MANUAL: Mikrotik, integración con NordVPN (IKEv2 / Nordlynx)

Qué pasa si mueves la IP y el dhcp a una interfaz bridge y metes wlan1 como puerto?
Creado nuevo bridge y wlan1 port, pasa nunca, no connectividad :(

/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] country=spain disabled=no mode=ap-bridge \
ssid=maplite wireless-protocol=802.11
/interface wireguard
add listen-port=63656 mtu=1420 name=nordvpn
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.90.2-192.168.90.254
/ip dhcp-server
add address-pool=dhcp_pool1 interface=bridge1 name=dhcp_wg relay=192.168.90.1
/routing table
add fib name=nordvpn
add fib name=nordvpn
/interface bridge port
add bridge=bridge1 interface=wlan1 trusted=yes
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add interface=ether1 list=WAN
add list=LAN
add interface=nordvpn list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=es163.nordvpn.com \
endpoint-port=51820 interface=nordvpn persistent-keepalive=25s \
public-key="IF1FGVSzrUznFVZ+dymIz+6bdlCgsuiT/d6cyapN8lw="
/ip address
add address=192.168.90.1/24 interface=wlan1 network=192.168.90.0
add address=10.5.0.2 interface=nordvpn network=10.5.0.2
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=192.168.90.0/24 dns-server=8.8.8.8 gateway=192.168.90.1
/ip dns
set servers=8.8.8.8
/ip route
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=nordvpn pref-src="" \
routing-table=nordvpn scope=30 suppress-hw-offload=no target-scope=10
add dst-address=0.0.0.0/0 gateway=nordvpn routing-table=nordvpn
/routing rule
add action=lookup-only-in-table interface=bridge1 src-address=192.168.90.0/24 \
table=nordvpn
 
Te falta el NAT, ¿no? Alguna razón para no partir de una configuración por defecto? ¿cómo funciona ese equipo dentro de la red? es tu router, es un AP, qué es?

Saludos!
 
¡Hola! Este es mi punto de acceso (fuera de casa) con enlace nordvpn preconfigurado, modelo Mikrotik map lite. Empecé desde la configuración predeterminada, pero no tiene NAT o bridge preconfigurado
 
¡Hola! Este es mi punto de acceso (fuera de casa) con enlace nordvpn preconfigurado, modelo Mikrotik map lite. Empecé desde la configuración predeterminada, pero no tiene NAT o bridge preconfigurado
Pues entonces no has elegido bien la plantilla del quick set al configurar el chisme. Dale un reseteo y déjale que cargue la config por defecto (no marques el no default configuration en la opción del reset). Y, si vas a usar el quick set, usa la plantilla de Home AP.

Saludos!
 
Buenos días, que significa realmente meter la interfaz de wireguard nordvpn en la lista wan? Es que no salgo por la vp y creo que es por eso. Tengo la lista WAN creada pero creo que no hace no está configurada en ningun otro sitio.

[EDITO] Export eliminado
 
Última edición:
Buenos días, que significa realmente meter la interfaz de wireguard nordvpn en la lista wan? Es que no salgo por la vp y creo que es por eso. Tengo la lista WAN creada pero creo que no hace no está configurada en ningun otro sitio.

