MANUAL: Mikrotik, IKEv2 VPN a fondo

Código:
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=profile-vpn

/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
    lifetime=8h name=proposal-vpn pfs-group=none

Cual seria la conf en windows equivalente a esta conf de MK.
 
error1.jpg
Hola compañeros estoy configurando por primera vez vpn ikev2 estoy siguiendo este hilo, he llegado al punto que me funciona correctamente con android pero con windows no hay manera, el error que me salta es: las credenciales de autenticación ike son inaceptables adjunto foto y log de mikrotik me da el siguiente error identity not found for peer: ADDR4: 192.168.19.102, he forzado parámetros de autenticación en la vpn de windows pero no consigo nada ya no se, si el error me viene de parte configuración de mikrotik que no negocia bien el encriptado, entiendo que la parte de certificado la tengo bien porque me conecta bien en android por eso no adjunto nada. Adjunto export a ver si consigo conectar con windows
 

Adjuntos

  • export.txt
    4.4 KB · Visitas: 77
Ver el adjunto 88200Hola compañeros estoy configurando por primera vez vpn ikev2 estoy siguiendo este hilo, he llegado al punto que me funciona correctamente con android pero con windows no hay manera, el error que me salta es: las credenciales de autenticación ike son inaceptables adjunto foto y log de mikrotik me da el siguiente error identity not found for peer: ADDR4: 192.168.19.102, he forzado parámetros de autenticación en la vpn de windows pero no consigo nada ya no se, si el error me viene de parte configuración de mikrotik que no negocia bien el encriptado, entiendo que la parte de certificado la tengo bien porque me conecta bien en android por eso no adjunto nada. Adjunto export a ver si consigo conectar con windows
Cuando pasa eso, normalmente es porque el cliente (windows en tu caso) tiene más de un certificado cliente instalado. Revísalo. En cuanto tengas dos, se vuelve tarumba y no sabe cual usar al conectar

Saludos!
 
Cuando pasa eso, normalmente es porque el cliente (windows en tu caso) tiene más de un certificado cliente instalado. Revísalo. En cuanto tengas dos, se vuelve tarumba y no sabe cual usar al conectar

Saludos!
he probado con un equipo recién formateado y me pasa lo mismo, no se si será cosa del certificado autofirmado.
 
Vale por fin he conseguido que conecte!!, comento lo que he tenido que hacer por si alguien le pasa lo mismo, he creado la conexión vpn desde la configuración y en el tipo de conexión le he puesto automático porque si pongo ike me sale el error de que la autenticación ike es inaceptable, bueno lo dejo en automático y en el administrador de redes cuando se crea la conexión ya cambio los parámetros correctos y así si me funciona.
 
Vale por fin he conseguido que conecte!!, comento lo que he tenido que hacer por si alguien le pasa lo mismo, he creado la conexión vpn desde la configuración y en el tipo de conexión le he puesto automático porque si pongo ike me sale el error de que la autenticación ike es inaceptable, bueno lo dejo en automático y en el administrador de redes cuando se crea la conexión ya cambio los parámetros correctos y así si me funciona.
Claro, si no lo marcas automático vas con autenticación radius. De esta manera, auténticas con el propio certificado.

Saludos!
 
El multicast IPTV no va por la VPN, verdad?
Sí, se podría igualmente. La solución más sencilla es montar un EoIP sobre el IKEv2 y te llevas toda la L2 de un lado al otro. Es poco eficiente, pero para lo que sospecho que lo queires, te vale.

Saludos!
 
Vale por fin he conseguido que conecte!!, comento lo que he tenido que hacer por si alguien le pasa lo mismo, he creado la conexión vpn desde la configuración y en el tipo de conexión le he puesto automático porque si pongo ike me sale el error de que la autenticación ike es inaceptable, bueno lo dejo en automático y en el administrador de redes cuando se crea la conexión ya cambio los parámetros correctos y así si me funciona.
Sabéis si puedo hacer de alguna manera que la vpn integrada de windows coja los certificados de usuario, porque solo me funciona con los certificados instalados en el equipo, claro si me voy a otro usuario del mismo equipo también puede utilizar estos certificados.
 
Sabéis si puedo hacer de alguna manera que la vpn integrada de windows coja los certificados de usuario, porque solo me funciona con los certificados instalados en el equipo, claro si me voy a otro usuario del mismo equipo también puede utilizar estos certificados.
Supongo que dependerá de donde metas el certificado, si en el almacén general o en el de usuario. ¿no? Sino te tocaría usar autenticación por usuario vía Raius o, si no te quieres meter en ese jardín, usar L2TP/IPsec, que autentica con secreto compartido y usario+password.

Saludos!
 
acabo de ver que la VPN lleva los DNS de sistema... seria posible apuntarlo a otro DNS?
Sí. Si hablamos de IKEv2, la configuración de los DNS lo haces en el mode-config. Ejemplo:
Código:
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=ike2-conf-rw \
    split-include=0.0.0.0/0 static-dns=192.168.77.7,192.168.77.1 system-dns=\
    no

Saludos!
 
