MANUAL: Mikrotik, integración con NordVPN (IKEv2 / Nordlynx)

BONUS TRACK: Integración con Nordlyxn (WireGuard)
Por si a alguien le interesa, he seguido los pasos del tutorial para configurar una VPN wireguard, pero con Windscribe.

Windscribe lo pone mucho más fácil que NordVPN, ya que puedes descargar un fichero de configuración para wireguard de donde puedes extraer todos los datos necesarios (endpoint, private key, public key del servidor,...): https://esp.windscribe.com/getconfig/wireguard (solamente para suscriptores pro).

He medido la velocidad con el servidor de Barcelona y supera con creces los 100 Mb/s tanto en subida como en bajada.
 
Por si a alguien le interesa, he seguido los pasos del tutorial para configurar una VPN wireguard, pero con Windscribe.

Windscribe lo pone mucho más fácil que NordVPN, ya que puedes descargar un fichero de configuración para wireguard de donde puedes extraer todos los datos necesarios (endpoint, private key, public key del servidor,...): https://esp.windscribe.com/getconfig/wireguard (solamente para suscriptores pro).

He medido la velocidad con el servidor de Barcelona y supera con creces los 100 Mb/s tanto en subida como en bajada.
Ouuhh yeah! Mola, mucho más fácil que la liada esta que he tenido que montar yo. Si te animas y te apetece documentarlo, ya sabes, manual al canto.

Saludos!
 
Ouuhh yeah! Mola, mucho más fácil que la liada esta que he tenido que montar yo. Si te animas y te apetece documentarlo, ya sabes, manual al canto.

Saludos!
Jejeje, es que no hay mucho que documentar. La configuración del Mikrotik es exactamente igual que en el caso Nordlynx, lo único es que, además, proporcionan una preshared key y la he añadido a la configuración del peer.

Para obtener todas las credenciales, en la página https://esp.windscribe.com/getconfig/wireguard simplemente eliges la ubicación del servidor, un puerto de endpoint de entre varios a elegir (incluso puede ser el 80 o el 443), y si quieres una nueva private key o reutilizar alguna de las que ya tengas generadas (puedes generar hasta 5 keys para poder utilizar simultáneamente el mismo servidor, pero puedes usar la misma key en distintos servidores).

Con esos datos introducidos, se descarga un fichero como este (he editado la private key y la preshared key, lo demás son datos del servidor de Barcelona, que es el que he probado):

Código:
[Interface]
PrivateKey = chorizo1
Address = 100.77.155.234/32
DNS = 10.255.255.3

[Peer]
PublicKey = IdglMouv0zOaeA+oNqoN5Gk2I8h4zWlmRxH5qwDFBUI=
AllowedIPs = 0.0.0.0/0
Endpoint = bcn-239-wg.whiskergalaxy.com:1194
PresharedKey = chorizo2

Y nada, con todos esos datos, continuar el estupendo tutorial ya escrito en la primera página.
 
Acabo de ver la actualización del bonus track y no puedo hacer otra cosa que quitarme el sombrero, @pokoyo.

No le puedo dar al botón de me gusta porque está metido en mi propio post, pero es que me parece maravilloso lo que has hecho.

Mi más sincera admiración!
 
Acabo de ver la actualización del bonus track y no puedo hacer otra cosa que quitarme el sombrero, @pokoyo.

No le puedo dar al botón de me gusta porque está metido en mi propio post, pero es que me parece maravilloso lo que has hecho.

Mi más sincera admiración!
Ahí lo tenéis, por si os se animáis a probarlo. Que Uds lo disfruten ;)

Saludos!
 
Buenas noches, amigos, agradeciendo por el esfuerzo de los que hacen los manuales y las pruebas y nos ayudan, les tengo unas preguntas, yo consigo con mi mikritik RB962UiGS-5HacT2HnT y configuracion ipsec nordvpn, consigo una conexion media de 25 mb por 25 mb, tengo realmente 250 x 250, se piensa que por las limitaciones del hardware es la maxima velocidad que se va a alcanzar, les pregunto, alguien a configurado wireguard y ha visto mejora en las velocidades obiando las limitaciones del hardware, si tienen alguna comparativa de velocidades con ipsec vs wireguard??
 