/interface bridge
add ingress-filtering=no name=puente-bar pvid=26 vlan-filtering=yes
add name=puente-internet
add ingress-filtering=no name=puente-vlans vlan-filtering=yes
/interface ethernet
set [ find default-name=ether2 ] comment=ether2 name=Unifi8
set [ find default-name=ether1 ] comment=ether1 name=Vodafone \
rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether3 ]
set [ find default-name=ether4 ]
set [ find default-name=ether5 ]
/interface eoip
add local-address=192.168.10.1 mac-address=02:04:7A:1F:C8:93 name=EoIP<Local> \
remote-address=192.168.10.2 tunnel-id=10
/interface wireguard
add listen-port=13231 mtu=1420 name=WG<Local>
add listen-port=50880 mtu=1420 name=WG<NordVPN>
/interface vlan
add interface=puente-bar name=vlan-camaras-bar vlan-id=26
add interface=puente-vlans name=vlan-invitados vlan-id=99
add interface=puente-vlans name=vlan-nordvpn vlan-id=189
add interface=puente-vlans name=vlan-piso vlan-id=1
add interface=puente-vlans name=vlan10 vlan-id=10
add interface=puente-vlans name=vlan20 vlan-id=20
add interface=puente-vlans name=vlan30 vlan-id=30
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=HSC-MasWifiNegocios.com
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
Profesor supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
security-profile=Profesor ssid=Profesor vlan-id=99
set [ find default-name=wlan2 ] disabled=no mode=ap-bridge security-profile=\
Profesor ssid=Profesor5 vlan-id=99
/ip pool
add name=pool-piso ranges=192.168.1.200-192.168.1.240
add name=dhcp-bar-camaras ranges=10.172.1.2-10.172.1.254
add name=pool-vlan10 ranges=192.168.10.2-192.168.10.254
add name=pool-vlan20 ranges=192.168.20.2-192.168.20.254
add name=pool-vlan30 ranges=192.168.30.2-192.168.30.254
add name=dhcp_pool10 ranges=192.168.99.2-192.168.99.254
add name=dhcp_pool12 ranges=10.10.5.10-10.10.5.200
/ip dhcp-server
add address-pool=pool-piso interface=vlan-piso name=dhcp-piso
add address-pool=dhcp-bar-camaras interface=vlan-camaras-bar name=\
dhcp-camaras
add address-pool=pool-vlan10 interface=vlan10 name=dhcp-server-vlan10
add address-pool=pool-vlan20 interface=vlan20 name=dhcp-server-vlan20
add address-pool=pool-vlan30 interface=vlan30 name=dhcp-server-vlan30
add address-pool=dhcp_pool10 interface=vlan-invitados name=dhcp1
add address-pool=dhcp_pool12 interface=vlan-nordvpn name=dhcp2
/routing table
add fib name=nordvpn
/interface bridge port
add bridge=puente-vlans interface=Unifi8
add bridge=puente-vlans interface=ether3
add bridge=puente-bar interface=ether5 pvid=26
add bridge=puente-vlans interface=ether4
add bridge=puente-internet interface=Vodafone
add bridge=puente-internet interface=EoIP<Local>
/interface bridge vlan
add bridge=puente-vlans tagged=puente-vlans vlan-ids=1
add bridge=puente-bar tagged=puente-bar vlan-ids=26
add bridge=puente-vlans tagged=puente-vlans,Unifi8 vlan-ids=99
add bridge=puente-vlans tagged=puente-vlans,Unifi8 vlan-ids=189
/interface list member
add interface=Vodafone list=WAN
add interface=WG<NordVPN> list=WAN
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=es189.nordvpn.com \
endpoint-port=51820 interface=WG<NordVPN> persistent-keepalive=25s \
public-key="IF1FGVSzrUznFVZ+dymIz+6bdlCgsuiT/d6cyapN8lw="
add allowed-address=0.0.0.0/0 interface=WG<Local> public-key=\
"ohRRMrd0fBceGW4ikef8TK4jNmXPMPMC1+EKvroI2Gw="
/ip address
add address=192.168.1.1/24 interface=vlan-piso network=192.168.1.0
add address=192.168.0.2/24 interface=Vodafone network=192.168.0.0
add address=10.172.1.1/24 interface=vlan-camaras-bar network=10.172.1.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
add address=192.168.99.1/24 interface=vlan-invitados network=192.168.99.0
add address=10.5.0.2/24 interface=WG<NordVPN> network=10.5.0.0
add address=192.168.10.1/24 interface=WG<Local> network=192.168.10.0
add address=10.10.5.1/24 interface=vlan-nordvpn network=10.10.5.0
/ip dhcp-client
add interface=puente-internet
/ip dhcp-server network
add address=10.10.5.0/24 dns-server=1.1.1.1 gateway=10.10.5.2
add address=10.172.1.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=10.172.1.1
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
add address=192.168.10.0/24 dns-server=1.1.1.1,8.8.8.8,8.8.4.4 gateway=\
192.168.10.1
add address=192.168.20.0/24 dns-server=1.1.1.1,8.8.8.8,8.8.4.4 gateway=\
192.168.20.1
add address=192.168.30.0/24 dns-server=1.1.1.1,8.8.8.8,8.8.4.4 gateway=\
192.168.30.1
add address=192.168.99.0/24 dns-server=1.1.1.1 gateway=192.168.99.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.5
/ip firewall filter
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=\
192.168.1.0/24
add action=drop chain=forward disabled=yes dst-address=192.168.1.0/24 \
src-address=10.172.1.0/24
add action=drop chain=forward disabled=yes dst-address=10.172.3.0/24 \
src-address=192.168.1.0/24
add action=drop chain=forward disabled=yes dst-address=192.168.1.0/24 \
src-address=192.168.99.0/24
add action=drop chain=forward disabled=yes dst-address=!129.250.35.250 \
out-interface=Vodafone src-address=10.172.1.253
/ip firewall nat
add action=masquerade chain=srcnat out-interface=puente-internet src-address=\
192.168.1.0/24
add action=masquerade chain=srcnat out-interface=puente-internet src-address=\
10.172.1.252
add action=masquerade chain=srcnat out-interface=puente-internet src-address=\
192.168.99.0/24
/ip route
add dst-address=0.0.0.0/0 gateway=WG<NordVPN> routing-table=nordvpn
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/routing rule
add action=lookup-only-in-table disabled=no interface=vlan-nordvpn \
src-address=10.10.5.0/24 table=nordvpn
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Mikrotik
Cambiar la IP de origen a la que te da la interfaz wireguard. Normalmente no es necesario, pero en el caso de este proveedor VPN sí lo es, porque tú funcionas como un road warrior y ellos sólo permiten el tráfico de un origen (IP) concreto.

