MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs

Ejemplo datos de conexión par IKEv2 con PSK (iOS)
Navegación: Ajustes -> General -> VPN -> Añadir configuración VPN
Tipo: IKEv2
Descripción: XXX [ a gusto de consumidor ]
Servidor: serial.sn.mynetname.net [cambiar por vuestro dominio dyndns]
ID remoto: server.sn.mynetname.net
ID local: clientX@sn.mynetname.net
Autenticación
Autenticación de usuario: NingunaUsar certificado: Desmarcado (No)Secreto: Th4t.sMySup3rS3cr3t!

Buenas,

Tras desesperarme un poco por no conseguir conectarme e instalar el certificado en Windows, he decidido intentar optar por el método PSK. Pero esto no lo consigo conectar ni siquiera desde el IPAD.

Me interesa particularmente PSK no sólo porque el otro me da problemas. Colaboro con mucha gente y me gustaría darles acceso fácilmente a mi NAS. Si les tengo que pasar un certificado ya es más complicado.

Al lío. Configuro así:

Código:
/ip
pool add name=ikev2-pool ranges=192.168.66.10-192.168.66.20
/ip ipsec
mode-config add address-pool=ikev2-pool address-prefix-length=32 name=ike2-config system-dns=yes
/ip ipsec
peer add exchange-mode=ike2 name=ike2-peer passive=yes
/ip ipsec identity
add comment=any-client-psk generate-policy=port-strict mode-config=ike2-conf my-id=fqdn:server.sn.mynetname.net peer=ike2-peer remote-id=user-fqdn:aitorm secret=adslzone
/ip firewall filter
add chain=input protocol=udp dst-port=500,4500 comment="Allow IPSec" place-before=[ find where comment~"defconf: drop all not coming from LAN" ] action=accept
/ip firewall filter
add action=accept chain=input comment="accept vpn encrypted input traffic" place-before=[ find where comment~"defconf: drop all not coming from LAN" ] ipsec-policy=in,ipsec src-address=192.168.66.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment=masquerade-ovpn src-address=192.168.66.0/24

Lo configuro así

1628433730003.png


Y esto es lo que dice el log del router:

1628433855126.png


También he probado poniendo aitorm@serial.se.mynetname.net y nada. Qué ven vuestros ojos?
 
Dos cosas: el modo psk solo funciona en apple, así que olvídate de usarlo en windows, si es lo que vas buscando. Y dos: para Windows, mira si solo tienes un único certificado como cliente y que el certificado de servidor y cliente los tienes ambos con el dominio completo de ddns. Lo más normal es que tengas más de uno y por eso no te funcione. Si te lees el hilo entero del post, verás que nos volvimos locos con un setup windows similar.

Saludos!
 
Una pregunta por favor. Me conecto al NAS por una VPN L2TP/IPSEC en un Mikrotik. Si en Chrome pongo el IP del NAS me sale el HTML correspondiente al Synology, pero si pongo en el file explorer de windows \\<IP del NAS> me da error.

En una VPN que hice, me valía con poner \\<IP del NAS> para acceder a sus archivos. En otra, me acuerdo que tenía que poner, creo, la IP del NAS en la subnet que se crea con la VPN (no sé si esto tiene sentido). Pero he estado indagando intentando encontrar como conseguí esta IP de la subnet y no lo consigo.

¿Me podéis echar una mano?¿Cómo os conectáis al NAS a distancia?

PD: Acabo de conseguir conectarme con IKEv2!!, luego hablo sobre esto.
 
Última edición:
Una vez obtienes una IP de la subred de tu VPN, tienes acceso a la subred de la LAN por defecto. No tienes que hacer nada más.

No obstante, pasa cómo tienes montado el servidor VPN y lo vemos.

Saludos!
 
Gracias por la respuesta. Revisando el export he visto cosas que me han hecho depurar otras. Puede que sea error del NAS. Volveré.
 
Última edición:
Hola! He estado comprobando cosas y haciendo pruebas para depurar errores y poder delimitar el problema. Pasan varias cosas:

- He estado haciendo pruebas con el mismo nombre de wifi muchas veces. Esto parece ser origen de problemas, como que no me llegue internet al ordenador. En el router si que hay internet porque me deja, por ejemplo, actualizar routerOS, pero en chrome no se carga nada. Y eso que le doy a olvidar red y volver a conectarse (siempre wifi)
- Estaba intentando instalar una vpn lp2t/IPSec con el quick setup y a posteriori hacer todo el proceso del IKEv2, y eso da problemas. Algún consejo para hacer esto? Quizá deba instalar primero el IKEv2 y luego activar el IPSec, pero entiendo que no lo termino de configurar bien porque no me funciona.

Por lo demás, he conseguido conectarme con IKEv2 desde windows y IPad y he podido comprobar que la velocidad es del doble más o menos (antes copiaba archivos a 1Mb/s y ahora a 2). Sin embargo, me interesa mucho tener una conexión fácil para poder invitar a gente a mi red local sin que tenga que toquetear yo sus ordenadores… y para eso me gustaría tener activo el L2TP.

Otra cosa que tengo que comprobar es si la aceleración por hardware está funcionando, pero eso lo dejo para más tarde…

Muchas gracias por vuestro apoyo
 
Yo me replantearía el setup que estás tratando de montar @aitormen. Si no he entendido mal, quieres esta vpn para otorgar acceso a “externos” a tu red, especialmente para que accedan a un NAS, ¿es así? Siendo así, yo no montaría una vpn, sino que trataría de exponer el NAS de forma segura a internet, y te ahorras los quebraderos de cabeza de meter a gente de fuera en tu red.
Date cuenta que cuando metes a alguien en tu red vía VPN, o controlas muy bien lo que hace esa subred vía firewall, o da por hecho que no sólo tiene acceso al NAS, sino a todo dispositivo que cuelgue del router. Además, si no la configuras adecuadamente, toda la navegación de ese cliente pasará por tu puerta de enlace, no sólo el acceso al NAS. Además, la velocidad de transferencia no va a ser buena, a la que tengas varios conectados al mismo tiempo.