Buenas noches, amigos, agradeciendo por el esfuerzo de los que hacen los manuales y las pruebas y nos ayudan, les tengo unas preguntas, yo consigo con mi mikritik RB962UiGS-5HacT2HnT y configuracion ipsec nordvpn, consigo una conexion media de 25 mb por 25 mb, tengo realmente 250 x 250, se piensa que por las limitaciones del hardware es la maxima velocidad que se va a alcanzar, les pregunto, alguien a configurado wireguard y ha visto mejora en las velocidades obiando las limitaciones del hardware, si tienen alguna comparativa de velocidades con ipsec vs wireguard??
Creo que ya te respondimos a la pregunta: https://www.adslzone.net/foro/mikrotik.199/mikrotik-nordvpn-velocidad-irrisoria.585720/page-2

Saludos!
 
Gracias, a menos que sea que no lo encuentre, no veo donde diga cuanto mas veloz puede ser nordlinx wireguard VS ipsec, ahora bien, siguiendo las ultimas instrucciones de config que subieron para wireguard, porque razon esta ultima linea de configuracion me puede estar botando la red por completa, hasta cerrando el acceso al router,
# Creamos una ruta por defecto para dicha tabla, con gateway nuestra interfaz wireguard
/ip route
add dst-address=0.0.0.0/0 gateway=nordvpn routing-table=nordvpn

Gracias......
 
Introducción

Mucha gente utiliza una VPN en su día a día para diversos motivos: privacidad y seguridad al no mostrar su IP pública real, acceder a servicios y plataformas no disponibles en su país o acceder a sus plataformas cuando está de viaje fuera del país, acceder a una web en su forma original y no a la versión internacional, comprar en tiendas o en versiones de tiendas no disponibles en el país de origen, etc. Cada uno para lo que quiere, vamos.

NordVPN es un servicio de VPN de pago con un cliente de escritorio para Windows, Mac y Linux y también para Android e iOS.

Ver el adjunto 98478

Es rápido, cómodo y fácil de usar.

Sin embargo tiene algunas limitaciones: por un lado sólo se puede usar en 6 equipos a la vez y por otro, hay dispositivos que no tienen soporte para la aplicación, como por ejemplo una SmartTV.

Aquí es donde entra en juego este manual.

Si configuramos este servicio de NordVPN en nuestro Mikrotik, a efectos de contabilizar equipos para uso simultáneo será de un solo dispositivo, aunque tengamos 10 o 20 o 30 en nuestra red saliendo por esa VPN. Además, si queremos conectarnos desde la SmartTV del salón a nuestra plataforma de streaming favorita de la cual tenemos una cuenta extranjera, ahora sí podremos.

Para este tutorial partiremos de un router con la config por defecto aunque es fácil de adaptar a routers con otras configuraciones. También damos por hecho que tenemos una suscripción a NordVPN.

La finalidad será levantar un túnel IKEv2 hacia un servidor y seleccionar qué tráfico enviaremos por ahí por lo que nuestro Mikrotik debe tener al menos la versión 6.45.

Nos basaremos en la documentación oficial de NordVPN y de Mikrotik para este servicio, la cual complementaremos con lo que hemos descubierto aquí en el foro.


Pasos previos


Vamos a tomar nota del usuario y contraseña de nuestra cuenta de NordVPN. Ojo, no son los datos del login sino que los sacaremos desde el panel de gestión de usuario:


Ver el adjunto 98481



También, vamos a escoger un servidor de los muchos que nos proporciona NordVPN desde su buscador:

Ver el adjunto 98484


Por defecto nos mostrará uno cercano a nuestra ubicación. Si preferís otro seleccionadlo en el desplegable “Select Country”.

En nuestro caso, nos apuntamos el nombre es147.nordvpn.com para usarlo más tarde.

Ahora ya podemos seguir.



Configurando el túnel


Descargamos e instalamos el certificado de NordVPN.

Ojo, después del primer comando, esperad a que se descargue el certificado antes de meter el segundo. Os pedirá la pass del router para instalarlo.

Código:
/tool fetch url="https://downloads.nordvpn.com/certificates/root.der"
/certificate import file-name=root.der


Confirmamos que todo ha salido bien:
Código:
/certificate print where name~"root.der"

Flags: K - private-key, L - crl, C - smart-card-key, A - authority, I - issued, R - revoked, E - expired, T - trusted
#         NAME            COMMON-NAME            SUBJECT-ALT-NAME                                         FINGERPRINT 
0       T root.der_0      NordVPN Root CA                                                                 8b5a495db498a6c2c8c...


