MANUAL: Mikrotik, IKEv2 VPN a fondo

Hola Pokoyo, ya se que luego que salió el Wireguard te has olvidado un poco de las demás VPN, normal, yo antes que la 7 fuera estable ya tenia instalada la Wireguard indiscutiblemente es mucho mas sencillo, pero ayer me dije deja ver si puedo hacer otra VPN y me puse con esta con mi movil Android.
La VPN se conecta perfectamente, pero tuve algunos detalles que tuve que hacer y no se si será normal para poder navegar, cosas que no tenia que hacer con Wireguard, bueno al detalle.
Resulta que tenía en el nat unas reglas para abrir los puertos hasta una PS5
Código:
/ip firewall nat
add action=dst-nat chain=dstnat comment="PS5 TCP" dst-port=80,443,3478-3480 in-interface-list=WAN log-prefix=PS5TCP protocol=tcp to-addresses=\
    192.168.83.96
add action=dst-nat chain=dstnat comment="PS5 UDP" dst-port=3478,3479,49152-65535 in-interface-list=WAN log-prefix=PS5UDP protocol=udp to-addresses=\
    192.168.83.96

Cuando revisaba los logs vi que esta regla se estaba activando cuando intentaba navegar por la VPN IKE
fin forward: in:vlan832 out:bridge, src-mac 20:e0:9c:53:f9:55, proto TCP (SYN), 192.168.20.13:51734->192.168.83.96:443, NAT 192.168.20.13:51734->(35.156.175.20:443->192.168.53.96:443), len 60

192.168.20.13
es la ip que me da el pool de la VPN al movil.

al final lo resolví modificando estas reglas

Código:
/ip firewall nat
add action=dst-nat chain=dstnat comment="PS5 TCP" dst-port=80,443,3478-3480 in-interface-list=WAN log-prefix=PS5TCP protocol=tcp src-address=\
    !192.168.20.0/24 to-addresses=192.168.83.96
add action=dst-nat chain=dstnat comment="PS5 UDP" dst-port=3478,3479,49152-65535 in-interface-list=WAN log-prefix=PS5UDP protocol=udp src-address=\
    !192.168.20.0/24 to-addresses=192.168.83.96

También me topé que con el Winbox no podía entrar desde esta VPN, sin embargo desde Wireguard SI, a pesar que tengo agregado también su rango de red 192.168.20.0/24 como acceso al Winbox

Para ello tuve que agregar otra regla en el Firewall que con Wireguard no tuve que hacer pues al ser una interface mas con agregarla a la lista LAN no tenia que tocar nada en el firewall

Código:
/ip firewall filter
add action=accept chain=input comment="Winbox " dst-address=192.168.83.1 dst-port=39437 protocol=tcp src-address=192.168.20.0/24

Será normal eso o tendré algo mal en mi configuración?
 
Tienes mal la config. Y ese mapeo de puertos 80 y 443 son totalmente innecesarios.

Deshabilita esas reglas y activa el UPnP y verás los puertos que se usan realmente.

Y ojo con los puertos 80 y 443, que como los secuestres te quedarás sin navegación web.

Saludos!
 
Vale, vamos a pensar que está mal, pero se conecta y funciona con los parches antes mencionados, aqui te paso la configuración a ver que le ves

Código:
/ip ipsec mode-config
add address=192.168.20.19 address-prefix-length=32 name=ike2-Movil static-dns=192.168.83.2 system-dns=no
/ip ipsec policy group
add name=ike2_group
/ip ipsec profile
add enc-algorithm=aes-256,3des hash-algorithm=sha256 name=ike2_profile
/ip ipsec peer
add exchange-mode=ike2 name=peer1 passive=yes profile=ike2_profile
/ip ipsec proposal
add auth-algorithms=sha256,sha1 lifetime=1h name=proposal1 pfs-group=none
/ip ipsec identity
add auth-method=digital-signature certificate=RB750Gr3_Server comment="Santiago Movil" generate-policy=port-strict match-by=certificate mode-config=\
    ike2-Movil peer=peer1 policy-template-group=ike2_group remote-certificate=Santiago_Movil
/ip ipsec policy
add comment=Santiago_Movil dst-address=192.168.20.19/32 group=ike2_group proposal=proposal1 src-address=0.0.0.0/0 template=yes

Acerca de la redirección de los puertos en especial del 80 y el 443, eso lo saqué de una pagina de la misma playstation

https://www.playstation.com/es-es/support/error-codes/ps5/ce-113212-0/

También te cuento que he tenido deshabilitado las dos reglas por semanas y gamer de la play (el hijo de mi mujer) no ha protestado por lo que no se hasta que punto los necesita pues yo nunca he jugado en la play.
 
Me pasa algo raro, me conecta sin problema. Pero cuando intento navegar , el navegador me da error de certificado.
Me conecta perfectamente a los dispositivos locales de la vpn.
 
Mira a ver que no tengas el puerto 443 secuestrado por una regla de NAT incorrecta.

Saludos!
 
Hola queria consultar si alguno sabe como acceder desde el HQ a la LAN de los RW?
Tengo dos problemas, cuando un RW se conecta a la VPN (ikev2) pierde conexion con su propia LAN y desde el HQ necesito acceder a IP's especificas de la Lan del RW.

Saludos
 
Arriba