MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs

Creo que estaban bien, pero te paso el pantallazo. Los he vuelto a seleccionar y voy a reiniciar el equipo....

Reiniciado y lo mismo. :|
 

Adjuntos

  • nonono.jpg
    nonono.jpg
    444.1 KB · Visitas: 20
La CA la importas en el móvil? Pásame pantallazo del firewall filter también, que veamos que esté todo en orden.

Saludos!
 
La CA la importas en el móvil? Pásame pantallazo del firewall filter también, que veamos que esté todo en orden.

Saludos!
Sí, me envío los dos ficheros por correo electrónico y los importo. En la app aparece vpn-client-shinzonito CN=SHINZONITO-VPN-client-PC
y como CA certificate la selecciono manualmente SHINZONITO-VPN-CA ( la selecciono dentro del menú CA certificates de strongswan que hay tres opciones System, user e imported ( en esta última aparece SHINZONITO-VPN-CA).
 

Adjuntos

  • FIREWALL FINAL.jpg
    FIREWALL FINAL.jpg
    308.2 KB · Visitas: 18
Pues no veo nada más raro. El tema está relacionado con la identidad de los certificados. A ver si el compi @diamuxin se pasa por aquí y nos dice cómo lo ha hecho él, que lo tiene reciente. Sé que él lo configuro en un windows, en lugar de hacerlo en un Android, pero quizá le resalte a él alguna cosa que se nos pase, yo hace tiempo que no hago este setup. O quizá pueda probar a importar sus certificados en un Android y ver si le conecta o no.

Saludos!
 
Pues no veo nada más raro. El tema está relacionado con la identidad de los certificados. A ver si el compi @diamuxin se pasa por aquí y nos dice cómo lo ha hecho él, que lo tiene reciente. Sé que él lo configuro en un windows, en lugar de hacerlo en un Android, pero quizá le resalte a él alguna cosa que se nos pase, yo hace tiempo que no hago este setup. O quizá pueda probar a importar sus certificados en un Android y ver si le conecta o no.

Saludos!
A ver si nos puede decir algo. De todas formas también lo intentaré en el iPad a ver.... Gracias por la ayuda, pokoyo.

Enviado desde mi Mi 9T Pro mediante Tapatalk
 
Buenas noches,

Para comprobar que el otro día no me sonó la flauta por casualidad, he decidido borrar toda la información de los Certificados y con los comandos de @pokoyo volver a configurarlo todo, esto es, crear los certificados, firmarlos y descargarlos. Solo en Windows 10, porque en Android no lo he conseguido, no se si hay que crear otro Identity diferente o solo copy&paste y ponerle otro comentario, pero me deba error, ese no me corre tanta prisa porque voy siempre con el portátil encima jeje.

En el post anterior que hice: https://www.adslzone.net/foro/mikro...envpn-e-ikev2-vpns.498493/page-9#post-3522388 puse unas capturas que le puedes echar un vistazo de como lo hice, pero yo no creé ningún script para meterlo de golpe (prefiero ver los resultados paso a paso), sino que fui metiendo los comandos en el Terminal por bloques (copy-paste), por ejemplo:

Primero meto este bloque:

Código:
/certificate
add name=diax-ca-template common-name=VPN-CA subject-alt-name=DNS:mynetname.net\
days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign,digital-signature,key-encipherment,data-encipherment
add name=diax-server-template common-name=VPN-Server subject-alt-name=DNS:*.sn.mynetname.net\
days-valid=1825 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=diax-client-template common-name=VPN-Client-X subject-alt-name=email:clientX@xxxxxxxxxxxxx.sn.mynetname.net\
days-valid=730 key-size=2048 key-usage=tls-client

** En este primer bloque, solo he cambiado el email de VPN-Client-X por este: clientX@xxxxxxxxxxxxx.sn.mynetname.net porque otros usuarios comentaron que solucionaron algún problemilla así.

