MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs

No me funciona el IKEv2 en windows 10... "policy match error"

Otra cosa rara... el certificado de la CA ha salido con una fecha/hora en el futuro... en 2h tendré de probar de nuevo.
 
Última edición:
No me funciona el IKEv2 en windows 10... "policy match error"

Otra cosa rara... el certificado de la CA ha salido con una fecha/hora en el futuro... en 2h tendré de probar de nuevo.
Regenera otra vez los tres certificados, tal y como se indica en el script. Un policy match suele ser porque no coincide el el proposal con lo que intenta establecer el cliente.

Saludos!
 
Es tema de configuración...

He cambiado los perfiles en MK y en Windows10 y ahora tengo otro error... "IKE authentication credentials are unacceptable"

Cambios en Windows10:
$connection = "CASA"
Set-VpnConnectionIPsecConfiguration -ConnectionName $connection -AuthenticationTransformConstants SHA256 -CipherTransformConstants AES256 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -Force


Cambios en MK:
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256
/ip ipsec proposal

set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
 
Sip, justo eso. Supongo que estás usando el ddns de mikrotik y que los certificados los generaste con ese dominio como CN, ¿correcto?

Si es así, prueba a borrar los certificados y a meter únicamente el de cliente, sin meter la CA (el de cliente lleva la CA empotrada ya en su propio certificado). Prueba y me dices qué error te da.

Saludos!

Seguí la guía al pié de la letra

1601281626874.png

No me deja cambiar "método de altentificación general" por "certificado"
Al conectar me deja la siguiente imagen

1601281716579.png


Saludos
 
Buenas tardes.
estoy echando un vistazo a crear la VPN y empiezo con alguna duda....
donde pone....
add name=xxx-ca-template common-name=VPN-CA subject-alt-name=DNS:mynetname.net\

las XXX son el nombre que quiera poner ???
el DNS supongo que es mi numero de serie,cierto ???
es decir,quedaria mas o menos asi...
add name=nombre-ca-template common-name=VPN-CA subject-alt-name=b7b10c7d9e55.sn.mynetname.net:mynetname.net\

es para ir preparandome los comandos e ir haciendo poco a poco
gracias y saludos
 
Buenas tardes.
estoy echando un vistazo a crear la VPN y empiezo con alguna duda....
donde pone....
add name=xxx-ca-template common-name=VPN-CA subject-alt-name=DNS:mynetname.net\

las XXX son el nombre que quiera poner ???
el DNS supongo que es mi numero de serie,cierto ???
es decir,quedaria mas o menos asi...
add name=nombre-ca-template common-name=VPN-CA subject-alt-name=b7b10c7d9e55.sn.mynetname.net:mynetname.net\

es para ir preparandome los comandos e ir haciendo poco a poco
gracias y saludos
Hostias, no me empieces por IKEv2, que es el más jodido! Empieza por L2TP/IPsec, y cuando lo domines, pasamos al otro, jejeje.

Ese, para cuando tengas ya el router definitivo y la red lleve tiempo a tu gusto.

Saludos!
 
Hostias, no me empieces por IKEv2, que es el más jodido! Empieza por L2TP/IPsec, y cuando lo domines, pasamos al otro, jejeje.

Ese, para cuando tengas ya el router definitivo y la red lleve tiempo a tu gusto.

Saludos!
Ok....comenzaré por el “facil” jejeje
Saludos
 
Sabrán por qué al conectarse el IKEv2 en iOS sin certificados no da internet?
El L2TP tira bien pero el IKEv2 no.
 
Hola,

Ahora voy y leo esto:
Hostias, no me empieces por IKEv2, que es el más jodido! Empieza por L2TP/IPsec, y cuando lo domines, pasamos al otro, jejeje.
o_O

He seguido los pasos para IKEv2 (sin OpenVPN) No me queda claro si es obligado hacerlo conjuntamente con IKEv2 para que funcione. O se puede hacer solo el IKEv2 en solitario.

Tengo los certificados ca.crt y client.p12 puestos en el móvil (equivalente a Android 9). El caso es que desde ajustes no me da la opción de IKEv2, solo estas opciones:

IMG_20201222_165809.jpg


PD: He estado mirando sobre WireGuard creo que es otra forma de hacerlo, en este caso con una maquina con linux. Pero no le veo la utilidad cuando ya tenga IKEv2, ¿o es que se pueden ir combinando métodos para ganar seguridad?
 
He seguido los pasos para IKEv2 (sin OpenVPN) No me queda claro si es obligado hacerlo conjuntamente con IKEv2 para que funcione. O se puede hacer solo el IKEv2 en solitario.
No es obligatorio tener openvpn yo sólo tengo ikev2 en mi router.