Saludos!
 
Cambiar la IP de origen a la que te da la interfaz wireguard. Normalmente no es necesario, pero en el caso de este proveedor VPN sí lo es, porque tú funcionas como un road warrior y ellos sólo permiten el tráfico de un origen (IP) concreto.

Saludos!
Vale muchas gracias, aclarado. Como puedo hacer eso? con una regla nat? porque mi lista wan existe pero creo que no hace nada.
 
Si vienes de una config por defecto, tu regla de NAT principal usará esa regla para aplicarle el masquerade por defecto. Será algo de este estilo:
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN

Saludos
 
Si vienes de una config por defecto, tu regla de NAT principal usará esa regla para aplicarle el masquerade por defecto. Será algo de este estilo:
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN

Saludos
Umm partí de configuración en blanco y a partir de ahí fui configurando, tengo una regla nat masquerade por cada subred que quiero que salga a internet.

Internet lo recibo en el ether1 desde un router vodafone, ether1 está en un bridge "puente-internet" el cual pongo como out-interface cuando hago masquerade.

No se como proceder con la configuración, lo que quiero lograr es una vlan (id=189) cuya subred salga entera por el gateway nordvpn.

[EDITO] Export eliminado

Muchas gracias por tu tiempo!
 
Última edición:
Aplica en ese caso una regla de masquerade a la subred de la vpn, o a lo que salga (out-interface=) por la interfaz wireguard.

Saludos!
 
Aplica en ese caso una regla de masquerade a la subred de la vpn, o a lo que salga (out-interface=) por la interfaz wireguard.

Saludos!
Buah brutal y yo complicandome como nadie, lo que es saber, ya funciona! tengo un ap unifi en el cual he creado un ssid que va a la vlan, todo lo que se conecte por a ese wifi sale por nordvpn, muchas gracias por tu ayuda!!


[EDITO] @pokoyo Resulta que puedo salir a internet si me conecto al wifi del unifi, pero si especifico la vlan en un adaptador ethernet me coge direccion por dhcp pero no puedo salir a internet... tampoco hace ping a la puerta de enlace. Me pasa en todas las vlans que necesitan tag. Dejo de nuevo el export por si ves puedes ver que me falta, gracias!