Luego metí este bloque:

Código:
/certificate
sign diax-ca-template name=vpn-ca
sign diax-server-template name=vpn-server ca=vpn-ca
sign diax-client-template name=vpn-client ca=vpn-ca

y finalmente este:

Código:
/certificate
export-certificate vpn-ca file-name=ca
export-certificate vpn-client type=pkcs12 export-passphrase="MyPasSwoRd" file-name=client

Con estos pasos, se generan los Certificados, se firman con la CA y se exportan a "Files" como ya sabes.

Solo quedaría terminar de configurar las Identidades, el Pool y el resto de configuraciones, pero metiéndolo línea a línea y vigilando el Log del MT para ver si sale alguna línea roja ;)

Código:
# Crear el nuevo pool para la VPN
/ip
pool add name=ikev2-pool ranges=192.168.66.10-192.168.66.20

# Damos de alta una nueva configuración para IKEv2
/ip ipsec
mode-config add address-pool=ikev2-pool address-prefix-length=32 name=ike2-config system-dns=yes

# Damos de alta la configuración de negociación entre pares
/ip ipsec
peer add exchange-mode=ike2 name=ike2-peer passive=yes

# Y por último damos el cliente que se va a conectar
# Habrá una entrada por cada cliente cada uno con su certificado individual
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=PC generate-policy=\
    port-strict match-by=certificate mode-config=ike2-config peer=ike2-peer remote-certificate=\
    vpn-client
add auth-method=digital-signature certificate=vpn-server comment=Android generate-policy=\
    port-strict match-by=certificate mode-config=ike2-config peer=ike2-peer remote-certificate=\
    vpn-client

# Permitir el tráfico de entrada al puerto 4500 y 500 para IPSec
# Esta entrada de firewall ya existirá si teníamos un L2TP/IPSec
/ip firewall filter
add chain=input protocol=udp dst-port=500,4500 comment="Allow IPSec"\
    place-before=[ find where comment~"defconf: drop all not coming from LAN" ]\
    action=accept

# Permitir el acceso a los equipos LAN para los clientes IKEv2 con tráfico encriptado
/ip firewall filter
add action=accept chain=input comment="accept vpn encrypted input traffic"\
    place-before=[ find where comment~"defconf: drop all not coming from LAN" ]\
    ipsec-policy=in,ipsec src-address=192.168.66.0/24

# Enmascarar el tráfico de la VPN. No aplica si hemos reusado un pool que ya lleve una entrada similar
/ip firewall nat
add action=masquerade chain=srcnat comment=masquerade-ovpn src-address=192.168.66.0/24

Luego en Windows 10 pues lo típico, creas la VPN y en nombre del servidor pones: clientX@xxxxxxxxxxxxx.sn.mynetname.net y en dirección del host: xxxxxxxxxxxxx.sn.mynetname.net
Tipo de VPN: IKEv2 Tipo de información de inicio de sesión: Certificado y palante!

Luego te vas a "cambiar opciones del adaptador" dentro de Redes e Internet - VPN - "en Menú del lado derecho", botón derecho sobre la conexión VPN que has creado y seleccionas "Propiedades", pestaña "Seguridad" y lo dejas como la imagen:

1613514680982.png


En cuanto a los dos Certificados, buscas en Windows (en barra de búsqueda) "Administrar certificados de equipo" e importas los certificados:

1.- En la carpeta "Personal-Certificados" importas el certificado client.p12 (ojo que con este fichero se van a importar el certificado de cliente y otro llamado VPN-CA ya que lo lleva anexo, éste último lo borras, debe quedar sólo el de cliente VPN-Client-X y ningún fichero más)
2.- En la carpeta "Entidades de certificación raíz de confianza-Certificados" importas el otro fichero ca.crt y se instala el certificado VPN-CA.