Creamos el túnel IPSec. Empezamos por el profile y el proposal:
Código:
/ip ipsec profile
add name=NordVPN
/ip ipsec proposal
add name=NordVPN pfs-group=none


Creamos un nuevo grupo de políticas y una template para separar esta configuración de cualquier otra configuración de IPsec.
Código:
/ip ipsec policy group
add name=NordVPN
/ip ipsec policy
add dst-address=0.0.0.0/0 group=NordVPN proposal=NordVPN src-address=0.0.0.0/0 template=yes


Ahora el mode-config para solicitar al servidor los parámetros de la conexión con responder=no, ya que somos nosotros los que enviamos la petición de conexión.
Código:
/ip ipsec mode-config
add name=NordVPN responder=no


Y por último, el peer (el servidor que escogimos en los pasos previos) y el identity (cambiad las XXXXX y las YYYYY por el usuario y contraseña de vuestro panel)
Código:
/ip ipsec peer
add address=es147.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN
/ip ipsec identity
add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NordVPN peer=NordVPN policy-template-group=NordVPN username=XXXXX password=YYYYY


Si lo hemos hecho bien, el túnel estará levantado (las XXX del remote address las he cambiado yo pero ahí aparecerá la IP del otro extremo del túnel):
Código:
/ip ipsec active-peers print

Flags: R - responder, N - natt-peer
#    ID                   STATE              UPTIME          PH2-TOTAL REMOTE-ADDRESS                                                    DYNAMIC-ADDRESS               
0  N es147.nordvpn.com    established        13s                     1 XXX.XXX.XXX.XXX




Seleccionando qué enviaremos por la VPN


Opción 1 (recomendada)​

En este escenario, vamos a dedicar un pool de IPs para que salgan siempre por la VPN. El resto de IPs de nuestra red seguirán saliendo a internet por el acceso habitual. Esto nos permitirá seleccionar qué dispositivos saldrán por la VPN (PCs, Smartphones, SmartTVs…) simplemente modificando su IP, sin tener que estar levantando y tirando el túnel desde Winbox cada vez que lo queramos usar o no. La IP la podemos fijar manualmente en el propio dispositivo o vía Lease desde el Mikrotik.

Este pool reservado estará fuera del DHCP.

Empezamos reduciendo el pool del DHCP por defecto, dejándolo desde la .10 tal y como empieza pero cortándolo en la .248, para que no se solape con las IPs que nos reservamos para la VPN, y que en nuestro ejemplo irán desde la .249 a la .254:
Código:
/ip pool
set [find name=default-dhcp] ranges=198.168.88.248-192.168.88.10


Las IPs de la VPN las incluiremos en una address list. En este caso una /29 que nos permitirá conectar 6 dispositivos.
Código:
/ip firewall address-list
add address=192.168.88.249/29 list=NordVPN-Pool



Ahora le indicaremos esta lista al mode-config
Código:
/ip ipsec mode-config
set [ find name=NordVPN ] src-address-list=NordVPN-Pool



Opción 2​

En este caso sacaremos todo nuestro tráfico por la VPN. Usad esta opción con cabeza ya que, como comentaremos al final, el ancho de banda se resiente.

La idea es la misma. Creamos una address list con nuestro rango local (192.168.88.0/24) y se lo pasamos al mode-config.
Código:
/ip firewall address-list
add address=192.168.88.0/24 list=NordVPN-Pool
/ip ipsec mode-config
set [ find name=NordVPN ] src-address-list=NordVPN-Pool

Si lo hacemos así, cada vez que queramos dejar de salir por la VPN tendremos que deshabilitar el túnel directamente en el Mikrotik y volver a habilitarlo cuando queramos usarla de nuevo.

Ajustes finos

Según las pruebas realizadas en este foro, hayamos elegido la opción 1 o 2, aunque estemos saliendo por la VPN veremos que es imposible usarla ya que la navegación es extremadamente lenta y los test de velocidad arrojarán resultados ridículamente bajos o directamente darán error.