/interface bridge
add ingress-filtering=no name=puente-bar pvid=26 vlan-filtering=yes
add name=puente-internet
add ingress-filtering=no name=puente-vlans vlan-filtering=yes
/interface ethernet
set [ find default-name=ether2 ] comment=ether2 name=Unifi8
set [ find default-name=ether1 ] comment=ether1 name=Vodafone \
rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether3 ] comment=""
set [ find default-name=ether4 ] comment="TrueNAS Azotea"
set [ find default-name=ether5 ] comment=BAR
/interface eoip
add local-address=192.168.10.1 mac-address=02:04:7A:1F:C8:93 name=EoIP<Local> \
remote-address=192.168.10.2 tunnel-id=10
/interface wireguard
add listen-port=13231 mtu=1420 name=WG<Local>
add listen-port=50880 mtu=1420 name=WG<NordVPN>
/interface vlan
add interface=puente-bar name=vlan-camaras-bar vlan-id=26
add interface=puente-vlans name=vlan-invitados vlan-id=99
add interface=puente-vlans name=vlan-nordvpn vlan-id=189
add interface=puente-vlans name=vlan-piso vlan-id=1
add interface=puente-vlans name=vlan10 vlan-id=10
add interface=puente-vlans name=vlan20 vlan-id=20
add interface=puente-vlans name=vlan30 vlan-id=30
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
Profesor supplicant-identity=""
/ip pool
add name=pool-piso ranges=192.168.1.200-192.168.1.240
add name=dhcp-bar-camaras ranges=10.172.1.2-10.172.1.254
add name=pool-vlan10 ranges=192.168.10.2-192.168.10.254
add name=pool-vlan20 ranges=192.168.20.2-192.168.20.254
add name=pool-vlan30 ranges=192.168.30.2-192.168.30.254
add name=dhcp_pool10 ranges=192.168.99.2-192.168.99.254
add name=dhcp_pool12 ranges=10.10.5.10-10.10.5.200
/ip dhcp-server
add address-pool=pool-piso interface=vlan-piso name=dhcp-piso
add address-pool=dhcp-bar-camaras interface=vlan-camaras-bar name=\
dhcp-camaras
add address-pool=pool-vlan10 interface=vlan10 name=dhcp-server-vlan10
add address-pool=pool-vlan20 interface=vlan20 name=dhcp-server-vlan20
add address-pool=pool-vlan30 interface=vlan30 name=dhcp-server-vlan30
add address-pool=dhcp_pool10 interface=vlan-invitados name=dhcp1
add address-pool=dhcp_pool12 interface=vlan-nordvpn name=dhcp2
/routing table
add fib name=nordvpn
/interface bridge port
add bridge=puente-vlans interface=Unifi8
add bridge=puente-vlans interface=ether3
add bridge=puente-bar frame-types=admit-only-untagged-and-priority-tagged \
interface=ether5 pvid=26
add bridge=puente-vlans interface=ether4
add bridge=puente-internet interface=Vodafone
add bridge=puente-internet interface=EoIP<Local>
/interface bridge vlan
add bridge=puente-vlans tagged=puente-vlans vlan-ids=1
add bridge=puente-bar tagged=puente-bar vlan-ids=26
add bridge=puente-vlans tagged=puente-vlans,Unifi8 vlan-ids=99
add bridge=puente-vlans tagged=puente-vlans,Unifi8 vlan-ids=189
/interface list member
add interface=Vodafone list=WAN
add interface=WG<NordVPN> list=WAN
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=es189.nordvpn.com \
endpoint-port=51820 interface=WG<NordVPN> persistent-keepalive=25s \
public-key="IF1FGVSzrUznFVZ+dymIz+6bdlCgsuiT/d6cyapN8lw="
add allowed-address=0.0.0.0/0 interface=WG<Local> public-key=\
"ohRRMrd0fBceGW4ikef8TK4jNmXPMPMC1+EKvroI2Gw="
/ip address
add address=192.168.1.1/24 interface=vlan-piso network=192.168.1.0
add address=192.168.0.2/24 interface=Vodafone network=192.168.0.0
add address=10.172.1.1/24 interface=vlan-camaras-bar network=10.172.1.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
add address=192.168.99.1/24 interface=vlan-invitados network=192.168.99.0
add address=10.5.0.2/24 interface=WG<NordVPN> network=10.5.0.0
add address=192.168.10.1/24 interface=WG<Local> network=192.168.10.0
add address=10.10.5.1/24 interface=vlan-nordvpn network=10.10.5.0
/ip dhcp-client
add interface=puente-internet
/ip dhcp-server network
add address=10.10.5.0/24 dns-server=1.1.1.1 gateway=10.10.5.1
add address=10.172.1.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=10.172.1.1
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
add address=192.168.10.0/24 dns-server=1.1.1.1,8.8.8.8,8.8.4.4 gateway=\
192.168.10.1
add address=192.168.20.0/24 dns-server=1.1.1.1,8.8.8.8,8.8.4.4 gateway=\
192.168.20.1
add address=192.168.30.0/24 dns-server=1.1.1.1,8.8.8.8,8.8.4.4 gateway=\
192.168.30.1
add address=192.168.99.0/24 dns-server=1.1.1.1 gateway=192.168.99.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.5
/ip firewall filter
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=\
192.168.1.0/24
add action=drop chain=forward disabled=yes dst-address=192.168.1.0/24 \
src-address=10.172.1.0/24
add action=drop chain=forward disabled=yes dst-address=10.172.3.0/24 \
src-address=192.168.1.0/24
add action=drop chain=forward disabled=yes dst-address=192.168.1.0/24 \
src-address=192.168.99.0/24
add action=drop chain=forward disabled=yes dst-address=!129.250.35.250 \
out-interface=Vodafone src-address=10.172.1.253
/ip firewall nat
add action=masquerade chain=srcnat out-interface=puente-internet src-address=\
192.168.1.0/24
add action=masquerade chain=srcnat out-interface=puente-internet src-address=\
10.172.1.252
add action=masquerade chain=srcnat out-interface=puente-internet src-address=\
192.168.99.0/24
add action=masquerade chain=srcnat out-interface=WG<NordVPN> src-address=\
10.10.5.0/24
/ip route
add dst-address=0.0.0.0/0 gateway=WG<NordVPN> routing-table=nordvpn
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/routing rule
add action=lookup-only-in-table disabled=no interface=vlan-nordvpn \
src-address=10.10.5.0/24 table=nordvpn
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Mikrotik
 
