Se puede, pero lo mejor es lo que te comenta @pokoyoConectado desde el Ipad! Muchas gracias! Si no llega a ser por este foro seguiría con un mísero WebDAV
Ahora a intentar conectar el PC y Android.
¿se puede usar un sólo certificado o usuario para varios dispositivos, no?
MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs
- Iniciador del tema pokoyo
- Fecha de inicio
aitormen
Usuari@ ADSLzone
- Mensajes
- 58
Buenas,
Tras desesperarme un poco por no conseguir conectarme e instalar el certificado en Windows, he decidido intentar optar por el método PSK. Pero esto no lo consigo conectar ni siquiera desde el IPAD.
Me interesa particularmente PSK no sólo porque el otro me da problemas. Colaboro con mucha gente y me gustaría darles acceso fácilmente a mi NAS. Si les tengo que pasar un certificado ya es más complicado.
Al lío. Configuro así:
Código:
/ip
pool add name=ikev2-pool ranges=192.168.66.10-192.168.66.20
/ip ipsec
mode-config add address-pool=ikev2-pool address-prefix-length=32 name=ike2-config system-dns=yes
/ip ipsec
peer add exchange-mode=ike2 name=ike2-peer passive=yes
/ip ipsec identity
add comment=any-client-psk generate-policy=port-strict mode-config=ike2-conf my-id=fqdn:server.sn.mynetname.net peer=ike2-peer remote-id=user-fqdn:aitorm secret=adslzone
/ip firewall filter
add chain=input protocol=udp dst-port=500,4500 comment="Allow IPSec" place-before=[ find where comment~"defconf: drop all not coming from LAN" ] action=accept
/ip firewall filter
add action=accept chain=input comment="accept vpn encrypted input traffic" place-before=[ find where comment~"defconf: drop all not coming from LAN" ] ipsec-policy=in,ipsec src-address=192.168.66.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment=masquerade-ovpn src-address=192.168.66.0/24Lo configuro así
Y esto es lo que dice el log del router:
También he probado poniendo aitorm@serial.se.mynetname.net y nada. Qué ven vuestros ojos?
- Mensajes
- 14,173
Dos cosas: el modo psk solo funciona en apple, así que olvídate de usarlo en windows, si es lo que vas buscando. Y dos: para Windows, mira si solo tienes un único certificado como cliente y que el certificado de servidor y cliente los tienes ambos con el dominio completo de ddns. Lo más normal es que tengas más de uno y por eso no te funcione. Si te lees el hilo entero del post, verás que nos volvimos locos con un setup windows similar.
Saludos!
Saludos!
aitormen
Usuari@ ADSLzone
- Mensajes
- 58
Una pregunta por favor. Me conecto al NAS por una VPN L2TP/IPSEC en un Mikrotik. Si en Chrome pongo el IP del NAS me sale el HTML correspondiente al Synology, pero si pongo en el file explorer de windows \\<IP del NAS> me da error.
En una VPN que hice, me valía con poner \\<IP del NAS> para acceder a sus archivos. En otra, me acuerdo que tenía que poner, creo, la IP del NAS en la subnet que se crea con la VPN (no sé si esto tiene sentido). Pero he estado indagando intentando encontrar como conseguí esta IP de la subnet y no lo consigo.
¿Me podéis echar una mano?¿Cómo os conectáis al NAS a distancia?
PD: Acabo de conseguir conectarme con IKEv2!!, luego hablo sobre esto.
En una VPN que hice, me valía con poner \\<IP del NAS> para acceder a sus archivos. En otra, me acuerdo que tenía que poner, creo, la IP del NAS en la subnet que se crea con la VPN (no sé si esto tiene sentido). Pero he estado indagando intentando encontrar como conseguí esta IP de la subnet y no lo consigo.
¿Me podéis echar una mano?¿Cómo os conectáis al NAS a distancia?
PD: Acabo de conseguir conectarme con IKEv2!!, luego hablo sobre esto.
Última edición:
aitormen
Usuari@ ADSLzone
- Mensajes
- 58
Hola! He estado comprobando cosas y haciendo pruebas para depurar errores y poder delimitar el problema. Pasan varias cosas:
- He estado haciendo pruebas con el mismo nombre de wifi muchas veces. Esto parece ser origen de problemas, como que no me llegue internet al ordenador. En el router si que hay internet porque me deja, por ejemplo, actualizar routerOS, pero en chrome no se carga nada. Y eso que le doy a olvidar red y volver a conectarse (siempre wifi)
- Estaba intentando instalar una vpn lp2t/IPSec con el quick setup y a posteriori hacer todo el proceso del IKEv2, y eso da problemas. Algún consejo para hacer esto? Quizá deba instalar primero el IKEv2 y luego activar el IPSec, pero entiendo que no lo termino de configurar bien porque no me funciona.