Vamos a aceptar el tráfico antes de la política de IPSec para que el fasttrack no rompa la conexión TCP.
Código:
/ip firewall filter
add chain=forward action=accept src-address-list=NordVPN-Pool dst-address-list=!NordVPN-Pool place-before=[find comment="defconf: accept in ipsec policy"]
add chain=forward action=accept src-address-list=!NordVPN-Pool dst-address-list=NordVPN-Pool place-before=[find comment="defconf: accept in ipsec policy"]


Y ajustamos también el MSS del MTU:
Código:
/ip firewall mangle
add action=change-mss chain=forward ipsec-policy=in,ipsec new-mss=1382 passthrough=yes protocol=tcp \
  tcp-flags=syn tcp-mss=!0-1382


Ahora ya sí podremos navegar sin problema a través del túnel.

Consideraciones finales

El rendimiento de la VPN está directamente relacionada con la distancia al servidor escogido (obviamente, cuanto más lejos menos velocidad) y por el Mikrotik que tengáis.

En estas pruebas se ha usado siempre un servidor de España (el mismo en todas ellas) y los resultados han sido los siguientes:

  • Con un hAP (CPU 650MHz y RAM 32MB): alrededor de 20 megas simétricos.
  • Con un mAP (CPU 650MHz y RAM 64MB): alrededor de 20 megas simétricos.
  • Con un RB3011 (CPU 2x1.4 GHz y RAM 1GB): alrededor de 65 megas simétricos.
  • Con un RB4011 (CPU 4x1.4 GHz y RAM 1GB): alrededor de 265 bajada y 335 subida.


Si estáis especialmente preocupados por vuestra privacidad, confirmad siempre cual es vuestra IP pública del equipo desde donde os estáis conectando.

Lo más fácil es irse a una página del tipo cualesmiip, whatismyip y similares y confirmar que no es la vuestra habitual o de un rango de vuestro ISP.

Si queréis hacer un doble check, copiad esa IP en ip2location y mirad dónde os ubica, sobre todo si habéis escogido un servidor de otro país.


Ver el adjunto 98487



Agradecimientos

A pokoyo, a pokoyo y a pokoyo. Sin él esta guía habría sido imposible. Yo únicamente he recopilado y ordenado la información del hilo que abrí en su día pidiendo ayuda a punto de tirar la toalla y que ni los del propio soporte de NordVPN me habían podido dar una solución. Bendita sea su paciencia y ganas de cacharrear para que otros podamos disfrutar de todo esto.

Y por supuesto, al resto del foro, que aunque yo no sea de los activos siempre os observo desde la sombra. Y aquí hay auténticos fenómenos y virtuosos del tema. Siempre es un placer leeros.


BONUS TRACK: Integración con Nordlyxn (WireGuard) [by @pokoyo, con la colaboración de @dremi y @ZoNkeD]

Tras el magnífico manual del compañero @dremi, hoy os vengo a destripar el nuevo protocolo de Nordlynx, la implementación WireGuard de NordVPN. Y, tal y como hicimos anteriormente, aprenderemos a llevarnos esto a nuestro Mikrotik. No me voy a enrollar mucho describiendo la implementación que han hecho, pero si os daré un par de curiosidades más adelante en el manual. No obstante, si queréis información, lo tienen en su propia web: https://nordvpn.com/blog/nordlynx-protocol-wireguard/

Primeros pasos​

Lo primero que podemos hacer es probarlo. Para ello es tan sencillo como que seleccionéis ese tipo de conexión como la conexión a usar para la VPN. Muchos de vosotros incluso ya lo estaréis usando por defecto, pero si no, lo tenéis en las preferencias de la app. Desmarcáis la opción de "Elija un protocolo VPN y un servidor automáticamente" y seleccionáis "Nordlynx" como protocolo VPN.

