MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs

Hola @pokoyo
Darte las gracias por la ayuda que me prestaste la última vez y el gran aporte que haces a este mundillo de Mikrotik.
Comentarte que la última vez me quedé en que se consiguieran conectar los dispositivos y ahí me quedé.
El caso es que hoy ha hecho falta y veo que no me funciona, que no salgo fuera.
He mirado y remirado y ya no sé dónde demonios tocar......
¿Podrías echarme una mano, por favor?
Gracias
Te adjunto directamente el fichero.
 

Adjuntos

  • BackArmagg.rsc.txt
    23.7 KB · Visitas: 192
Armagg dijo:
Hola @pokoyo
Darte las gracias por la ayuda que me prestaste la última vez y el gran aporte que haces a este mundillo de Mikrotik.
Comentarte que la última vez me quedé en que se consiguieran conectar los dispositivos y ahí me quedé.
El caso es que hoy ha hecho falta y veo que no me funciona, que no salgo fuera.
He mirado y remirado y ya no sé dónde demonios tocar......
¿Podrías echarme una mano, por favor?
Gracias
Te adjunto directamente el fichero.
Haz clic para expandir...
Como no me refresques un poco la memoria... lo último que tengo tuyo es que estabas montado una vpn y te funcionaba.

By the way, esa configuración no hay dios que se la lea. Te recomiendo trabajarla un poco y simplificarla.

Saludos!
 
pokoyo dijo:
Como no me refresques un poco la memoria... lo último que tengo tuyo es que estabas montado una vpn y te funcionaba.

By the way, esa configuración no hay dios que se la lea. Te recomiendo trabajarla un poco y simplificarla.

Saludos!
Haz clic para expandir...
Sí me funcionaba, que se conectaba, y por el log veía que iba todo bien, pero no me puse a navegar con ella.
Hoy cuando ha hecho falta es cuando he visto que no funcionaba y que no navegaba.
Simplifico la configuración. Disculpa por lo que te he mandado.
 

Adjuntos

  • BackArmagg.rsc.txt
    13.3 KB · Visitas: 151
Tienes el firewall y el NAT hecho unos zorros, no me extraña que no navegues con la VPN.
Además de otra tanta configuración extraña repartida por el equipo, como el proxy-arp en el bridge o los puertos limitados a 100Mbps, masquerades extraños para las VPN, reglas en el chain de input para los puertos de navegación y el DNS, etc etc, etc.

Haz un backup de esa config y empieza de nuevo, partiendo de la configuración por defecto del mikrotik recién reseteado. Créeme que vas a tardar menos que intentando arreglar eso. Para ese equipo, recién reseteado, aplica:
- La configuración de triple vlan de movistar, la que monta dos bridges.
- el protocol-mode=none en el bridge principal, y nada más.
- A nivel de firewall, y para esa configuración en concreto: aceptar el tráfico en input para la vlan 2 y 3 y el masquerade de las mismas. Y nada más, el resto, ni tocarlo. Con una única regla de NAT, la que viene por defecto, navegas tanto tú como la VPN IKEv2; sin tocar nada más.
- Crea los certificados y la configuración de IKEv2. Y prueba.
...
- De aquí para adelante, bajo tu responsabilidad.

Saludos!
 
Gracias @pokoyo, supuse que me dirías esto, es una configuración antigua que se ha intentando adaptar.
Lo que si me extraña es lo de los puertos. Lo he mirado y he podido comprobar que el rate están a 1G pero hago el backup y me salen a 100Mb. Si estuvieran así todos los puertos realmente lo notaría en el rendimiento, no?
 
Armagg dijo:
Gracias @pokoyo, supuse que me dirías esto, es una configuración antigua que se ha intentando adaptar.
Lo que si me extraña es lo de los puertos. Lo he mirado y he podido comprobar que el rate están a 1G pero hago el backup y me salen a 100Mb. Si estuvieran así todos los puertos realmente lo notaría en el rendimiento, no?
Haz clic para expandir...
Sí, me da que a eso no le está haciendo demasiado caso, puesto que luego los metes en un bridge. Pero me da que tienes muchos restos de configuraciones muy antiguas, de cuando no había ni bridges y existían el master/slave ports.

Te recomendaría empezar desde cero e ir metiendo poco a poco la configuración. Recuerda siempre esta regla: menos es más, cuando menos configuración tengas y más limpita esté, mejor.

