MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs

Algún lío tienes con la negociación del proposal, entre cliente y servidor. Supongo que te tocará jugar hasta encontrar una combinación que le guste al windows. De cualquier forma, mándame el export y lo miro, por si hubiera algo raro.

Saludos!
 
Algún lío tienes con la negociación del proposal, entre cliente y servidor. Supongo que te tocará jugar hasta encontrar una combinación que le guste al windows. De cualquier forma, mándame el export y lo miro, por si hubiera algo raro.

Saludos!

El proposal te refieres en Ipsec proposals? tengo un default creado:
image_2021-03-05_13-07-56.png


Ahi pruebo a hacer cambios a ver si mejora?

El export que te mando, de los cerificados?
 
Última edición:
mándame un export del equipo entero, que lo revise, por si tuvieras algo más raro. Hay que jugar con esa ventana, pero para tocar eso hace falta tocar más cosas, no te pongas aún a tocar a lo loco, que la puedes liar. Y guarda un backup tal y como lo tienes ahora mismo, por si las moscas.

Para el export completo, ejecuta en terminal /export hide-sensitive file=config y te exportará un fichero config.rsc a la carpeta Files, que luego podrás descargar. Ese fichero lo puedes comprimir y adjuntar aquí, o simplemente cambiarle la extensión a TXT y ya te dejará adjuntarlo.

Saludos!
 
mándame un export del equipo entero, que lo revise, por si tuvieras algo más raro. Hay que jugar con esa ventana, pero para tocar eso hace falta tocar más cosas, no te pongas aún a tocar a lo loco, que la puedes liar. Y guarda un backup tal y como lo tienes ahora mismo, por si las moscas.

Para el export completo, ejecuta en terminal /export hide-sensitive file=config y te exportará un fichero config.rsc a la carpeta Files, que luego podrás descargar. Ese fichero lo puedes comprimir y adjuntar aquí, o simplemente cambiarle la extensión a TXT y ya te dejará adjuntarlo.

Saludos!
Aqui te subo el export completo
Ya he hecho el backup por si acaso, pero tampoco pasa nada si lo tengo que resetear todo, ayer ya lo hice varias veces, jeje. De momento solo lo tengo de servidor vpn, como un equipo mas en la red, asi que la configuracion tiene poca cosa, montado el bridge y con ip estatica 192.168.0.2 (el router esta en la 1) y luego el servidor vpn, primero solo con IKEv2, y como fallaba luego le añadi L2TP/Ipsec para probar (L2TP va sin problemas). Por eso veras que hay dos pools creadas, estan siguiendo los tutoriales de L2TP e IKEv2, no quise cambiar nada por si acaso, jeje.

Saludos y gracias por los tutoriales, son geniales, es una maravilla y muy entreteido poder ir entendiendo estos fantasticos mikrotiks. :)
 

Adjuntos

  • config.rsc.txt
    2.1 KB · Visitas: 32
Aqui te subo el export completo
Ya he hecho el backup por si acaso, pero tampoco pasa nada si lo tengo que resetear todo, ayer ya lo hice varias veces, jeje. De momento solo lo tengo de servidor vpn, como un equipo mas en la red, asi que la configuracion tiene poca cosa, montado el bridge y con ip estatica 192.168.0.2 (el router esta en la 1) y luego el servidor vpn, primero solo con IKEv2, y como fallaba luego le añadi L2TP/Ipsec para probar (L2TP va sin problemas). Por eso veras que hay dos pools creadas, estan siguiendo los tutoriales de L2TP e IKEv2, no quise cambiar nada por si acaso, jeje.

Saludos y gracias por los tutoriales, son geniales, es una maravilla y muy entreteido poder ir entendiendo estos fantasticos mikrotiks. :)
Pues tienes una configuración que no he probado nunca, pero que sospecho que la está liando: usar IKEv2 sobre un router que no es router, sino bridge (tienes un router y un NAT por encima que manejan la IP pública, no está a nivel de mikrotik). Sé que L2TP funciona sin problema con ese tipo de configuración, pero sospecho que para montar IKEv2, vas a tener que jugar con la template de los "policies" y la IP pública/privada, puesto que ese router no la está manejando.

Por otro lado, entiendo que tienes tanto el puerto 4500 como el 500 abierto y mapeado a la IP de ese equipo, verdad?

Por curiosidad, qué te sale en la pestaña Installed SAs cuando conectas y navegas?

Saludos!
 
Pues tienes una configuración que no he probado nunca, pero que sospecho que la está liando: usar IKEv2 sobre un router que no es router, sino bridge (tienes un router y un NAT por encima que manejan la IP pública, no está a nivel de mikrotik). Sé que L2TP funciona sin problema con ese tipo de configuración, pero sospecho que para montar IKEv2, vas a tener que jugar con la template de los "policies" y la IP pública/privada, puesto que ese router no la está manejando.

Por otro lado, entiendo que tienes tanto el puerto 4500 como el 500 abierto y mapeado a la IP de ese equipo, verdad?