Tengo los certificados ca.crt y client.p12 puestos en el móvil (equivalente a Android 9). El caso es que desde ajustes no me da la opción de IKEv2, solo estas opciones:
Tienes que instalar la app strongswan para utiizar ikev2 en el móvil.


Así lo tengo yo.

st_02.jpegst_01.jpeg

Saludos.
 
Última edición:
Ignora mi comentario @solomain, que a ti te mandé yo directo a por IKEv2, sabiendo que trasteas bastate en linux y que tu principal necesidad es la seguridad. Si bien el manual es algo más complejo, como podrás ver, hay más de uno que ya lo tiene montado a partir de él. Los otros son de montar con un click, no hay comparación. Este te lo tienes que currar y saber cómo trabajar con certificados, pero poco más, tampoco es que sea un arco de iglesia, ni mucho menos.

El tema de WireGuard es por que te vayas haciendo a él. Porque es algo muchísimos más sencillo que IKEv2, pero que funciona a las mil maravillas. Y la implementación es de una simpleza que es para quitarse el sombrero. Algo simple que es seguro, es dos veces seguro, a mi parecer.

Saludos!
 
Tienes que instalar la app strongswan para utiizar ikev2 en el móvil.
Gracias @stargate4you, al final he descargado la apk de aquí: https://download.strongswan.org/Android/ puesto que no uso la tienda de apps de Android.

Ignora mi comentario @solomain, que a ti te mandé yo directo a por IKEv2, sabiendo que trasteas bastate en linux y que tu principal necesidad es la seguridad. Si bien el manual es algo más complejo, como podrás ver, hay más de uno que ya lo tiene montado a partir de él. Los otros son de montar con un click, no hay comparación. Este te lo tienes que currar y saber cómo trabajar con certificados, pero poco más, tampoco es que sea un arco de iglesia, ni mucho menos.

El tema de WireGuard es por que te vayas haciendo a él. Porque es algo muchísimos más sencillo que IKEv2, pero que funciona a las mil maravillas. Y la implementación es de una simpleza que es para quitarse el sombrero. Algo simple que es seguro, es dos veces seguro, a mi parecer.
Ok @pokoyo.

¡Ya lo tengo funcionando!
 
Es sólo un ID. Por comodidad, lo reduje a eso. Pero le puedes poner lo que quieras ahí, siempre y cuando coincida con el ID que luego mandes como "ID local" en la conexión.

Me alegro de que ya lo tengas funcionando.

Saludos!
 
Mira, te sugiero el siguiente paso: monta un filtro de DNS tipo pi-hole o similar, le metes soporte DoH y se lo enchufas como resolver a los equipos que conectan a la VPN. De esa manera, cuando salgas de casa y navegas en 4G o wifi ajena, tienes el mismo comportamiento que en tu casa, navegando limpito, sin anuncios y sin rastro en los DNS.

Saludos!
 
Mira, te sugiero el siguiente paso: monta un filtro de DNS tipo pi-hole o similar, le metes soporte DoH y se lo enchufas como resolver a los equipos que conectan a la VPN. De esa manera, cuando salgas de casa y navegas en 4G o wifi ajena, tienes el mismo comportamiento que en tu casa, navegando limpito, sin anuncios y sin rastro en los DNS.
¡Conseguido! Creo que esta bien hecho.
Screenshot_20201223-054444_Fennec.png


Screenshot_20201223-054458_Fennec.png


El unico navegador libre (de f-droid.org), de los que he probado, que me admite estavlecer las variables: network.security.esni.enabled a true y network.trr.mode a 2, es fennec.
 
Eso tiene una pinta estupenda. Editaste la configuración de la VPN para que puedas aprovechar eso cuando sales de casa?

Saludos!
 
Estoy siguiendo estos fantásticos tutoriales para los routers Mikrotik, y al crear un VPN iKEv2 me he quedado en un punto.
Al escribir en el terminal:

/ip ipsec identity
add auth-method=digital-signature


y el resto, me marca error en digital. Si entro a ip > ipsec > identities resulta que no aparece digital-signature como método de autentificación, como se ve en la imagen y vi en la página dos de este post. Si cambio digital por rsa, al escribirlo por terminal no me marca error, pero no puedo conectarme al VPN.
11a.jpeg

Los certificados ya los tengo creados, instalados en windows, abiertos los puertos...
El Mikrotik lo tengo como bridge, y el router principal tiene los puertos 500 y 4500 abiertos para la ip del Mikrotik.

Alguna ayuda de ¿por qué no aparece digital signature?
Gracias de antemano.
 
Arriba