MANUAL: Mikrotik, IKEv2 VPN a fondo

Hola Pokoyo, ya se que luego que salió el Wireguard te has olvidado un poco de las demás VPN, normal, yo antes que la 7 fuera estable ya tenia instalada la Wireguard indiscutiblemente es mucho mas sencillo, pero ayer me dije deja ver si puedo hacer otra VPN y me puse con esta con mi movil Android.
La VPN se conecta perfectamente, pero tuve algunos detalles que tuve que hacer y no se si será normal para poder navegar, cosas que no tenia que hacer con Wireguard, bueno al detalle.
Resulta que tenía en el nat unas reglas para abrir los puertos hasta una PS5
Código:
/ip firewall nat
add action=dst-nat chain=dstnat comment="PS5 TCP" dst-port=80,443,3478-3480 in-interface-list=WAN log-prefix=PS5TCP protocol=tcp to-addresses=\
    192.168.83.96
add action=dst-nat chain=dstnat comment="PS5 UDP" dst-port=3478,3479,49152-65535 in-interface-list=WAN log-prefix=PS5UDP protocol=udp to-addresses=\
    192.168.83.96

Cuando revisaba los logs vi que esta regla se estaba activando cuando intentaba navegar por la VPN IKE
fin forward: in:vlan832 out:bridge, src-mac 20:e0:9c:53:f9:55, proto TCP (SYN), 192.168.20.13:51734->192.168.83.96:443, NAT 192.168.20.13:51734->(35.156.175.20:443->192.168.53.96:443), len 60

192.168.20.13
es la ip que me da el pool de la VPN al movil.

al final lo resolví modificando estas reglas

Código:
/ip firewall nat
add action=dst-nat chain=dstnat comment="PS5 TCP" dst-port=80,443,3478-3480 in-interface-list=WAN log-prefix=PS5TCP protocol=tcp src-address=\
    !192.168.20.0/24 to-addresses=192.168.83.96
add action=dst-nat chain=dstnat comment="PS5 UDP" dst-port=3478,3479,49152-65535 in-interface-list=WAN log-prefix=PS5UDP protocol=udp src-address=\
    !192.168.20.0/24 to-addresses=192.168.83.96

También me topé que con el Winbox no podía entrar desde esta VPN, sin embargo desde Wireguard SI, a pesar que tengo agregado también su rango de red 192.168.20.0/24 como acceso al Winbox

Para ello tuve que agregar otra regla en el Firewall que con Wireguard no tuve que hacer pues al ser una interface mas con agregarla a la lista LAN no tenia que tocar nada en el firewall

Código:
/ip firewall filter
add action=accept chain=input comment="Winbox " dst-address=192.168.83.1 dst-port=39437 protocol=tcp src-address=192.168.20.0/24

Será normal eso o tendré algo mal en mi configuración?
 
Tienes mal la config. Y ese mapeo de puertos 80 y 443 son totalmente innecesarios.

Deshabilita esas reglas y activa el UPnP y verás los puertos que se usan realmente.

Y ojo con los puertos 80 y 443, que como los secuestres te quedarás sin navegación web.

Saludos!
 
Vale, vamos a pensar que está mal, pero se conecta y funciona con los parches antes mencionados, aqui te paso la configuración a ver que le ves

Código:
/ip ipsec mode-config
add address=192.168.20.19 address-prefix-length=32 name=ike2-Movil static-dns=192.168.83.2 system-dns=no
/ip ipsec policy group
add name=ike2_group
/ip ipsec profile
add enc-algorithm=aes-256,3des hash-algorithm=sha256 name=ike2_profile
/ip ipsec peer
add exchange-mode=ike2 name=peer1 passive=yes profile=ike2_profile
/ip ipsec proposal
add auth-algorithms=sha256,sha1 lifetime=1h name=proposal1 pfs-group=none
/ip ipsec identity
add auth-method=digital-signature certificate=RB750Gr3_Server comment="Santiago Movil" generate-policy=port-strict match-by=certificate mode-config=\
    ike2-Movil peer=peer1 policy-template-group=ike2_group remote-certificate=Santiago_Movil
/ip ipsec policy
add comment=Santiago_Movil dst-address=192.168.20.19/32 group=ike2_group proposal=proposal1 src-address=0.0.0.0/0 template=yes

Acerca de la redirección de los puertos en especial del 80 y el 443, eso lo saqué de una pagina de la misma playstation

https://www.playstation.com/es-es/support/error-codes/ps5/ce-113212-0/

También te cuento que he tenido deshabilitado las dos reglas por semanas y gamer de la play (el hijo de mi mujer) no ha protestado por lo que no se hasta que punto los necesita pues yo nunca he jugado en la play.
 