Supongo que dependerá de donde metas el certificado, si en el almacén general o en el de usuario. ¿no? Sino te tocaría usar autenticación por usuario vía Raius o, si no te quieres meter en ese jardín, usar L2TP/IPsec, que autentica con secreto compartido y usario+password.

Saludos!
Si, ya he estado haciendo pruebas y si lo meto el certificado en usuario local no coge el certificado. Buscaré a ver si puedo hacer funcionar con certificados local. Antes tenía montado un l2tp pero por seguridad y velocidades pues estoy probando pasar al ikev2 pero tengo que testearlo antes de ponerlo en marcha puesto que tengo que dar acceso a varios usuarios.
 
Y si el otro usuario es simplemente usurario y no administrador, también tiene acceso? Es raro eso que comentas. Sorry, windows no uso.

Saludos!
 
Listo... ya estoy usando el Adguard desde la VPN, ahora la cosa es... porque el ADguard no ve la IP de la VPN en las consultas DNS... en el log del adguard viene todo desde la .1 del router...
 
Listo... ya estoy usando el Adguard desde la VPN, ahora la cosa es... porque el ADguard no ve la IP de la VPN en las consultas DNS... en el log del adguard viene todo desde la .1 del router...
Se te ha escapado un masquerade que no es necesario al segmento de la vpn quizá?

saludos!
 
Buenas.

Solicito ayuda a ver si conseguimos dar con la tecla y resolver un problema que me trae de cabeza y me está volviendo más trastornado de lo que ya estoy.

Tengo un router Huawei F680 configurado en modo bridge por lo que debería actuar solo como ONT y en principio no debería tener doble NAT, ni estar actuando su firewall (aunque ya lo estoy dudando) y conectado a él un Microtik hAP ac2 actuando como router principal.
Por lo tanto ----> Router Huawei F680 (modo bridge) + Router Microtik hAP ac2

En la configuración inicial del quick set que hice en el Microtik no habilité el servidor vpn y en la sección ppp no tengo nada activado (ni el L2TP/IPSEC), ni secrets ni nada, por si tuviera algo que ver en lo que expondré a continuación.

He configurado el túnel VPN Ikev2 en un Microtik hAP ac2 y me está sucediendo una cosa muy extraña.
El caso es que la conexión de los clientes en modo road-warrior se realiza correctamente, se les asigna una dirección ip correctamente y parece que todo está correcto, pero no puedo navegar por internet a través del túnel con los clientes (la configuración branch, aunque la hice, la tengo deshabilitada pues no la necesito de momento).
Sin embargo sí que puedo acceder a los equipos de la red, ya que, desde otras ubicaciones he conectado a la VPN y he podido acceder al pi-hole, a la configuración del router Microtik (tanto por webfig como por winbox) y del Huawei, hacer ping a los distintos equipos de la red con respuesta (ningún paquete perdido), por lo que en principio debería de estar todo correctamente configurado, pero no doy con la tecla de la razón por la cual no tengo salida a internet.

Por lo que estoy viendo, tras diferentes pruebas, el problema puede venir dado porque no se les esté entregando los DNS a los clientes.
Me baso en ello pues al realizar la conexión por VPN desde un equipo remoto, con sistema operativo Windows 10, al revisar los datos de la conexión, no ha sido entregada la puerta de enlace ni los servidores DNS.
Si yo le asigno unas DNS manualmente a esa conexión VPN en el cliente Windows puedo navegar sin problema, además con el añadido de una navegación sin publicidad, lo que significa que está actuando el pi-hole (lo cual no sé si tiene sentido pues he asignado unas DNS manualmente y en teoría debería saltarse el servidor del router).

En los clientes móviles no tengo opción de configurar manualmente los servidores DNS, por lo que sólo tengo acceso a la red local, cuando lo que realmente interesa es poder navegar de manera segura cuando estás conectado a una wifi pública.

En la configuración del ipsec mode-config he revisado que está en system-dns=yes en el road-warrior.

No sé si el problema pueda venir de alguna regla del firewall mal configurada, que falte o esté en el lugar inadecuado.

He llegado al punto que me he bloqueado y ya no sé por dónde tirar, incluso he llagado a abrir los puertos en el Huawei por si las moscas, poniendo un DMZ hacia el router Microtik (tanto a ether1 como al bridge) obteniendo idénticos resultados.

Cabe mencionar, también, que antes de montar la VPN Ikev2 en el Microtik monté una VPN Wireguard en la Raspberry pi en la que me ocurre exactamente lo mismo, conecto al servidor pero no puedo navegar, con la salvedad de que no he podido probar lo de asignar servidores DNS a mano pues tan sólo he conectado con un móvil y tampoco he probado si tengo acceso a la red interna a través de esa conexión.

Creo que no se me ha olvidado comentar nada, pero tengo ya tan desorganizado el cerebro que dudo hasta de tener uno.

Subo un export de la configuración del Router Microtik.

Muchas gracias.

Un saludo.
 

Adjuntos

  • hap-ac2.txt
    12.7 KB · Visitas: 80
Arriba