MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs

furny · 17 Marzo 2021

pokoyo dijo:
No, claro que no. Por eso te preguntaba si el problema es que no llegas al router o a ningún elemento de tu red LAN, porque no es lo mismo. Mientras que no llegar a un elemento de tu red LAN es síntoma de un problema de firewall en el chain de forward, no llegar al propio router cuando estás conectado a la VPN suele ser síntoma de un problema firewall en el chain de input.

Saludos!

Fíjate si tienes alguna restricción en el usuario con el que accedes. mira en /sistema users y fíjate si en los usuarios con que pretendes acceder hay puestas direcciones concretas. Si has puesto limitacion al “admin“ o como lo llames. Es un despiste común.

vdias · 17 Marzo 2021

furny dijo:
Fíjate si tienes alguna restricción en el usuario con el que accedes. mira en /sistema users y fíjate si en los usuarios con que pretendes acceder hay puestas direcciones concretas. Si has puesto limitacion al “admin“ o como lo llames. Es un despiste común.

Creo recordar que no tengo users para la vpn ike... como mucho el identity, no?

vdias · 17 Marzo 2021

pregunta de niñato total... pero como se revisan y filtran lo logs del FW en los mikrotik...

pokoyo · 17 Marzo 2021

Como tal no hay filtros, que yo sepa. Pero puedes conectar el router como a un colector SNMP y volcarle allí los logs, por si tienes otra herramienta o equipo donde se puedan visualizar mejor y filtrar.

Saludos!

Armagg · 8 Abril 2021

Hola a todos!. Ante todo agradecer a @pokoyo el enorme trabajo que viene realizando a la hora de ayudarnos a mejorar con estos cacharros.
Por otro lado, he intentado ponerlo en marcha varias veces, revisando letra a letra todos los comandos y me doy por vencido. No consigo ver ni encontrar lo que estoy haciendo mal para que, encima, las pruebas que hago cada una me dé un resultado.
Uno de los teléfonos consigue que se le asigne IP según el log, pero finalmente el IOS me dice que fallo de autenticación de usuario.
Y otro teléfono, con los mismos pasos, me da "an unexpected error ocurred" en el teléfono y el log me dice "identity not found for server:server.sn.mynetname.net peer: RFC822: Cliente-X@xxxxxxxxxxxx.sn.mynetname.net"
Y ya no sé por dónde tirar.
¿Me podríais echar una manita?
Muchas gracias

pokoyo · 8 Abril 2021

Claro. Me da que tu problema son los certificados. Pásame el detalle de cómo los has creado y te digo. Por cierto, tienes un nuevo manual donde afino aún más la configuración de IKEv2, por si lo quieres ver ahí:

MANUAL: Mikrotik, IKEv2 VPN a fondo | Mikrotik

Introducción Hoy os vengo a traer una evolución (o directamente sustitución) del manual para montar una VPN de tipo IKEv2. Después de probar más a.... Participa en este hilo del foro de MANUAL: Mikrotik, IKEv2 VPN a fondo

www.adslzone.net

Saludos!

pokoyo · 8 Abril 2021

Te paso cómo se generarían los certifiados, considerando que tu IP -> Cloud es la que se especifica a continuación. Importante, respeta el wildcard (asterisco) en el certificado de servidor

Código:

###
### Supongamos IP -> Cloud = f4430d9x7320.sn.mynetname.net
###

# Creaccion de los certificados
# Primero la CA
/certificate
add name=vpn-ca country=ES state=Tabarnia locality=Rivendel organization="Perico Palotes LTD"\
common-name="VPN CA" subject-alt-name=DNS:mynetname.net key-size=2048 days-valid=3650 trusted=yes\
key-usage=digital-signature,key-encipherment,data-encipherment,key-cert-sign,crl-sign

# Luego el certificado del servidor
add name=vpn-server country=ES state=Tabarnia locality=Rivendel organization=Perico Palotes LTD" unit=VPN\
common-name="VPN Server" subject-alt-name=DNS:*.sn.mynetname.net key-size=2048 days-valid=1825\
key-usage=tls-server,key-encipherment,digital-signature

# Por ultimo una template para crear certificados cliente
add name=~vpn-client-template country=ES state=Tabarnia locality=Rivendel organization=Perico Palotes LTD"\
common-name="VPN Client XXX" subject-alt-name=email:xxx@f4430d9x7320.sn.mynetname.net key-size=2048\
days-valid=730 key-usage=tls-client