Si por ejemplo tus colegas y tú queréis compartir un NAS para intercambiar archivos, le sacaría un dominio al NAS con un certificado tls válido (synology te lo monta con let’s encrypt en un periquete, por ejemplo) y, sobre ese dominio, expondría el servicio de FTP + TLS (FTP/S). Y, si te vienes muy muy arriba con el setup, SFTP, y das de alta las claves públicas de cada usuario en tu chisme, y estos serían capaces de conectar incluso sin contraseña, pero con una conexión totalmente encriptada.
Todos los usuarios tendrían su carpeta "home" en el NAS y un set de permisos así como sus quotas y demás historias que controles a nivel de NAS. Y, en el router, todo lo que tienes que hacer es abrir un puerto a ese chisme, y no metes a la gente en tu red.

Dime si ese setup te encaja mejor que el otro y te digo cómo montarlo.

Saludos!
 
Gracias @pokoyo, buenos días.

Los agentes externos que van a entrar en la red son gente de mucha confianza, básicamente mi familia y mis socios de trabajo. Y realmente no tengo nada más en la red de lo que me pueda preocupar su seguridad.

Mi primeros acercamientos a las conexiones remoto al NAS fueron por WebDAV y FTH y no me gustaron por varias razones: Es lento (aunque ahora no sabría decir si es más lento que la VPN, pero casi seguro que sí). 2.- Necesita de programas externos para funcionar, mientras que la vpn suele estar muy integrada en los SO. 3.- su funcionamiento no es el mismo que en una red. Por ejemplo, si un archivo está siendo usado por pepito, menganito puede abrirlo también. Solemos trabajar muchos en un mismo archivo y es muy importante que no coincidan en tiempo las modificaciones.

Por otro lado, me gusta la idea de tener conectada mi casa para uso personal y prefiero reducir al máximo la tecnología usada. No me gustaría tener dos sistemas instalados porque al final es tiempo y más fuentes de problemas. Además, abro la posibilidad de darles acceso a un segundo NAS con la misma conexión o permitirles imprimir a distancia.

Saludos,
 
Última edición:
Buenas tardes, hasta ahora he utilizado ikev2 en vpn mikrotik con certificados, he regenerado todos los certificados y funciona perfectamente desde iphone ( todos), pero desde Ipad imposible. He leido que existe un bug en la version 14 de IpadOS , me puede confirmar alguien????. ( Los certficados aparecen “sin verificar” en el ipad ). Gracias
 
Buenas tardes, hasta ahora he utilizado ikev2 en vpn mikrotik con certificados, he regenerado todos los certificados y funciona perfectamente desde iphone ( todos), pero desde Ipad imposible. He leido que existe un bug en la version 14 de IpadOS , me puede confirmar alguien????. ( Los certficados aparecen “sin verificar” en el ipad ). Gracias
Si aparecen sin certificar, es porque no metiste la CA, ¿no? Dale una foto a la configuración, a ver qué vemos.

Saludos!
 
Si aparecen sin certificar, es porque no metiste la CA, ¿no? Dale una foto a la configuración, a ver qué vemos.

Saludos!
Buenas @pokoyo la ca esta instalada y correcta, pero los certificados me los pone sin verificar. El certificado ipadair es del iphone, en el ipad aparece sin verificar. Por lo que he leido este bug afecta a las vpn creadas nuevas en las versiones IOS14, no amlas que se modifiquen. Era por si sabias algo del tema y como corregirlo.
2196114D-6A6F-41C6-823F-92FC15375D21.png
 

Adjuntos

  • 2F586027-A1AB-41D7-94BA-3B11277EE1F2.png
    2F586027-A1AB-41D7-94BA-3B11277EE1F2.png
    89.7 KB · Visitas: 33
Última edición:
Si aparecen sin certificar, es porque no metiste la CA, ¿no? Dale una foto a la configuración, a ver qué vemos.

Saludos!
Perdon por tanta molestia @pokoyo , ya he encontrado el problema , al menos en w10, luego provaré en los ipad. El problema viene dado, por el fallo que ha habido en los ddns de mikrotik, que al haberse caido, no cumplia que el certificado del servidor tiene que contener el dominio dyndns que usemos para conectarnos al router.Al crear el certificado del servidor con una ddns que esta funcionandocorrectamente ya conecta sin problemas. Cuando pruebe en ipad,s te conmento. Gracias maestro.
 
Genial. Sí, el tema de los ddns nos ha trastocado a muchos. Me alegro de que dieras con la tecla rápido.

Saludos!
 
Genial. Sí, el tema de los ddns nos ha trastocado a muchos. Me alegro de que dieras con la tecla rápido.

Saludos!
En IOS no funciona y creo que es porque le di mas de 825 dias al certificado servidor, mañana miro…
 

Adjuntos

  • C509F947-50C8-49E9-9948-6F986F61D11B.jpeg
    C509F947-50C8-49E9-9948-6F986F61D11B.jpeg
    356.5 KB · Visitas: 29
Sí, siempre que cada un lo machees con una identity distinta.

Saludos!
perdon por lo de la falta de conectividad a la VPN Ikev2 con certificados en IOS, era un fallo mio, pues estaba pasando el certificado "ca" correspondiente en formato *.p12, cuando se debe hacer en *.crt....despiste total...perdon por las molestias
 
Arriba