1613515364845.png

1613515395015.png


Finalmente te vas a la identity creada anteriormente y miras que quede así:

1613515564658.png


Una duda @pokoyo , para Android, ¿que tipo de Identity hay que crear? una igual que esa? creo haber leído que para un PC necesita una identidad y para Android hay que crear otra.. corrígeme si me equivoco.

Pues nada @SHINZONITO espero que te salga todo bien, vigila tu antivirus y firewall de Windows por si acaso.

S@lu2.
 
Lo único que se me ocurre es que para Android se esté validando el dominio completo, y no se trague el wildcard, teniendo que meter en el certificado de cliente el dominio completo, incluyendo el serial del equipo. Probad a ver si es eso.

Para meter otro cliente, basta con crear su certificado, formarlo y dar de alta el identity concreto. Puedes reusarlo, pero es preferible que cada cliente lleve su certificado asociado.

Saludos!
 
Lo único que se me ocurre es que para Android se esté validando el dominio completo, y no se trague el wildcard, teniendo que meter en el certificado de cliente el dominio completo, incluyendo el serial del equipo. Probad a ver si es eso.
Efectivamente era eso. **Connected** jeje

Hay que crear el certificado de Servidor sin el wildcard, esto es:

Código:
/certificate
add name=xxx-server-template common-name=VPN-Server subject-alt-name=DNS:xxxxxxxxxxxx.sn.mynetname.net\
days-valid=1825 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server

Así perfecto tanto en Windows 10 como en Android (strongswan)

myagJJ9hai.png
t1zOczxZJU.png
tUskwGHeoc.png


Gracias @pokoyo y también a @stargate4you ! por vuestra ayuda.
 
Última edición:
Efectivamente era eso. **Connected** jeje

Hay que crear el certificado de Servidor sin el wildcard, esto es:

Código:
add name=xxx-server-template common-name=VPN-Server subject-alt-name=DNS:xxxxxxxxxxxx.sn.mynetname.net\
days-valid=1825 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server

Así perfecto tanto en Windows 10 como en Android (strongswan)

Gracias @pokoyo y también a @stargate4you ! por vuestra ayuda.
Genial, se lo pasamos al compi @SHINZONITO para que lo aplique.

Compi, vuelve a crear el certificado cliente (crea un segundo certificado, no hace falta que borres todo) y después de la @ en el cn le pones el número de serie del equipo, quedando ago así:
Código:
add name=shinzonito-client-template common-name=SHINZONITO-VPN-Client-PC subject-alt-name=email:shinzonito-pc@xxxxxxxxxxx.sn.mynetname.net
Siendo esa xxxxxxxxxxxxxx el número de serie de tu equipo.

Saludos!
 
Genial, se lo pasamos al compi @SHINZONITO para que lo aplique.

Compi, vuelve a crear el certificado cliente (crea un segundo certificado, no hace falta que borres todo) y después de la @ en el cn le pones el número de serie del equipo, quedando ago así:
Código:
add name=shinzonito-client-template common-name=SHINZONITO-VPN-Client-PC subject-alt-name=email:shinzonito-pc@xxxxxxxxxxx.sn.mynetname.net
Siendo esa xxxxxxxxxxxxxx el número de serie de tu equipo.

Saludos!
En un rato lo hago.

Enviado desde mi Mi 9T Pro mediante Tapatalk
 
Yo creo que una imagen vale más que mil palabras. La pongo primero y luego comento:
 

Adjuntos

  • logadslzone.jpg
    logadslzone.jpg
    123.9 KB · Visitas: 25
Gracias a los que me habéis ayudado para conseguir que funcionase en Android. La verdad es que me estaba volviendo loco desde el sábado que empecé a intentar instalarla. Me decía ¿Pero cómo es posible que todo lo haya conseguido ir sacando sin demasiados problemas y esto no lo consiga ni a la de tres? Yo es que soy tonto o algo peor ;)