Por curiosidad, qué te sale en la pestaña Installed SAs cuando conectas y navegas?

Saludos!

Pues al parecer lo tengo ya funcionando bien :)
Tenias razon, el problema estaba en el proposal, me he puesto a probar y al cambiar el PFS Group de modp1024 (asi estaba por defecto) a none, ahora parece que funciona bien, antes fallaba al copiar archivos, creo que a partir de unas 200MB es cuando se bajaba a 0 MB/s y se paraba todo, ahora con este cambio copia todo, he pasado archivos de mas 3GB sin problemas y ya no salen errores en el log.

Muchas gracias por la ayuda, :love::love:
 
Pues al parecer lo tengo ya funcionando bien :)
Tenias razon, el problema estaba en el proposal, me he puesto a probar y al cambiar el PFS Group de modp1024 (asi estaba por defecto) a none, ahora parece que funciona bien, antes fallaba al copiar archivos, creo que a partir de unas 200MB es cuando se bajaba a 0 MB/s y se paraba todo, ahora con este cambio copia todo, he pasado archivos de mas 3GB sin problemas y ya no salen errores en el log.

Muchas gracias por la ayuda, :love::love:
Correcto, esa era la primera cosa a probar. Es pfs group hay veces que da guerra con ciertos clientes, en algunas webs recomiendan ponerlo a “none” para ganar compatibilidad.

Saludos!
 
Pues al parecer lo tengo ya funcionando bien :)
Tenias razon, el problema estaba en el proposal, me he puesto a probar y al cambiar el PFS Group de modp1024 (asi estaba por defecto) a none, ahora parece que funciona bien, antes fallaba al copiar archivos, creo que a partir de unas 200MB es cuando se bajaba a 0 MB/s y se paraba todo, ahora con este cambio copia todo, he pasado archivos de mas 3GB sin problemas y ya no salen errores en el log.

Muchas gracias por la ayuda, :love::love:
A mi me dio MUCHA guerra cuando lo puse hace meses con el Mac. Parecía cosa de brujas. A los 8 minutos, se caía la comunicación. Y es que al cabo de ese tiempo hay un "rekeying" y entonces toma, al volver a crear las SA's (security association) en fase 2, precisamente los valores del proposal. Pues bien, hay algunas implementaciones que tienen errores de interpretación, al parecer, las de Apple; y si el "proposal" de la fase 2 no corresponde con lo que espera de fase 1, tumba la comunicación, al no recrear las SA's. Me costó unos cuantos días de análisis y debug y estudiar en los foros, pero desde este verano me va de vicio, sin problemas, poniendo el pfsgroup=none tanto con el Mac, como con iPhone y W10.
 
A mi me dio MUCHA guerra cuando lo puse hace meses con el Mac. Parecía cosa de brujas. A los 8 minutos, se caía la comunicación. Y es que al cabo de ese tiempo hay un "rekeying" y entonces toma, al volver a crear las SA's (security association) en fase 2, precisamente los valores del proposal. Pues bien, hay algunas implementaciones que tienen errores de interpretación, al parecer, las de Apple; y si el "proposal" de la fase 2 no corresponde con lo que espera de fase 1, tumba la comunicación, al no recrear las SA's. Me costó unos cuantos días de análisis y debug y estudiar en los foros, pero desde este verano me va de vicio, sin problemas, poniendo el pfsgroup=none tanto con el Mac, como con iPhone y W10.
Pues nada, si funciona mejor con ese valor, lo comentamos en el manual. Así a nadie le pilla desprevenido para la próxima.

Saludos!
 
A mi me dio MUCHA guerra cuando lo puse hace meses con el Mac. Parecía cosa de brujas. A los 8 minutos, se caía la comunicación. Y es que al cabo de ese tiempo hay un "rekeying" y entonces toma, al volver a crear las SA's (security association) en fase 2, precisamente los valores del proposal. Pues bien, hay algunas implementaciones que tienen errores de interpretación, al parecer, las de Apple; y si el "proposal" de la fase 2 no corresponde con lo que espera de fase 1, tumba la comunicación, al no recrear las SA's. Me costó unos cuantos días de análisis y debug y estudiar en los foros, pero desde este verano me va de vicio, sin problemas, poniendo el pfsgroup=none tanto con el Mac, como con iPhone y W10.
Editado en el post original, y añadido como paso opcional.

Código:
# OPCIONAL: Para ganar compatibilidad, especialmente si tenemos errores en fase 2 con las SAs, 
# editamos el proposal por defecto y quitamos el modp1024 como grupo DH por defecto.
/ip ipsec proposal
set [ find default=yes ] pfs-group=none

Saludos!
 