Última edición:
Buenas noches, estoy intentando sacar una ip que tengo en una vlan por nordvpn y no me funciona el modo del ejemplo 1:
Código:
/routing rule
add action=lookup-only src-address=192.168.88.5/32 inteface=bridge table=nordvpn

ni tampoco el ejemplo del mangle. Creo que puede ser por la vlan que esta en un bridge con vlan-filtering y todo esta nateado con un masquerade al ether1.

Quziás podeáis echarme una mano, gracias.
 
Buenas noches, estoy intentando sacar una ip que tengo en una vlan por nordvpn y no me funciona el modo del ejemplo 1:
Código:
/routing rule
add action=lookup-only src-address=192.168.88.5/32 inteface=bridge table=nordvpn

ni tampoco el ejemplo del mangle. Creo que puede ser por la vlan que esta en un bridge con vlan-filtering y todo esta nateado con un masquerade al ether1.

Quziás podeáis echarme una mano, gracias.
Obviamente. Si la interface es una vlan, el “in-interface=bridge” es incorrecto, y sería dicha vlan la que habría que poner en su lugar como filtro. Lo mismo, pero con “in-interface=vlanX”

Saludos!
 
Obviamente. Si la interface es una vlan, el “in-interface=bridge” es incorrecto, y sería dicha vlan la que habría que poner en su lugar como filtro. Lo mismo, pero con “in-interface=vlanX”

Saludos!
Discúlpame que copie el ejemplo y no lo modifiqué aqui en el post, pero en el mikrotik ajusté el ejemplo con mi ip y mi interfaz pero la maquina que tiene esa ip se queda sin conectividad.
 
¿Tienes una ruta por defecto, asociada a dicha nueva tabla de rutas? Porque, aparte de la routing rule, tienes que crear la tabla y darle una salida.

Saludos!
 
¿Tienes una ruta por defecto, asociada a dicha nueva tabla de rutas? Porque, aparte de la routing rule, tienes que crear la tabla y darle una salida.

Saludos!

Tengo esto en las rutas:

Código:
add dst-address=0.0.0.0/0 gateway=WG<NordVPN> routing-table=nordvpn

Asi que creo que si, es decir la subnet me funciona bien salgo a internet por nordpvn, lo unico que no me funciona es la regla del firewall asociada a la ip.
 
Arriba