Ver el adjunto 99276

Extrayendo los datos de conexión​

Para este paso os recomiendo usar cualquier distro linux que podáis arrancar en modo live-cd. Lo digo porque, si bien le hemos dedicado a este tema varias horas, no hemos localizado los datos necesarios de conexión en Windows de manera sencilla, ni si quiera en el registro (al menos no a simple vista). Y, sinceramente, viendo lo sencillo que es hacerlo en linux y/o Mac OS, no os recomiendo gastar ni medio minuto en el tema. Para los siguientes pasos, si sois usuarios de windows, intentad arrancar vuestro sistema con un pincho de tipo live-cd, o simplemente instalaros VirtualBox o cualquier otro manejador de máquinas virtuales y arrancad la distribución linux que más os guste. Yo e mi caso elegí linux mint xfce, bastante livianita, para tatar de documentar este proceso. Necesitaremos:
  • Clave privada: esta tiene miga de sacar, lo detallaremos más adelante. Es lo que nos identifica como usuario NordVPN para este protocolo. Se genera en base a la credencial del usuario.
  • Endpoint: este lo elegimos en función a dónde nos queramos conectar. Para ello, podemos usar la propia web de NordVPN, para que nos recomiende un servidor basado en nuestra localización, o tirar de la API pública. Como lo primero es trivial, vamos a por lo segundo, que como veréis tiene relación con el siguiente paso.
  • Clave pública: han montado los peers por región. Quiere decir que todos los servidores de un país o región tienen la misma clave pública. Para averiguarla, o sacar una concreta de un país que nos interese en un momento dado, vamos a usar la API pública de NordVPN. Ahora detallaremos cómo. Como ejemplo, la clave pública de los servidores de nuestra región es IF1FGVSzrUznFVZ+dymIz+6bdlCgsuiT/d6cyapN8lw=
  • Puerto: 51820, fijo, siempre el mismo.
  • Address: 10.5.0.2, fija, siempre la misma.

Clave pública (regional)​

Para sacar la clave pública de un servidor, basta con hacer una consulta a la API pública de NordVPN, o sacarla de los propios datos de conexión de la VPN. La manera más sencilla es lanzar el siguiente curl vía terminal, que nos debe dar una salida tal que así (recordad tener instalado jq si no lo tiene vuestra distro linux por defecto)
Código:
curl --ssl-no-revoke "https://api.nordvpn.com/v1/servers/recommendations?&filters\[servers_technologies\]\[identifier\]=wireguard_udp&limit=10" | jq -r '.[]|.hostname, .station, (.locations|.[]|.country|.city.name), (.locations|.[]|.country|.name), (.technologies|.[].metadata|.[].value), .load'

Ver el adjunto 99282

Esto nos sacará una lista de servidores compatibles con nordlynx recomendados para nuestra ubicación y ordenados por carga de trabajo. Si queréis jugar más con la API, os dejo una web donde le dan un buen meneo al tema.

Clave privada (por usuario)​

Para sacar la clave privada, una vez arrancado nuestro live-cd de linux (doy por hecho que sabéis hacerlo, sino eso queda para otro manual), abrimos un terminal y ejecutamos los siguientes pasos, todos ellos precedidos del comando sudo o, más cómodo, ejecutando sudo su según abramos la terminal, que ya nos dará acceso de root.
Código:
sudo su
wget https://repo.nordvpn.com/deb/nordvpn/debian/pool/main/nordvpn-release_1.0.0_all.deb
apt install ./nordvpn-release_1.0.0_all.deb
apt update
apt install nordvpn wireguard-tools
Es decir, descargamos el repo de NordVPN para linux (también podemos hacerlo desde su propia web), instalamos el paquete, actualizamos los repos e instalamos la aplicación propiamente dicha, así como el paquete linux wireguard-tools.

Hecho esto, ejecutamos los siguientes comandos, también como root
Código:
nordvpn login
Ese comando lanzará el proceso de login, mostrando una URL a la que podremos clickar para que nos abra un navegador y metamos nuestro usuario y contraseña de NordVPN. Para abrir el enlace, simplemente pulsamos la tecla CTRL + click en el enlace, y se abrirá el navegador predeterminado para la distribución que estéis usando (Firefox en mi caso). Una vez completado el proceso de login, tendremos una ventana tal que así: pulsamos botón derecho en el botón "Continue" y copiamos esa URL. de tipo nordvpn://login?action=login&exchange_token=chorizo&status=done, donde chorizo = token de sesión.

Ver el adjunto 99288

Volvemos a la terminal, y ejecutamos el siguiente comando (pegad vuestra URL copiada en el paso anterior, entre comillas dobles)
Código:
nordpvn login --callback "nordvpn://login?action=login&exchange_token=chorizo&status=done"

Si todo ha ido bien, tendremos un mensaje diciéndonos que nos hemos logado correctamente en el servicio. Procedemos a asegurarnos de que la tecnología de conexión es la indicada (nordlynx, aunque creo que ya la tienen por defecto para linux, a mi no me hizo falta ni cambiarla) y nos conectamos a la VPN, todo ello desde la misma terminal
Código:
nordvpn set technology nordlynx
nordvpn connect

