de montar la VPN Ikev2 en el Microtik monté una VPN Wireguard en la Raspberry pi en la que me ocurre exactamente lo mismo, conecto al servidor pero no puedo navegar, con la salvedad de que no he podido probar lo de asignar servidores DNS a mano pues tan sólo he conectado con un móvil y tampoco he probado si tengo acceso a la red interna a través de esa conexión.
Creo que no se me ha olvidado comentar nada, pero tengo ya tan desorganizado el cerebro que dudo hasta de tener uno.
Subo un export de la configuración del Router Microtik.
Muchas gracias.
Un saludo.
Solicito ayuda a ver si conseguimos dar con la tecla y resolver un problema que me trae de cabeza y me está volviendo más trastornado de lo que ya estoy.
Tengo un router Huawei F680 configurado en modo bridge por lo que debería actuar solo como ONT y en principio no debería tener doble NAT, ni estar actuando su firewall (aunque ya lo estoy dudando) y conectado a él un Microtik hAP ac2 actuando como router principal.
Por lo tanto ----> Router Huawei F680 (modo bridge) + Router Microtik hAP ac2
En la configuración inicial del quick set que hice en el Microtik no habilité el servidor vpn y en la sección ppp no tengo nada activado (ni el L2TP/IPSEC), ni secrets ni nada, por si tuviera algo que ver en lo que expondré a continuación.
He configurado el túnel VPN Ikev2 en un Microtik hAP ac2 y me está sucediendo una cosa muy extraña.
El caso es que la conexión de los clientes en modo road-warrior se realiza correctamente, se les asigna una dirección ip correctamente y parece que todo está correcto, pero no puedo navegar por internet a través del túnel con los clientes (la configuración branch, aunque la hice, la tengo deshabilitada pues no la necesito de momento).
Sin embargo sí que puedo acceder a los equipos de la red, ya que, desde otras ubicaciones he conectado a la VPN y he podido acceder al pi-hole, a la configuración del router Microtik (tanto por webfig como por winbox) y del Huawei, hacer ping a los distintos equipos de la red con respuesta (ningún paquete perdido), por lo que en principio debería de estar todo correctamente configurado, pero no doy con la tecla de la razón por la cual no tengo salida a internet.
Por lo que estoy viendo, tras diferentes pruebas, el problema puede venir dado porque no se les esté entregando los DNS a los clientes.
Me baso en ello pues al realizar la conexión por VPN desde un equipo remoto, con sistema operativo Windows 10, al revisar los datos de la conexión, no ha sido entregada la puerta de enlace ni los servidores DNS.
Si yo le asigno unas DNS manualmente a esa conexión VPN en el cliente Windows puedo navegar sin problema, además con el añadido de una navegación sin publicidad, lo que significa que está actuando el pi-hole (lo cual no sé si tiene sentido pues he asignado unas DNS manualmente y en teoría debería saltarse el servidor del router).
En los clientes móviles no tengo opción de configurar manualmente los servidores DNS, por lo que sólo tengo acceso a la red local, cuando lo que realmente interesa es poder navegar de manera segura cuando estás conectado a una wifi pública.
En la configuración del ipsec mode-config he revisado que está en system-dns=yes en el road-warrior.
No sé si el problema pueda venir de alguna regla del firewall mal configurada, que falte o esté en el lugar inadecuado.
He llegado al punto que me he bloqueado y ya no sé por dónde tirar, incluso he llagado a abrir los puertos en el Huawei por si las moscas, poniendo un DMZ hacia el router Microtik (tanto a ether1 como al bridge) obteniendo idénticos resultados.
Cabe mencionar, también, que antes de montar la VPN Ikev2 en el Microtik monté una VPN Wireguard en la Raspberry pi en la que me ocurre exactamente lo mismo, conecto al servidor pero no puedo navegar, con la salvedad de que no he podido probar lo de asignar servidores DNS a mano pues tan sólo he conectado con un móvil y tampoco he probado si tengo acceso a la red interna a través de esa conexión.
Creo que no se me ha olvidado comentar nada, pero tengo ya tan desorganizado el cerebro que dudo hasta de tener uno.
Subo un export de la configuración del Router Microtik.
Muchas gracias.
Un saludo.