#Y los certificados de tipo cliente, copia de la template
add copy-from=~vpn-client-template name=vpn-client-mobile common-name="VPN Client Mobile"\
subject-alt-name=email:mobile@f4430d9x7320.sn.mynetname.net
add copy-from=~vpn-client-template name=vpn-client-iphone common-name="VPN Client iPhone"\
subject-alt-name=email:iphone@f4430d9x7320.sn.mynetname.net

# Los firmamos
/certificate
sign vpn-ca
{:delay 5};
sign vpn-server ca=vpn-ca
sign vpn-client-mobile ca=vpn-ca
sign vpn-client-iphone ca=vpn-ca

# Exportar la CA y los certificados cliente
/certificate
export-certificate vpn-ca file-name=ca
export-certificate vpn-client-mobile type=pkcs12 export-passphrase="MySuperVPN!" file-name=mobile
export-certificate vpn-client-iphone type=pkcs12 export-passphrase="MySuperVPN!" file-name=iphone

Saludos!

Armagg · 8 Abril 2021

pokoyo dijo:

Te paso cómo se generarían los certifiados, considerando que tu IP -> Cloud es la que se especifica a continuación. Importante, respeta el wildcard (asterisco) en el certificado de servidor

Código:

###
### Supongamos IP -> Cloud = f4430d9x7320.sn.mynetname.net
###

# Creaccion de los certificados
# Primero la CA
/certificate
add name=vpn-ca country=ES state=Tabarnia locality=Rivendel organization="Perico Palotes LTD"\
common-name="VPN CA" subject-alt-name=DNS:mynetname.net key-size=2048 days-valid=3650 trusted=yes\
key-usage=digital-signature,key-encipherment,data-encipherment,key-cert-sign,crl-sign

# Luego el certificado del servidor
add name=vpn-server country=ES state=Tabarnia locality=Rivendel organization=Perico Palotes LTD" unit=VPN\
common-name="VPN Server" subject-alt-name=DNS:*.sn.mynetname.net key-size=2048 days-valid=1825\
key-usage=tls-server,key-encipherment,digital-signature

# Por ultimo una template para crear certificados cliente
add name=~vpn-client-template country=ES state=Tabarnia locality=Rivendel organization=Perico Palotes LTD"\
common-name="VPN Client XXX" subject-alt-name=email:xxx@f4430d9x7320.sn.mynetname.net key-size=2048\
days-valid=730 key-usage=tls-client

#Y los certificados de tipo cliente, copia de la template
add copy-from=~vpn-client-template name=vpn-client-mobile common-name="VPN Client Mobile"\
subject-alt-name=email:mobile@f4430d9x7320.sn.mynetname.net
add copy-from=~vpn-client-template name=vpn-client-iphone common-name="VPN Client iPhone"\
subject-alt-name=email:iphone@f4430d9x7320.sn.mynetname.net

# Los firmamos
/certificate
sign vpn-ca
{:delay 5};
sign vpn-server ca=vpn-ca
sign vpn-client-mobile ca=vpn-ca
sign vpn-client-iphone ca=vpn-ca

# Exportar la CA y los certificados cliente
/certificate
export-certificate vpn-ca file-name=ca
export-certificate vpn-client-mobile type=pkcs12 export-passphrase="MySuperVPN!" file-name=mobile
export-certificate vpn-client-iphone type=pkcs12 export-passphrase="MySuperVPN!" file-name=iphone

Saludos!

Ahí está el error!!!. no respeté el * en el certificado del servidor. Puse el f4430d9x7320.
Muchas gracias @pokoyo.
Seguiré el nuevo manual que has puesto.
Muchas gracias de nuevo

pokoyo · 8 Abril 2021

Armagg dijo:
Ahí está el error!!!. no respeté el * en el certificado del servidor. Puse el f4430d9x7320.
Muchas gracias @pokoyo.
Seguiré el nuevo manual que has puesto.
Muchas gracias de nuevo

No hay problema. Si pones eso en el del servidor, simplemente asegúrate de que en el remote id metes eso mismo cuando lo configures en el iPhone.

Saludos!

Armagg · 9 Abril 2021

Hola de nuevo.
Pues ya está, todo funcionando.
Muchas gracias @pokoyo por todo!

MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs

furny

Usuari@ ADSLzone

vdias

Usuari@ ADSLzone

vdias

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

Armagg

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

MANUAL: Mikrotik, IKEv2 VPN a fondo | Mikrotik

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

Armagg

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

Armagg

Usuari@ ADSLzone

Similar threads