Y, por último, una vez conectados, extraemos los datos de conexión, en este caso lo que nos interesa, la clave privada. Importante: este comando sólo funciona una vez estáis conectados a la VPN, puesto que la interfaz "nordlynx" es dinámica; se crea y se destruye con cada conexión.
Código:
wg show nordlynx private-key

Configurando el Mikrotik para usar nuestros datos de NordLyxn​

Este paso es quizá el más sencillo de todos. Una vez tenemos los datos de conexión, no difiere del setup de cualquier otro tipo de conexión WireGuard que hayamos hecho. Como esto está ya sobradamente explicado en otros manuales, no me detengo en ello, os pongo el churro, y simplemente modificadlo con vuestros datos.
Código:
# Procedemos al setup de wireguard en el router
/interface wireguard
add name=nordvpn private-key="XXXXXX="

# Direccionamos la interfaz (siempre la misma dirección)
/ip address
add interface=nordvpn address=10.5.0.2/32

# Cofiguramos el Peer que representa al servidor por el que vamos a salir
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=es163.nordvpn.com \
    endpoint-port=51820 interface=nordvpn persistent-keepalive=25s \
    public-key="IF1FGVSzrUznFVZ+dymIz+6bdlCgsuiT/d6cyapN8lw="

# Nateamos la interfaz Wireguard, puesto que todo tráfico que salga por la VPN
# ha de salir con la IP 10.5.0.2 o no se enrutará (cosa de cómo lo tiene montado)
/interface list member
add interface=nordvpn list=WAN

Hasta aquí nada cambia, salvo el hecho de meter la interfaz wireguard en la lista WAN. Esto es porque todo el tráfico que mandemos a sus servidores ha de ir de esa IP específica.

Ahora, la parte divertida: routing condicional​

Hasta ahora hemos montado la parte de la conectividad. Ahora, decidiremos qué sacar por la VPN, en función de nuestras necesidades. Empezamos por crear una nueva tabla de routing, para el tráfico que deseemos mandar por la VPN. Cremos la tabla y su ruta por defecto:
Código:
# Creamos la nueva tabla de rutas
/routing table
add fib name=nordvpn

# Creamos una ruta por defecto para dicha tabla, con gateway nuestra interfaz wireguard
/ip route
add dst-address=0.0.0.0/0 gateway=nordvpn routing-table=nordvpn

Hecho lo anterior, algunos ejemplos de routeo condicional

Ejemplo 1: sacar una IP concreta de nuestra red, por la conexión VPN (imaginaos, un dispositivo donde no se pueda instalar la app)
Código:
/routing rule
add action=lookup-only src-address=192.168.88.5/32 table=nordvpn

Ejemplo 2: lo mismo, pero para un pedazo de nuestra red (subred /29, IPs de la 192.168.88.249 - 254)
Código:
/routing rule
add action=lookup-only src-address=192.168.88.248/29 table=nordvpn

Ejemplo 3: la subred entera
Código:
/routing rule
add action=lookup-only src-address=192.168.88.0/24 table=nordvpn

Ejemplo 4: mismo que el ejemplo 1, pero usando mangle (aseguraos de deshabilitar fasttrack, incompatible con mangle rules)
Código:
/ip firewall mangle
add chain=prerouting src-address=192.168.87.5/32 connection-mark=no-mark dst-address-type=!local \
  action=mark-connection new-connection-mark=to-nordvpn
add action=mark-routing chain=prerouting connection-mark=to-nordvpn \
  in-interface=bridge new-routing-mark=nordvpn passthrough=no

Ejemplo 5: sacar el tráfico de un servicio de destino concreto, tipo "todo el tráfico de netflix, por la VPN"
Código:
/ip firewall address-list
add address=netflix.com list=netflix

/ip firewall mangle
add action=add-dst-to-address-list address-list=netflix \
  address-list-timeout=1d chain=prerouting content=nflxvideo.net
add action=mark-connection chain=prerouting connection-mark=no-mark \
  dst-address-list=netflix new-connection-mark=to-nordvpn passthrough=yes
add action=mark-routing chain=prerouting connection-mark=to-nordvpn \
  in-interface=bridge new-routing-mark=nordvpn passthrough=no

Y listo, así podemos aprovechar el protocolo Nodlynx en nuestros equipos.