Me pasa algo raro, me conecta sin problema. Pero cuando intento navegar , el navegador me da error de certificado.
Me conecta perfectamente a los dispositivos locales de la vpn.
 
Mira a ver que no tengas el puerto 443 secuestrado por una regla de NAT incorrecta.

Saludos!
 
Hola queria consultar si alguno sabe como acceder desde el HQ a la LAN de los RW?
Tengo dos problemas, cuando un RW se conecta a la VPN (ikev2) pierde conexion con su propia LAN y desde el HQ necesito acceder a IP's especificas de la Lan del RW.

Saludos
 
Hola de nuevo @pokoyo,

tengo desde hace ya año y medio un hAP AC2 como router en la segunda vivienda, y me conecto a él a través de un servidor IKEv2 y hago mis cositas (un Synology, una raspberry pi, etc.). Lo configuré siguiendo tus manuales, todo OK. Lo administro via winbox.

El caso es que he comprado otro hAP AC2 + ONT Huawei para mi vivienda habitual y sustituir al mitrastar, lo tengo funcionando, todo bien. Me puedo conectar al hAP AC2 de la segunda vivienda a través de IKEv2 como es habitual, pero ya no puedo administrarlo via winbox a través del Mikrotik de mi vivienda habitual. En cambio, cuando hago tethering a través de mi móvil, si que puedo conectarme via winbox al hAP AC2 de mi segunda vivienda.

En resumen, he cambiado un mitrastar por un mikrotik, hago IKEv2 a otro Mikrotik, y Winbox ya no coonecta.
Intuyo que tiene que ver con las POOL? Adjunto capturas:

Segunda vivienda:

2023-02-10_19h07_19 - Copy.png

> Si me conecto via mitrastar + IKEv2, la IP a la que apunto en winbox es la 192.168.88.1. Con esto me conecto al hAP AC2 remoto.

> Al quitar el mitrastar, y meter un hAP AC2 en su lugar, no puedo conectarme al Mikrotik remoto via winbox con ninguna IP. Ni la 192.168.88.1, ni 192.168.68.10 (pool-ike), etc.


Primera vivienda:

> Este es el hAP AC2 que he montado en mi vivienda habitual. He cambiado el segmento de ips de la pool del dhcp y del IKE. Pero nada.

2023-02-10_19h12_04 - Copy.png


Qué hago mal?

Gracias de antemano y buen fin de semana,
 
Ver el adjunto 88200Hola compañeros estoy configurando por primera vez vpn ikev2 estoy siguiendo este hilo, he llegado al punto que me funciona correctamente con android pero con windows no hay manera, el error que me salta es: las credenciales de autenticación ike son inaceptables adjunto foto y log de mikrotik me da el siguiente error identity not found for peer: ADDR4: 192.168.19.102, he forzado parámetros de autenticación en la vpn de windows pero no consigo nada ya no se, si el error me viene de parte configuración de mikrotik que no negocia bien el encriptado, entiendo que la parte de certificado la tengo bien porque me conecta bien en android por eso no adjunto nada. Adjunto export a ver si consigo conectar con windows
amigo como pudiste conectar un telefono android a vpn mikrotik? ya que no puedo
 

Adjuntos

  • VPN_ANDROID.jpeg
    VPN_ANDROID.jpeg
    45.4 KB · Visitas: 22
Última edición:
Hola de nuevo @pokoyo,

tengo desde hace ya año y medio un hAP AC2 como router en la segunda vivienda, y me conecto a él a través de un servidor IKEv2 y hago mis cositas (un Synology, una raspberry pi, etc.). Lo configuré siguiendo tus manuales, todo OK. Lo administro via winbox.

