MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs

No, claro que no. Por eso te preguntaba si el problema es que no llegas al router o a ningún elemento de tu red LAN, porque no es lo mismo. Mientras que no llegar a un elemento de tu red LAN es síntoma de un problema de firewall en el chain de forward, no llegar al propio router cuando estás conectado a la VPN suele ser síntoma de un problema firewall en el chain de input.

Saludos!
Fíjate si tienes alguna restricción en el usuario con el que accedes. mira en /sistema users y fíjate si en los usuarios con que pretendes acceder hay puestas direcciones concretas. Si has puesto limitacion al “admin“ o como lo llames. Es un despiste común.
 
Fíjate si tienes alguna restricción en el usuario con el que accedes. mira en /sistema users y fíjate si en los usuarios con que pretendes acceder hay puestas direcciones concretas. Si has puesto limitacion al “admin“ o como lo llames. Es un despiste común.
Creo recordar que no tengo users para la vpn ike... como mucho el identity, no?
 
pregunta de niñato total... pero como se revisan y filtran lo logs del FW en los mikrotik...
 
Como tal no hay filtros, que yo sepa. Pero puedes conectar el router como a un colector SNMP y volcarle allí los logs, por si tienes otra herramienta o equipo donde se puedan visualizar mejor y filtrar.

Saludos!
 
Hola a todos!. Ante todo agradecer a @pokoyo el enorme trabajo que viene realizando a la hora de ayudarnos a mejorar con estos cacharros.
Por otro lado, he intentado ponerlo en marcha varias veces, revisando letra a letra todos los comandos y me doy por vencido. No consigo ver ni encontrar lo que estoy haciendo mal para que, encima, las pruebas que hago cada una me dé un resultado.
Uno de los teléfonos consigue que se le asigne IP según el log, pero finalmente el IOS me dice que fallo de autenticación de usuario.
Y otro teléfono, con los mismos pasos, me da "an unexpected error ocurred" en el teléfono y el log me dice "identity not found for server:server.sn.mynetname.net peer: RFC822: Cliente-X@xxxxxxxxxxxx.sn.mynetname.net"
Y ya no sé por dónde tirar.
¿Me podríais echar una manita?
Muchas gracias
 
Claro. Me da que tu problema son los certificados. Pásame el detalle de cómo los has creado y te digo. Por cierto, tienes un nuevo manual donde afino aún más la configuración de IKEv2, por si lo quieres ver ahí:


Saludos!
 
Te paso cómo se generarían los certifiados, considerando que tu IP -> Cloud es la que se especifica a continuación. Importante, respeta el wildcard (asterisco) en el certificado de servidor
Código:
###
### Supongamos IP -> Cloud = f4430d9x7320.sn.mynetname.net
###

# Creaccion de los certificados
# Primero la CA
/certificate
add name=vpn-ca country=ES state=Tabarnia locality=Rivendel organization="Perico Palotes LTD"\
common-name="VPN CA" subject-alt-name=DNS:mynetname.net key-size=2048 days-valid=3650 trusted=yes\
key-usage=digital-signature,key-encipherment,data-encipherment,key-cert-sign,crl-sign

# Luego el certificado del servidor
add name=vpn-server country=ES state=Tabarnia locality=Rivendel organization=Perico Palotes LTD" unit=VPN\
common-name="VPN Server" subject-alt-name=DNS:*.sn.mynetname.net key-size=2048 days-valid=1825\
key-usage=tls-server,key-encipherment,digital-signature

# Por ultimo una template para crear certificados cliente
add name=~vpn-client-template country=ES state=Tabarnia locality=Rivendel organization=Perico Palotes LTD"\
common-name="VPN Client XXX" subject-alt-name=email:xxx@f4430d9x7320.sn.mynetname.net key-size=2048\
days-valid=730 key-usage=tls-client