Hola, tengo una preguntilla, sabeis si existe alguna aplicacion de terceros de cliente vpn para windows?
Es para no usar la propia de windows.
Es que estuve intentando conectar a la vpn IKEv2 desde un windows 7 y no funciona, si que consigo que conecte bien, pero luego no tengo conexion a la red, ni a internet ni a la red interna, no me hace ping a nada. Ya se que windows 7 esta ya obsoleto, pero bueno, igual si existe alguna app de terceros para que configure la vpn igual funciona.

Gracias
 
Puff, averigua tú para qué narices será ese nuevo certificado... mírate por ahí en internet, que hay una manera de, vía comandos, decir qué certificado máquina va con qué, y así podrías tener ambos.

Saludos!
Buenas...al final lo solucioné, te comento:

Internet Explorer comprueba el puerto 80 cuando intenta acceder a internet, en este caso al tener yo este puerto mapeado hacia un NAS que esta en la red del Mikrotik, fallaba ese procedimiento y me desviaba hacia la pagina que te comenté que es una verificación que hace.

Por su parte tenía también mapeado el puerto 993 hacia un servidor de correo que tenia también en este mismo NAS y al intentar recibir correo y estar conectado a la VPN los servidores de correo se intentaban autentificar contra el NAS, de ahí el fallo.

Todo lógico, pero no lo vi, porque me extrañaba que Chrome y Firefox, si funcionaran bien ( no usan esa comprobación previa del puerto 80).

Naturalmente tenia toda la red de la parte donde esta el Mikrotik accesible y con el enrutamiento a través del Mikrotik, de ahí el problema.
También decir que este fallo no seme daba con otros routers en el destino de la VPN, pero ninguno era con Ikev2 con certificados, tendría que comprobar si con una VPN con el Mikrotik de otro tipo (sin certificados) daría el mismo problema.

En fin, gracias, como siempre por tu ayuda maestro.
 
Buenas...al final lo solucioné, te comento:

Internet Explorer comprueba el puerto 80 cuando intenta acceder a internet, en este caso al tener yo este puerto mapeado hacia un NAS que esta en la red del Mikrotik, fallaba ese procedimiento y me desviaba hacia la pagina que te comenté que es una verificación que hace.

Por su parte tenía también mapeado el puerto 993 hacia un servidor de correo que tenia también en este mismo NAS y al intentar recibir correo y estar conectado a la VPN los servidores de correo se intentaban autentificar contra el NAS, de ahí el fallo.

Todo lógico, pero no lo vi, porque me extrañaba que Chrome y Firefox, si funcionaran bien ( no usan esa comprobación previa del puerto 80).

Naturalmente tenia toda la red de la parte donde esta el Mikrotik accesible y con el enrutamiento a través del Mikrotik, de ahí el problema.
También decir que este fallo no seme daba con otros routers en el destino de la VPN, pero ninguno era con Ikev2 con certificados, tendría que comprobar si con una VPN con el Mikrotik de otro tipo (sin certificados) daría el mismo problema.

En fin, gracias, como siempre por tu ayuda maestro.
De nada majo, misterio resuelto. Esa rea fea de ver.

Saludos!
 
Tengo la VPN configurada y el cliente conectado en remoto, pero no llego a la LAN del mikrotik.

El cliente VPN de windows no añade ninguna ruta a la LAN cuando levanta la VPN... eso es normal?
 
Tengo la VPN configurada y el cliente conectado en remoto, pero no llego a la LAN del mikrotik.

El cliente VPN de windows no añade ninguna ruta a la LAN cuando levanta la VPN... eso es normal?
export, please.
 
No veo nada raro. Cuando dices, "no llego a la LAN del mikrotik", significa que no puedes hacerle un ping por ejemplo a otro equipo de la red 192.168.200.1/24 de la red principal, o que no llegas a propio router?

Saludos!
 
No llego al router... pero creo que el problema está en el cliente... No tengo ninguna ruta al 192.168.200.0/24. Cuando levanta la VPN no debería añadir esa ruta?
 
En IP -> Service tienes un gazapo. Tienes restringido el acceso únicamente a winbox a la 192.168.200.0/25, cuando debería ser /24. Además, si quieres acceder cuando estás en VPN, debería meter también el segmento de red del pool vpn, 192.168.201.0/24

Mira a ver si es esa chorrada.

Saludos!
 
En IP -> Service tienes un gazapo. Tienes restringido el acceso únicamente a winbox a la 192.168.200.0/25, cuando debería ser /24. Además, si quieres acceder cuando estás en VPN, debería meter también el segmento de red del pool vpn, 192.168.201.0/24

Mira a ver si es esa chorrada.

Saludos!
Pero no debería influenciar que no tenga ping a nada en la 192.168.200.0/25

Es raro...
 
No, claro que no. Por eso te preguntaba si el problema es que no llegas al router o a ningún elemento de tu red LAN, porque no es lo mismo. Mientras que no llegar a un elemento de tu red LAN es síntoma de un problema de firewall en el chain de forward, no llegar al propio router cuando estás conectado a la VPN suele ser síntoma de un problema firewall en el chain de input.

Saludos!
 
Arriba