MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs

Lo he instalado la primera vez y no recuerdo si lo he hecho así y ahora no me da la opción al reinstalarlo... Tendré que crear un una nueva CA creo.
No, accede al almacén de certificados y bórralos: https://www.solvetic.com/tutoriales...dan-los-certificador-digitales-en-windows-10/

Por otro lado, una cosa que se me pasó comentar antes. Cuando configures la interfaz, el nombre de la conexión es el ID que definiste en el certificado cliente, el cliente1@server.cert.com. Es decir, cuando des de alta la VPN, ha de llevar ese nombre para identificarla correctamente cuando conecte.

Saludos!
 
No, accede al almacén de certificados y bórralos: https://www.solvetic.com/tutoriales...dan-los-certificador-digitales-en-windows-10/

Por otro lado, una cosa que se me pasó comentar antes. Cuando configures la interfaz, el nombre de la conexión es el ID que definiste en el certificado cliente, el cliente1@server.cert.com. Es decir, cuando des de alta la VPN, ha de llevar ese nombre para identificarla correctamente cuando conecte.

Saludos!
Nada, no hay manera. Los he borrado y vuelto a instalar varias veces y nada. Desde iPhone perfecto, pero desde Windows...
 
Llegas a generar traza en los logs del router?

Saludos!
 
Me da la sensación de que para windows se está validando el dominio del servidor en el certificado. Si mañana saco un rato, lo pruebo en un equipo windows y te digo.

Saludos!
 
He conseguido echarlo a andar en windows... pero a medias. Cuando intento conectar me aparece una mensaje de "No se puede conectar con cliente.midominio.com Las credenciales de autenticación IKEv2 son inaceptables.

Pero lo mejor de todo es que si vas al Active connections en el router, están las claves generadas y todo fino como si se el equipo hubiera conseguido conectar.

¿Llegáis a ese mismo error? Lo mio quizá sea un problema de la topología de red que tengo en casa, ese windows está metido en una vlan aparte con la hostia de restricciones, quizá por eso no llegue a conectar.

Si os habéis quedado en el mismo punto decidme, e investigo a partir de aquí.

Para importar los certificados, el mejor manual que encontré fue este, y además de la manera más sencilla

1592469203866.png


Saludos.
 
Última edición:
He conseguido echarlo a andar en windows... pero a medias. Cuando intento conectar me aparece una mensaje de "No se puede conectar con cliente.midominio.com Las credenciales de authenticación IKEv2 son inaceptables.

Pero lo mejor de todo es que si vas al Active connections en el router, están las claves generadas y todo fino como si se el equipo hubiera conseguido conectar.

¿Llegáis a ese mismo error? Lo mio quizá sea un problema de la topología de red que tengo en casa, ese windows está metido en una vlan aparte con la hostia de restricciones, quizá por eso no llegue a conectar.

Si os habéis quedado en el mismo punto decidme, e investigo a partir de aquí.

Para importar los certificados, el mejor manual que encontré fue este, y además de la manera más sencilla

Ver el adjunto 26461

Saludos.
Me aparece el mismo mensaje que a ti, credenciales inaceptables. En cuanto a los certificados, lo había hecho como indica la foto que has puesto.
 
Me aparece el mismo mensaje que a ti, credenciales inaceptables. En cuanto a los certificados, lo había hecho como indica la foto que has puesto.
Vale, perfecto, estamos en el mismo punto entonces. Sigo yo a partir de aquí, a ver si doy con la tecla. Revisa también lo que te comentaba. Aunque el windows te da fallo, ve a IP -> IPSec -> Active Peers, que verás como tienes ahí la conexión levantada. Y si te vas a la pestaña Installed SAs verás las claves de encriptado que ha negociado.

Saludos!
 
Vale, perfecto, estamos en el mismo punto entonces. Sigo yo a partir de aquí, a ver si doy con la tecla. Revisa también lo que te comentaba. Aunque el windows te da fallo, ve a IP -> IPSec -> Active Peers, que verás como tienes ahí la conexión levantada. Y si te vas a la pestaña Installed SAs verás las claves de encriptado que ha negociado.

Saludos!
Cierto, en Active Peers me aparece, pero en Installed SAs no. Si das con el error ya nos cuentas.

Un saludo!
 
Gracias por el manual , de momento estoy en los primeros pasos del router , leo el manual y ya me he perdido . Iremos poco a poco .

Saludos.
 
Cierto, en Active Peers me aparece, pero en Installed SAs no. Si das con el error ya nos cuentas.

Un saludo!
Ya di con la tecla. Es el puto windows, que valida el dominio como parte de la conexión. Si el certificado no contiene como sujeto alternativo la dirección dns del dominio que estás usando para conectarte al router, lo rechaza. Actualizo el manual en un segundo...

EDIT
Además de lo mencionado con el nombre del dominio, hay una cosa más obligatoria: el certificado de servidor ha de tener digital-signature como propiedad extendida. Sino falla con el mismo problema.

El manual está editado salvando esos dos problemas, usando el dominio del propio mikrotik para ello (adaptarlo al vuestro, si tenéis uno propio). Ambos servidores están probados para windows 10, linux, Mac OS y iOS. Si alguien lo prueba para Android también, que lo añada.

Saludos!
 