Saludos!
 
pokoyo dijo:
Sí, me da que a eso no le está haciendo demasiado caso, puesto que luego los metes en un bridge. Pero me da que tienes muchos restos de configuraciones muy antiguas, de cuando no había ni bridges y existían el master/slave ports.

Te recomendaría empezar desde cero e ir metiendo poco a poco la configuración. Recuerda siempre esta regla: menos es más, cuando menos configuración tengas y más limpita esté, mejor.

Saludos!
Haz clic para expandir...
Pues sí, es de esa época.
Me voy a poner a ello. Y a ver si consigo que la TV no se escacharre mucho ya que yo no tengo los descodificadores al mikrotik. Todos están debajo de dos switch. El principal que reparte a la casa y luego el de cada habitación.
 
Armagg dijo:
Pues sí, es de esa época.
Me voy a poner a ello. Y a ver si consigo que la TV no se escacharre mucho ya que yo no tengo los descodificadores al mikrotik. Todos están debajo de dos switch. El principal que reparte a la casa y luego el de cada habitación.
Haz clic para expandir...
Si tienes opción, lo suyo sería manejar dos bridges, uno con el tráfico normal de la lan y otro con el tráfico IPTV. Pero, si los descos los tienes en switches que también necesitan sacar la red local normal, en ese caso no te queda otra que despedirte del hardware offloading y usar un único bridge con el igmp-snooping activado y sin hardware offloading.

Saludos!
 
pokoyo dijo:
Si tienes opción, lo suyo sería manejar dos bridges, uno con el tráfico normal de la lan y otro con el tráfico IPTV. Pero, si los descos los tienes en switches que también necesitan sacar la red local normal, en ese caso no te queda otra que despedirte del hardware offloading y usar un único bridge con el igmp-snooping activado y sin hardware offloading.

Saludos!
Haz clic para expandir...
Gracias por todo @pokoyo
 
La pelea entre ikev2 y windows 10 me va a volver loco... esta todo ok y se conecta sin problemas, pero a cada 15/20 min con actividad o no se cae la conexión.
 
vdias dijo:
La pelea entre ikev2 y windows 10 me va a volver loco... esta todo ok y se conecta sin problemas, pero a cada 15/20 min con actividad o no se cae la conexión.
Haz clic para expandir...
Mira este manual. Concretamente, actualiza el proposal con lifetime=8h y pfs-group=none

Saludos!
 
Hola
Tengo una VPN OpenVPN entre 2 Mikrotiks
El ping entre las 2 IP publicas es estable con una media de 11ms
El ping a la IP del servidor OPNV es de 34ms de media, pero en muy inestable con picos de 152ms
Cualquier VPN que haga (SSTP, L2TP, IP, gre) tengo estas fluctuaciones
Los routers que tengo son un CCR1016-12G como servidor y un hap mini como cliente
En la imagen, el ping de la izquierda es a la IP pública del servidor, en el centro es el ping a IP del servidor OPVN y en la derecha en el profile del hap mini.
¿Puede ser un problema de configuración?

1624290834465.png
 
No sabría decirte, pero diría que no, que no es un problema. Tengo prácticamente el mismo resultado con entre un 4011 y un hAP-ac2, unidos entre sí por IKEv2

1624293306694.png


Saludos!
 
Hola! Necesito vuestro review, por favor. No consigo encontrar qué hago mal, me he leído todos las respuestas de este thread pero no encuentro el fallo...

Vengo de instalar vpn IPSEC/L2TP en un mikrotik hap ac2 y ahora estoy intentando el IKEv2 en el hap ac3 que acabo de adquirir. El cliente lo estoy configurando en un ipad porque tengo entendido que Apple maneja mejor todo esto. Uso un wifi ap creado en el móvil.