Gracias en especial @dremi por el trabajo de campo en windows, aunque no sacásemos mucho en claro, y a @ZoNkeD por prestarme unas credenciales para montar todo esto. Que lo disfrutéis!

Saludos!
Buen dia, queria agradecerle a todos los que nos ayudan con estos manuales y nuestras consultas, ustedes que saben mucho y nosotros que estamos aprendiendo, les agradezco, ya pude alcanzar una conexion estable con wireguard nordvp sobre mikrotik, fue un caos conseguir la info de las keys, mas que no estoy familizarizado con las versiones linux, les comento que tuve problemas con las keys, tener mucho cuidado al obener las keys que coincidan con el mismo servidor, porque es facil de enredarc, muchas gracias de nuevo, les adjunto la imagen de la red alcanzada.
 

Adjuntos

  • MEDIDAS.png
    MEDIDAS.png
    88.3 KB · Visitas: 39
Jejeje, es que no hay mucho que documentar. La configuración del Mikrotik es exactamente igual que en el caso Nordlynx, lo único es que, además, proporcionan una preshared key y la he añadido a la configuración del peer.

Para obtener todas las credenciales, en la página https://esp.windscribe.com/getconfig/wireguard simplemente eliges la ubicación del servidor, un puerto de endpoint de entre varios a elegir (incluso puede ser el 80 o el 443), y si quieres una nueva private key o reutilizar alguna de las que ya tengas generadas (puedes generar hasta 5 keys para poder utilizar simultáneamente el mismo servidor, pero puedes usar la misma key en distintos servidores).

Con esos datos introducidos, se descarga un fichero como este (he editado la private key y la preshared key, lo demás son datos del servidor de Barcelona, que es el que he probado):

Código:
[Interface]
PrivateKey = chorizo1
Address = 100.77.155.234/32
DNS = 10.255.255.3

[Peer]
PublicKey = IdglMouv0zOaeA+oNqoN5Gk2I8h4zWlmRxH5qwDFBUI=
AllowedIPs = 0.0.0.0/0
Endpoint = bcn-239-wg.whiskergalaxy.com:1194
PresharedKey = chorizo2

Y nada, con todos esos datos, continuar el estupendo tutorial ya escritoEstoy en la primera página.
Estoy intentando configurarlo también con mi cuenta Windscribe. En que parte de la configuración del mikrotik pongo la DNS que me da el archivo de configuración descargado del Windscribe, en mi caso :

[Interface]
PrivateKey = privatekeuuu
Address = 100.126.24.150/32
DNS = 10.255.255.3
 
Estoy intentando configurarlo también con mi cuenta Windscribe. En que parte de la configuración del mikrotik pongo la DNS que me da el archivo de configuración descargado del Windscribe, en mi caso :

[Interface]
PrivateKey = privatekeuuu
Address = 100.126.24.150/32
DNS = 10.255.255.3
No se puede poner, olvídala, no necesitas ese parámetro.

Saludos!
 
Estoy intentando configurarlo también con mi cuenta Windscribe. En que parte de la configuración del mikrotik pongo la DNS que me da el archivo de configuración descargado del Windscribe, en mi caso :

[Interface]
PrivateKey = privatekeuuu
Address = 100.126.24.150/32
DNS = 10.255.255.3
No lo he puesto, no hace falta.

No he probado si ese servidor DNS implementa ROBERT (bloqueando ads, malware,...). Si así fuera y lo necesitases, podrías sustituir lo que tuvieses en /ip dns para toda la red, aunque seguro que hay una forma más elegante de hacerlo
 
No lo he puesto, no hace falta.

No he probado si ese servidor DNS implementa ROBERT (bloqueando ads, malware,...). Si así fuera y lo necesitases, podrías sustituir lo que tuvieses en /ip dns para toda la red, aunque seguro que hay una forma más elegante de hacerlo
Gracias, ya lo tengo funcionando para una ip determinada, así cuando lo necesito quito el dhcp del dispositivo y lo fuerzo manualmente con la ip que he asociado además de poder poner la DNS que me indica windscribe. Muchas gracias por el tuto.
 
Hola a todos!

Confirmo que esta configuración general funciona también para IKEv2 de ProtonVPN

Eso sí, hay que ajustar los parámetro de IPsec a los de este proveedor de VPN. Ya sabéis, detalles del cifrado. Aquí viene más: enlace

Y ya que estamos @pokoyo, la configuración de kill switch que indican los de ProtonVPN ¿la ves necesaria con tu configuración?
 