Lo que sí quisiera comentar es que, he intentado hacerlo en principio solamente creando el certificado cliente pero me seguía dando un error parecido por lo que he vuelto a instalar una configuración inicial que tenía en backup y a instalar el script completo. A pesar de eso..... me daba un error al finalizar el script "no such item". He vuelto a hacer el mismo proceso y ya ha llevado el script a término sin ningún error ( sin haber cambiado nada, es lo raro ). Lo mismo es que ya estaba volviendo al mikrotik loco y así ya ha dicho "venga, pesado, déjame en paz, ya lo tienes". Por lo menos ya hemos visto otra peculiaridad en Android. Ahora me pondré con el ipad, a ver si descubro otra cosa similar o es más sencillo, jejeje.



Repito, muchísimas gracias. (y)
 
Gracias a los que me habéis ayudado para conseguir que funcionase en Android. La verdad es que me estaba volviendo loco desde el sábado que empecé a intentar instalarla. Me decía ¿Pero cómo es posible que todo lo haya conseguido ir sacando sin demasiados problemas y esto no lo consiga ni a la de tres? Yo es que soy tonto o algo peor ;)

Lo que sí quisiera comentar es que, he intentado hacerlo en principio solamente creando el certificado cliente pero me seguía dando un error parecido por lo que he vuelto a instalar una configuración inicial que tenía en backup y a instalar el script completo. A pesar de eso..... me daba un error al finalizar el script "no such item". He vuelto a hacer el mismo proceso y ya ha llevado el script a término sin ningún error ( sin haber cambiado nada, es lo raro ). Lo mismo es que ya estaba volviendo al mikrotik loco y así ya ha dicho "venga, pesado, déjame en paz, ya lo tienes". Por lo menos ya hemos visto otra peculiaridad en Android. Ahora me pondré con el ipad, a ver si descubro otra cosa similar o es más sencillo, jejeje.



Repito, muchísimas gracias. (y)
El iPad es mucho más sencillo, lo único que tienes que tener en cuenta es seleccionar como método de autenticación de usuario = ninguno, y luego marcar el "usar certificado", para acabar seleccionando el que corresponde.

De cualquier forma, me alegro de que ya lo tengas funcionando. He hecho referencia a esto en el manual, por si a alguien le pasa lo mismo.

Saludos!
 
Buenos dias....Comento la historia a ver si alguien me da pistas...
Monte una VPN con Ikev2 sobre un mikrotik y todo ha estado funcionando ok. De la noche a la mañana con w10 es imposible conectar y cuando conecta no funciona Outlook2016, ni se actualiza el antivirus. Con el Iphone se conecta perfectamente, pero me da el mismo error el correo.
Ya he visto y reeleido los fallos de w10 con las actualizaciones que saco y sus parches correspondientes y no veo la solución.
Os agradeceria una ayudita
 
Buenos dias....Comento la historia a ver si alguien me da pistas...
Monte una VPN con Ikev2 sobre un mikrotik y todo ha estado funcionando ok. De la noche a la mañana con w10 es imposible conectar y cuando conecta no funciona Outlook2016, ni se actualiza el antivirus. Con el Iphone se conecta perfectamente, pero me da el mismo error el correo.
Ya he visto y reeleido los fallos de w10 con las actualizaciones que saco y sus parches correspondientes y no veo la solución.
Os agradeceria una ayudita
Supongo que se te habrá jodido la tabla de rutas y no tendrás salida a internet, ¿puede ser? Ni idea de cómo corregirlo, si en el iPhone va bien, en el otro debería ir igual.

Saludos!
 
Supongo que se te habrá jodido la tabla de rutas y no tendrás salida a internet, ¿puede ser? Ni idea de cómo corregirlo, si en el iPhone va bien, en el otro debería ir igual.