Esto es mi script que, salvo fallo, es básicamente lo mismo que el tutorial

Código: 
/certificate
add name=hola-ca-template common-name=VPN-CA subject-alt-name=DNS:mynetname.net days-valid=999 key-size=2048 key-usage=crl-sign,key-cert-sign,digital-signature,key-encipherment,data-encipherment
add name=hola-server-template common-name=VPN-Server subject-alt-name=DNS:*.sn.mynetname.net days-valid=1825 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=hola-client-template common-name=VPN-Client-X subject-alt-name=email:mellamolola@z2a3a4a5a6j7.sn.mynetname.net days-valid=9999 key-size=2048 key-usage=tls-client
sign hola-ca-template name=vpn-ca

sign hola-server-template name=vpn-server ca=vpn-ca
sign hola-client-template name=vpn-client ca=vpn-ca
export-certificate vpn-ca file-name=ca
export-certificate vpn-client type=pkcs12 export-passphrase="lolaLOLITA!" file-name=client
/ip
pool add name=ikev2-pool ranges=192.168.66.10-192.168.66.20
/ip ipsec
mode-config add address-pool=ikev2-pool address-prefix-length=32 name=ike2-config system-dns=yes
/ip ipsec
peer add exchange-mode=ike2 name=ike2-peer passive=yes
/ip ipsec proposal
set [ find default=yes ] pfs-group=none
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=EquipoX generate-policy=port-strict match-by=certificate mode-config=ike2-config peer=ike2-peer remote-certificate=vpn-client
/ip firewall filter
add chain=input protocol=udp dst-port=500,4500 comment="Allow IPSec" place-before=[ find where comment~"defconf: drop all not coming from LAN" ] action=accept
/ip firewall filter
add action=accept chain=input comment="accept vpn encrypted input traffic" place-before=[ find where comment~"defconf: drop all not coming from LAN" ] ipsec-policy=in,ipsec src-address=192.168.66.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment=masquerade-ovpn src-address=192.168.66.0/24

Esta es mi configuración en el Ipad

1628294846987.png


Previamente, instalo certificado CA y le doy a que confie en él y luego instalo el certificado client

Y esto es lo que dice el log cuando me intento conectar

1628295079309.png


¿Alguna idea de qué puede ser?
 
Última edición:
Tienes dos cosas mal. La primera y menos importante es que el identity remoto no hace falta que te lo inventes. No pongas “server.sn.mynetname.net”, sino tu dominio cloud ddns real. Es decir, tanto en el campo Server, como en el campo Remote ID, pon el mismo valor, el de tu dominio real.

No obstante no te está fallando por eso, sino por el tipo de autenticación. El “User Authentication” no es “Certificate”, sino “None” y luego seleccionas el certificado cliente, tras habilitar el flag "Use certificate". Es decir, tal que así:

1628317911231.png


Saludos!
 
pokoyo dijo:
Tienes dos cosas mal. La primera y menos importante es que el identity remoto no hace falta que te lo inventes. No pongas “server.sn.mynetname.net”, sino tu dominio cloud ddns real. Es decir, tanto en el campo Server, como en el campo Remote ID, pon el mismo valor, el de tu dominio real.

No obstante no te está fallando por eso, sino por el tipo de autenticación. El “User Authentication” no es “Certificate”, sino “Ninguno” y luego seleccionas el certificado cliente. Es decir, tal que así.
Ver el adjunto 84969

Saludos!
Haz clic para expandir...
+10
 
:eek::eek::eek: Conectado desde el Ipad! Muchas gracias! Si no llega a ser por este foro seguiría con un mísero WebDAV :p

Ahora a intentar conectar el PC y Android.

¿se puede usar un sólo certificado o usuario para varios dispositivos, no?
 
aitormen dijo:
:eek::eek::eek: Conectado desde el Ipad! Muchas gracias! Si no llega a ser por este foro seguiría con un mísero WebDAV :p

Ahora a intentar conectar el PC y Android.

¿se puede usar un sólo certificado o usuario para varios dispositivos, no?
Haz clic para expandir...
Ni se te ocurra reutilizarlos, que para eso son gratis, que te los estás generando tú. Cada equipo con su certificado y su identity correspondiente.

Saludos!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

leptismame
configurar Digi 10 g - RB4011
Respuestas
6
Visitas
508
leptismame
G
Home Assistant, DuckDNS y Mikrotik ¿un problema?
Respuestas
9
Visitas
1,062
generalpirata
O
Problema con DNS
Respuestas
9
Visitas
298
pokoyo
diamuxin
Segmentar mi Red con VLANs
Respuestas
12
Visitas
1,409
diamuxin
diamuxin
Cómo respaldar tu túnel IKEv2 con dos dominios DDNS mediante un script
Respuestas
12
Visitas
961
Otro+
Arriba