Por lo demás, he conseguido conectarme con IKEv2 desde windows y IPad y he podido comprobar que la velocidad es del doble más o menos (antes copiaba archivos a 1Mb/s y ahora a 2). Sin embargo, me interesa mucho tener una conexión fácil para poder invitar a gente a mi red local sin que tenga que toquetear yo sus ordenadores… y para eso me gustaría tener activo el L2TP.
Otra cosa que tengo que comprobar es si la aceleración por hardware está funcionando, pero eso lo dejo para más tarde…
Muchas gracias por vuestro apoyo
- He estado haciendo pruebas con el mismo nombre de wifi muchas veces. Esto parece ser origen de problemas, como que no me llegue internet al ordenador. En el router si que hay internet porque me deja, por ejemplo, actualizar routerOS, pero en chrome no se carga nada. Y eso que le doy a olvidar red y volver a conectarse (siempre wifi)
- Estaba intentando instalar una vpn lp2t/IPSec con el quick setup y a posteriori hacer todo el proceso del IKEv2, y eso da problemas. Algún consejo para hacer esto? Quizá deba instalar primero el IKEv2 y luego activar el IPSec, pero entiendo que no lo termino de configurar bien porque no me funciona.
Por lo demás, he conseguido conectarme con IKEv2 desde windows y IPad y he podido comprobar que la velocidad es del doble más o menos (antes copiaba archivos a 1Mb/s y ahora a 2). Sin embargo, me interesa mucho tener una conexión fácil para poder invitar a gente a mi red local sin que tenga que toquetear yo sus ordenadores… y para eso me gustaría tener activo el L2TP.
Otra cosa que tengo que comprobar es si la aceleración por hardware está funcionando, pero eso lo dejo para más tarde…
Muchas gracias por vuestro apoyo
- Mensajes
- 14,173
Yo me replantearía el setup que estás tratando de montar @aitormen. Si no he entendido mal, quieres esta vpn para otorgar acceso a “externos” a tu red, especialmente para que accedan a un NAS, ¿es así? Siendo así, yo no montaría una vpn, sino que trataría de exponer el NAS de forma segura a internet, y te ahorras los quebraderos de cabeza de meter a gente de fuera en tu red.
Date cuenta que cuando metes a alguien en tu red vía VPN, o controlas muy bien lo que hace esa subred vía firewall, o da por hecho que no sólo tiene acceso al NAS, sino a todo dispositivo que cuelgue del router. Además, si no la configuras adecuadamente, toda la navegación de ese cliente pasará por tu puerta de enlace, no sólo el acceso al NAS. Además, la velocidad de transferencia no va a ser buena, a la que tengas varios conectados al mismo tiempo.
Si por ejemplo tus colegas y tú queréis compartir un NAS para intercambiar archivos, le sacaría un dominio al NAS con un certificado tls válido (synology te lo monta con let’s encrypt en un periquete, por ejemplo) y, sobre ese dominio, expondría el servicio de FTP + TLS (FTP/S). Y, si te vienes muy muy arriba con el setup, SFTP, y das de alta las claves públicas de cada usuario en tu chisme, y estos serían capaces de conectar incluso sin contraseña, pero con una conexión totalmente encriptada.
Todos los usuarios tendrían su carpeta "home" en el NAS y un set de permisos así como sus quotas y demás historias que controles a nivel de NAS. Y, en el router, todo lo que tienes que hacer es abrir un puerto a ese chisme, y no metes a la gente en tu red.
Dime si ese setup te encaja mejor que el otro y te digo cómo montarlo.
Saludos!
Date cuenta que cuando metes a alguien en tu red vía VPN, o controlas muy bien lo que hace esa subred vía firewall, o da por hecho que no sólo tiene acceso al NAS, sino a todo dispositivo que cuelgue del router. Además, si no la configuras adecuadamente, toda la navegación de ese cliente pasará por tu puerta de enlace, no sólo el acceso al NAS. Además, la velocidad de transferencia no va a ser buena, a la que tengas varios conectados al mismo tiempo.
Si por ejemplo tus colegas y tú queréis compartir un NAS para intercambiar archivos, le sacaría un dominio al NAS con un certificado tls válido (synology te lo monta con let’s encrypt en un periquete, por ejemplo) y, sobre ese dominio, expondría el servicio de FTP + TLS (FTP/S). Y, si te vienes muy muy arriba con el setup, SFTP, y das de alta las claves públicas de cada usuario en tu chisme, y estos serían capaces de conectar incluso sin contraseña, pero con una conexión totalmente encriptada.