El caso es que he comprado otro hAP AC2 + ONT Huawei para mi vivienda habitual y sustituir al mitrastar, lo tengo funcionando, todo bien. Me puedo conectar al hAP AC2 de la segunda vivienda a través de IKEv2 como es habitual, pero ya no puedo administrarlo via winbox a través del Mikrotik de mi vivienda habitual. En cambio, cuando hago tethering a través de mi móvil, si que puedo conectarme via winbox al hAP AC2 de mi segunda vivienda.

En resumen, he cambiado un mitrastar por un mikrotik, hago IKEv2 a otro Mikrotik, y Winbox ya no coonecta.
Intuyo que tiene que ver con las POOL? Adjunto capturas:

Segunda vivienda:

Ver el adjunto 103905
> Si me conecto via mitrastar + IKEv2, la IP a la que apunto en winbox es la 192.168.88.1. Con esto me conecto al hAP AC2 remoto.

> Al quitar el mitrastar, y meter un hAP AC2 en su lugar, no puedo conectarme al Mikrotik remoto via winbox con ninguna IP. Ni la 192.168.88.1, ni 192.168.68.10 (pool-ike), etc.


Primera vivienda:

> Este es el hAP AC2 que he montado en mi vivienda habitual. He cambiado el segmento de ips de la pool del dhcp y del IKE. Pero nada.

Ver el adjunto 103908

Qué hago mal?

Gracias de antemano y buen fin de semana,
Sin ver los export de ambos equipos, complicado decirte dónde tienes el fallo.

Saludos!
 
A ver si te he entendido: desde que has puesto un mikrotik en la principal, no conectas vía móvil al servidor IKEv2 remoto, ¿es eso? Si te gusta IKEv2, ¿por qué no unes ambas viviendas? O directamente das el salto a wireguard.

Lo que más me chirría de tu config son los masquerades a los pools de la VPN, que no son necesarios para este tipo de conexión (va por policy routing)

Saludos!
 
A ver si te he entendido: desde que has puesto un mikrotik en la principal, no conectas vía móvil al servidor IKEv2 remoto, ¿es eso? Si te gusta IKEv2, ¿por qué no unes ambas viviendas? O directamente das el salto a wireguard.

Lo que más me chirría de tu config son los masquerades a los pools de la VPN, que no son necesarios para este tipo de conexión (va por policy routing)

Saludos!
Hola pokoyo,

gracias por la respuesta.

desde que he puesto un mikrotik en la principal, no conecto via móvil al servidor IKEv2 remoto mediante winbox.
La conexión IKEv2 funciona como es habitual, pero no puedo acceder al remoto a través de winbox usando la IP 192.168.88.1 (del pool dhcp-lan).
No quiero unir las dos viviendas.

Piensas que el problema viene por las masquerades de las pools de open-vpn? La configuración la saqué de tu manual (este concretamente). Una masquerade para la pool de Open-vpn, y otra masquerade para la pool de IKEv2. Quizás lo entendí mal?

Saludos,
 
No veo la relación de sucesos. ¿qué tiene que ver el nuevo mikrotik con el acceso (sea como fuera que accedieras antes) al antiguo?

Y no, IKEv2 no necesita hacer masquerade.

Saludos!
 
Ante todo felicidades Pokoyo por el manual y gracias. Funciona de maravilla y muy bien explicado.

Esto utilizando la conexión tipo road-warrior, pero cuando tengo la VPN conectada no navego por internet con el móvil.
¿sabes donde está el problema?
¿Supongo que lo lógico es crear un certificado cliente, etc por cada usuario que se conecta?
 
Ante todo felicidades Pokoyo por el manual y gracias. Funciona de maravilla y muy bien explicado.

Esto utilizando la conexión tipo road-warrior, pero cuando tengo la VPN conectada no navego por internet con el móvil.
¿sabes donde está el problema?
¿Supongo que lo lógico es crear un certificado cliente, etc por cada usuario que se conecta?
Revisa el mode-config. Y sí, un certificado, un cliente.

Saludos!
 
Arriba