#Y los certificados de tipo cliente, copia de la template
add copy-from=~vpn-client-template name=vpn-client-mobile common-name="VPN Client Mobile"\
subject-alt-name=email:mobile@f4430d9x7320.sn.mynetname.net
add copy-from=~vpn-client-template name=vpn-client-iphone common-name="VPN Client iPhone"\
subject-alt-name=email:iphone@f4430d9x7320.sn.mynetname.net

# Los firmamos
/certificate
sign vpn-ca
{:delay 5};
sign vpn-server ca=vpn-ca
sign vpn-client-mobile ca=vpn-ca
sign vpn-client-iphone ca=vpn-ca

# Exportar la CA y los certificados cliente
/certificate
export-certificate vpn-ca file-name=ca
export-certificate vpn-client-mobile type=pkcs12 export-passphrase="MySuperVPN!" file-name=mobile
export-certificate vpn-client-iphone type=pkcs12 export-passphrase="MySuperVPN!" file-name=iphone

Saludos!
 
Te paso cómo se generarían los certifiados, considerando que tu IP -> Cloud es la que se especifica a continuación. Importante, respeta el wildcard (asterisco) en el certificado de servidor
Código:
###
### Supongamos IP -> Cloud = f4430d9x7320.sn.mynetname.net
###

# Creaccion de los certificados
# Primero la CA
/certificate
add name=vpn-ca country=ES state=Tabarnia locality=Rivendel organization="Perico Palotes LTD"\
common-name="VPN CA" subject-alt-name=DNS:mynetname.net key-size=2048 days-valid=3650 trusted=yes\
key-usage=digital-signature,key-encipherment,data-encipherment,key-cert-sign,crl-sign

# Luego el certificado del servidor
add name=vpn-server country=ES state=Tabarnia locality=Rivendel organization=Perico Palotes LTD" unit=VPN\
common-name="VPN Server" subject-alt-name=DNS:*.sn.mynetname.net key-size=2048 days-valid=1825\
key-usage=tls-server,key-encipherment,digital-signature

# Por ultimo una template para crear certificados cliente
add name=~vpn-client-template country=ES state=Tabarnia locality=Rivendel organization=Perico Palotes LTD"\
common-name="VPN Client XXX" subject-alt-name=email:xxx@f4430d9x7320.sn.mynetname.net key-size=2048\
days-valid=730 key-usage=tls-client

#Y los certificados de tipo cliente, copia de la template
add copy-from=~vpn-client-template name=vpn-client-mobile common-name="VPN Client Mobile"\
subject-alt-name=email:mobile@f4430d9x7320.sn.mynetname.net
add copy-from=~vpn-client-template name=vpn-client-iphone common-name="VPN Client iPhone"\
subject-alt-name=email:iphone@f4430d9x7320.sn.mynetname.net

# Los firmamos
/certificate
sign vpn-ca
{:delay 5};
sign vpn-server ca=vpn-ca
sign vpn-client-mobile ca=vpn-ca
sign vpn-client-iphone ca=vpn-ca

# Exportar la CA y los certificados cliente
/certificate
export-certificate vpn-ca file-name=ca
export-certificate vpn-client-mobile type=pkcs12 export-passphrase="MySuperVPN!" file-name=mobile
export-certificate vpn-client-iphone type=pkcs12 export-passphrase="MySuperVPN!" file-name=iphone

Saludos!
Ahí está el error!!!. no respeté el * en el certificado del servidor. Puse el f4430d9x7320.
Muchas gracias @pokoyo.
Seguiré el nuevo manual que has puesto.
Muchas gracias de nuevo
 
Ahí está el error!!!. no respeté el * en el certificado del servidor. Puse el f4430d9x7320.
Muchas gracias @pokoyo.
Seguiré el nuevo manual que has puesto.
Muchas gracias de nuevo
No hay problema. Si pones eso en el del servidor, simplemente asegúrate de que en el remote id metes eso mismo cuando lo configures en el iPhone.

Saludos!
 
Arriba