Hola a todos!

Confirmo que esta configuración general funciona también para IKEv2 de ProtonVPN

Eso sí, hay que ajustar los parámetro de IPsec a los de este proveedor de VPN. Ya sabéis, detalles del cifrado. Aquí viene más: enlace

Y ya que estamos @pokoyo, la configuración de kill switch que indican los de ProtonVPN ¿la ves necesaria con tu configuración?
Fuera de tu red tiene sentido usar el kill switch. Dentro, diría que no, porque capas el acceso a tu propia red local y lo lanzas todo vía VPN.

Saludos!
 
Fuera de tu red tiene sentido usar el kill switch. Dentro, diría que no, porque capas el acceso a tu propia red local y lo lanzas todo vía VPN.

Saludos!

De eso se trataría, cuando por la razón que sea se cae el túnel. Entonces, te vas bridge blackhole sin salida nada.
Evitas que tu tráfico salga por tu red normal sin VPN. ¿O lo estoy interpretando mal?
Entiendo que para ver algo tipo Netflix en otro país da igual, pero si buscas anonimato y te sales del túnel VPN... pues mal.
 
De eso se trataría, cuando por la razón que sea se cae el túnel. Entonces, te vas bridge blackhole sin salida nada.
Emm nop, el problema es más gordo que eso: si la VPN está levantada, no veo mi red local. Y eso para mí es un sin sentido.

Evitas que tu tráfico salga por tu red normal sin VPN. ¿O lo estoy interpretando mal?
Evitas que nada salga, si no es por la VPN. Incluído el acceso que puedas hacer a un webserver local (a un NAS, por ejemplo), un recurso de webdav, etc. Para mí, esto no tiene ningún sentido, como ya he dicho.

Entiendo que para ver algo tipo Netflix en otro país da igual, pero si buscas anonimato y te sales del túnel VPN... pues mal.
Una VPN no da anonimato ninguno, quitaos esa chorrada de la cabeza, porque os la están metiendo doblada. Anonimato, ¿frente a qué, o frente a quién? Tú comete un delito, y verás qué pronto salen a relucir los logs esos que dicen que no guardan. Al final estás evitando darle los datos de navegación a tu operadora (que ojo, me parece totalmente lícito que lo quieras evitar), para dárselos a una empresa privada que:
- ni sabes cómo los trata
- ni sabes si se acoge o no a normativa europea (temas de protección de datos, GDPR, etc)
- ni sabes qué tipo de jurisdicción tiene (la ley de qué país le aplica, normalmente americana o de dónde sea la empresa matriz, pero probablemente no española) ni a quien le cede (vende) dichos datos.

Vamos, que por evitar que tu operadora sepa que te estás descargando X (peli, música, cine, fútbol) de Y (torrent, emule, rojadirecta), resulta que tienes contenta a las agencias de inteligencia de medio mundo. Porque, el tráfico está encriptado entre origen (tú) y destino (la salida por la que sale tu tráfico), pero con que alguien ponga la oreja a la salida, ya estás jodido. ¡Allí el tráfico va en claro!, que es lo que mucha gente no acaba de entender.

La única VPN que te asegura privacidad es la que tienes tú en tu casa, donde tú controlas el nodo de salida (hasta que obviamente sales por la operadora X de turno). Todo lo demás vale para deslocalizar (que te de una IP de otro país) pero para poco más.

Saludos!
 
Buen día compañeros, repito, tengo una fibra 250mb simétricos, uso mikrotik, con 2 tplink mesh, gracias a ustedes configuré wireguard y todo esta en perfectas condiciones, pero siempre tengo la necesidad de saber si puedo mejorar la red en algo, la pregunta es yo uso nordvpn y consigo velocidades desentes de 60 mb simetricos, les consulto si podre conseguir mejores velocidades con otro vpn digamos windscribe o alguna, de acuerdo a su experiencia?? y por supuesto que pueda conseguir la informacion de configuracion para wireguard.
Gracias, Buenas noches
 
Le puedes dar a esto las vueltas que quieras @davidCR, pero ya te he dicho en varias ocasiones que tu problema es el hardware. No creo que vayas a conseguir más velocidad con otra VPN. Y, de hacerlo, será sacrificando el encriptado.

Saludos!
 
Arriba