Saludos!
Gracias por la pronta respuesta, como siempre..
Cuando se conectaba a la VPN, tenia salida a internet, pero ko outlook, actualizacion del antivirus e Iexplorer, Chrome y Mozilla funcionaban. (esto es debido a una actualización de W10 que sacó Microsoft y jodio las VPN,s
Ahora despues de varios cambios, solo se conecta a las VPN tipo OpenVPN, pero los demás ( Ikev2, LPt2-Ipsec, etc) cero patatero.
Estoy actualizando W10 y voy a reiniciar el router Sercomm de Vodafone de ascquito que tengo en casa a ver por donde van los tiros.
 
Gracias por la pronta respuesta, como siempre..
Cuando se conectaba a la VPN, tenia salida a internet, pero ko outlook, actualizacion del antivirus e Iexplorer, Chrome y Mozilla funcionaban. (esto es debido a una actualización de W10 que sacó Microsoft y jodio las VPN,s
Ahora despues de varios cambios, solo se conecta a las VPN tipo OpenVPN, pero los demás ( Ikev2, LPt2-Ipsec, etc) cero patatero.
Estoy actualizando W10 y voy a reiniciar el router Sercomm de Vodafone de ascquito que tengo en casa a ver por donde van los tiros.
Mira si te ha instalado algún certificado de máquina esa actualización. Cuando hay más de un certificado y no tienes especificado cual va con la vpn, se te jode el invento. Mira en el almacén de certificados, a ver qué hay.

Saludos!
 
Mira si te ha instalado algún certificado de máquina esa actualización. Cuando hay más de un certificado y no tienes especificado cual va con la vpn, se te jode el invento. Mira en el almacén de certificados, a ver qué hay.

Saludos
Aleluya, no se me ocurrio, como siempre...que haria yo sin ti, jeje.
Te comento: despues de actualizar w10, ya se podian conectar las demás VPN, pero la del mikrotik Ikev2, no.
He mirado el almacen cde certificados y en efecto habia metido uno, lo elimino y ya conecta ok., pero al conectar me sale un enlace a la página: https://www.msftconnecttest.com:8081/redirect y sigue sin funcionar el correo ni iexplorer
 
Aleluya, no se me ocurrio, como siempre...que haria yo sin ti, jeje.
Te comento: despues de actualizar w10, ya se podian conectar las demás VPN, pero la del mikrotik Ikev2, no.
He mirado el almacen cde certificados y en efecto habia metido uno, lo elimino y ya conecta ok., pero al conectar me sale un enlace a la página: https://www.msftconnecttest.com:8081/redirect y sigue sin funcionar el correo ni iexplorer
Puff, averigua tú para qué narices será ese nuevo certificado... mírate por ahí en internet, que hay una manera de, vía comandos, decir qué certificado máquina va con qué, y así podrías tener ambos.

Saludos!
 
Hola,
He seguido el tutorial de IKEv2, y me conecta y funciona bien, lo uso con un cliente windows 10 pero me pasa una cosa rara, si me pongo a copiar un archivo grande a traves de la vpn, empieza a copiar y despues de unos 5 o 10 segundos se cae la velocidad a 0 y ya no funciona, lo curioso es sigue conectado, tengo que desconectar y conectar de nuevo.
En el log cuando se cae la velocidad salen muchos errores como este: ipsec,error no proposal chosen
photo_2021-03-05_02-09-03.jpg

En la imagen se ve todo lo que sale, el mismo error continuamente hasta que desconecto.

Tengo el mikrotik hEX conectado en modo bridge, junto al router de la compañia que es vodafone H500

En cambio si lo conecto por L2TP + IPSEC va perfectamente, puedo copiar lo que quiera, he probado a pasar un archivo de 3 gigas y perfecto, eso si, mas lento.
Con L2TP/IPSEC me copia el archivo a unos 12Mb/s
Y con IKEv2 va mas rapido, a unos 24 MB/s

Tengo la ultima version del mikrotik, la 6.48.1, y antes con la 6.48 lo mismo

Se os ocurre algo que pueda mirar?
 
Arriba