Todos los usuarios tendrían su carpeta "home" en el NAS y un set de permisos así como sus quotas y demás historias que controles a nivel de NAS. Y, en el router, todo lo que tienes que hacer es abrir un puerto a ese chisme, y no metes a la gente en tu red.
Dime si ese setup te encaja mejor que el otro y te digo cómo montarlo.
Saludos!
aitormen
Usuari@ ADSLzone
- Mensajes
- 58
Gracias @pokoyo, buenos días.
Los agentes externos que van a entrar en la red son gente de mucha confianza, básicamente mi familia y mis socios de trabajo. Y realmente no tengo nada más en la red de lo que me pueda preocupar su seguridad.
Mi primeros acercamientos a las conexiones remoto al NAS fueron por WebDAV y FTH y no me gustaron por varias razones: Es lento (aunque ahora no sabría decir si es más lento que la VPN, pero casi seguro que sí). 2.- Necesita de programas externos para funcionar, mientras que la vpn suele estar muy integrada en los SO. 3.- su funcionamiento no es el mismo que en una red. Por ejemplo, si un archivo está siendo usado por pepito, menganito puede abrirlo también. Solemos trabajar muchos en un mismo archivo y es muy importante que no coincidan en tiempo las modificaciones.
Por otro lado, me gusta la idea de tener conectada mi casa para uso personal y prefiero reducir al máximo la tecnología usada. No me gustaría tener dos sistemas instalados porque al final es tiempo y más fuentes de problemas. Además, abro la posibilidad de darles acceso a un segundo NAS con la misma conexión o permitirles imprimir a distancia.
Saludos,
Los agentes externos que van a entrar en la red son gente de mucha confianza, básicamente mi familia y mis socios de trabajo. Y realmente no tengo nada más en la red de lo que me pueda preocupar su seguridad.
Mi primeros acercamientos a las conexiones remoto al NAS fueron por WebDAV y FTH y no me gustaron por varias razones: Es lento (aunque ahora no sabría decir si es más lento que la VPN, pero casi seguro que sí). 2.- Necesita de programas externos para funcionar, mientras que la vpn suele estar muy integrada en los SO. 3.- su funcionamiento no es el mismo que en una red. Por ejemplo, si un archivo está siendo usado por pepito, menganito puede abrirlo también. Solemos trabajar muchos en un mismo archivo y es muy importante que no coincidan en tiempo las modificaciones.
Por otro lado, me gusta la idea de tener conectada mi casa para uso personal y prefiero reducir al máximo la tecnología usada. No me gustaría tener dos sistemas instalados porque al final es tiempo y más fuentes de problemas. Además, abro la posibilidad de darles acceso a un segundo NAS con la misma conexión o permitirles imprimir a distancia.
Saludos,
Última edición:
Buenas tardes, hasta ahora he utilizado ikev2 en vpn mikrotik con certificados, he regenerado todos los certificados y funciona perfectamente desde iphone ( todos), pero desde Ipad imposible. He leido que existe un bug en la version 14 de IpadOS , me puede confirmar alguien????. ( Los certficados aparecen “sin verificar” en el ipad ). Gracias
- Mensajes
- 14,173
Si aparecen sin certificar, es porque no metiste la CA, ¿no? Dale una foto a la configuración, a ver qué vemos.
Saludos!
Buenas @pokoyo la ca esta instalada y correcta, pero los certificados me los pone sin verificar. El certificado ipadair es del iphone, en el ipad aparece sin verificar. Por lo que he leido este bug afecta a las vpn creadas nuevas en las versiones IOS14, no amlas que se modifiquen. Era por si sabias algo del tema y como corregirlo.
Adjuntos
Última edición:
Perdon por tanta molestia @pokoyo , ya he encontrado el problema , al menos en w10, luego provaré en los ipad. El problema viene dado, por el fallo que ha habido en los ddns de mikrotik, que al haberse caido, no cumplia que el certificado del servidor tiene que contener el dominio dyndns que usemos para conectarnos al router.Al crear el certificado del servidor con una ddns que esta funcionandocorrectamente ya conecta sin problemas. Cuando pruebe en ipad,s te conmento. Gracias maestro.
En IOS no funciona y creo que es porque le di mas de 825 dias al certificado servidor, mañana miro…
Adjuntos
una pregunta, quizas tonta...se pueden tener dos certificados servidor diferentes en el mikrotik???
- Mensajes
- 14,173
perdon por lo de la falta de conectividad a la VPN Ikev2 con certificados en IOS, era un fallo mio, pues estaba pasando el certificado "ca" correspondiente en formato *.p12, cuando se debe hacer en *.crt....despiste total...perdon por las molestias