Última edición:
Listo, ya lo tienes actualizado @montyB, par que sea compatible tanto con mac, iphone y windows.

He cambiado también cómo identificamos los certificados remotos para los Identities, cambiando la identifcación a modo automático (My ID Type = auto, Remote ID Type = auto, Match By = certificate). Os debería quedar algo así el alta de un nuevo identity (pueden variar los nombres de los certificados, el peer y la configuración).

1592486074158.png


Gracias por el apunte, sino no me hubiera dado nunca cuenta!

Saludos.
 
Una duda de novato.
Para montar el servidor ikev2 hay que montar previamente el servidor openvpn?
Porque veo alguna diferencia en la definición de los mismos.
O son totalmente independientes.
Gracias.
 
Una duda de novato.
Para montar el servidor ikev2 hay que montar previamente el servidor openvpn?
Porque veo alguna diferencia en la definición de los mismos.
O son totalmente independientes.
Gracias.
No. De hecho, son complétamente distintos. Esta guía cubre ambos, porque están los dos basados en el uso de certificados RSA, pero no hay más relación entre ellos. Te recomiendo IKEv2 muy por encima de OpenVPN, al menos en equipos mikrotik.

saludos!
 
No me funciona... He creado de nuevo todos los certificados, la CA, el del servidor y el de cliente. Los he instalado y me aparece el mismo error. Si a ti ya te funciona será cosa mía, que llevo un lio grande con los certificados. Por cierto, los certificados que no me valgan no puedo borrarlos?

Un saludo!

Te dejo por aquí los nuevos certificados:

Captura.PNG


Hay dos de servidor porque he hecho dos pruebas.
 
Última edición:
No me funciona... He creado de nuevo todos los certificados, la CA, el del servidor y el de cliente. Los he instalado y me aparece el mismo error. Si a ti ya te funciona será cosa mía, que llevo un lio grande con los certificados. Por cierto, los certificados que no me valgan no puedo borrarlos?

Un saludo!

Te dejo por aquí los nuevos certificados:

Ver el adjunto 26518

Hay dos de servidor porque he hecho dos pruebas.
Tienes que borrar la CA y se borran todos los firmados con ella. Echa un vistazo y copia los comandos de creacción de los certificados de nuevo, porque los he editado varias veces.

Una vez vuelvas a crear los certificados, aunque lo hayas hecho con el mismo nombre, ve a IPSec -> Identity y asegúrate de que los equipos apuntan a los certificados buenos, porque al borrarlos el dropdown donde seleccionas el certificado se vuelve tonto y pilla la primera entrada que le tenga. Me ha pasado más de una vez y te vuelves mico buscando el problema.

Saludos!
 
Tienes que borrar la CA y se borran todos los firmados con ella. Echa un vistazo y copia los comandos de creacción de los certificados de nuevo, porque los he editado varias veces.

Una vez vuelvas a crear los certificados, aunque lo hayas hecho con el mismo nombre, ve a IPSec -> Identity y asegúrate de que los equipos apuntan a los certificados buenos, porque al borrarlos el dropdown donde seleccionas el certificado se vuelve tonto y pilla la primera entrada que le tenga. Me ha pasado más de una vez y te vuelves mico buscando el problema.

Saludos!
De acuerdo, voy a borrar todo y lo haré de 0. Una cosa, aquí:

add name=xxx-ca-template common-name=VPN-CA subject-alt-name=DNS:mynetname.net

En DNS hay que poner mynetname.net o *.sn.mynetname.net? Ese asterisco significa mi dirección o es un asterisco literal?

Un saludo!
 
De acuerdo, voy a borrar todo y lo haré de 0. Una cosa, aquí:

add name=xxx-ca-template common-name=VPN-CA subject-alt-name=DNS:mynetname.net

En DNS hay que poner mynetname.net o *.sn.mynetname.net? Ese asterisco significa mi dirección o es un asterisco literal?

Un saludo!

Tal y como lo pone en el post. En la CA, podrás la parte común del dominio, "mynetname.net" y en el certificado de servidor pondrás un wildcard con el asterisco [DNS:*.sn.mynetname.net], tal que luego tú cuando conectes a serial.sn.mynetname.net lo reconozca como un dominio válido.

Si tienes tu propio dominio dime y te lo monto para él, te paso un ejemplo de cómo sería. Pero si no te quieres complicar la vida, usa el de mikrotik tal y como está ahí puesto.

Saludos!
 
Nada tio, en Windows no hay manera. Lo he hecho todo de nuevo, siguiendo paso a paso tu tutorial y en iPhone perfecto pero en Windows los mismos errores de antes.

Gracias por la ayuda de todas formas!
 
Pásame si quieres un export de la config por privado, un pantallazo de los certificados (asegúrate de que el de servidor tiene las tres propiedades extendidas que mencionaba antes) y pantallazos de cómo configuras la conexión en el windows 10.

Para esto último, asegúrate de estar importando el certificado de cliente en el almacen “Personal” y la CA en el almacén de entidades de certificación raiz confiables. Cuando configures la conexión en windows, tienes luego que editarla y, en la pestaña Seguridad, decirle que quieres que use los Certificados locales de la máquina, no los de EAP. Si sólo tienes un certificado en el almacén “Personal”, cogerá ese por defecto.

Saludos!
 
Arriba