MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs

No me funciona el IKEv2 en windows 10... "policy match error"

Otra cosa rara... el certificado de la CA ha salido con una fecha/hora en el futuro... en 2h tendré de probar de nuevo.
 
Última edición:
vdias dijo:
No me funciona el IKEv2 en windows 10... "policy match error"

Otra cosa rara... el certificado de la CA ha salido con una fecha/hora en el futuro... en 2h tendré de probar de nuevo.
Haz clic para expandir...
Regenera otra vez los tres certificados, tal y como se indica en el script. Un policy match suele ser porque no coincide el el proposal con lo que intenta establecer el cliente.

Saludos!
 
Es tema de configuración...

He cambiado los perfiles en MK y en Windows10 y ahora tengo otro error... "IKE authentication credentials are unacceptable"

Cambios en Windows10:
$connection = "CASA"
Set-VpnConnectionIPsecConfiguration -ConnectionName $connection -AuthenticationTransformConstants SHA256 -CipherTransformConstants AES256 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -Force

Cambios en MK:
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
 
pokoyo dijo:
Sip, justo eso. Supongo que estás usando el ddns de mikrotik y que los certificados los generaste con ese dominio como CN, ¿correcto?

Si es así, prueba a borrar los certificados y a meter únicamente el de cliente, sin meter la CA (el de cliente lleva la CA empotrada ya en su propio certificado). Prueba y me dices qué error te da.

Saludos!
Haz clic para expandir...

Seguí la guía al pié de la letra

1601281626874.png

No me deja cambiar "método de altentificación general" por "certificado"
Al conectar me deja la siguiente imagen

1601281716579.png


Saludos
 
Buenas tardes.
estoy echando un vistazo a crear la VPN y empiezo con alguna duda....
donde pone....
add name=xxx-ca-template common-name=VPN-CA subject-alt-name=DNS:mynetname.net\

las XXX son el nombre que quiera poner ???
el DNS supongo que es mi numero de serie,cierto ???
es decir,quedaria mas o menos asi...
add name=nombre-ca-template common-name=VPN-CA subject-alt-name=b7b10c7d9e55.sn.mynetname.net:mynetname.net\

es para ir preparandome los comandos e ir haciendo poco a poco
gracias y saludos
 
albter dijo:
Buenas tardes.
estoy echando un vistazo a crear la VPN y empiezo con alguna duda....
donde pone....
add name=xxx-ca-template common-name=VPN-CA subject-alt-name=DNS:mynetname.net\

las XXX son el nombre que quiera poner ???
el DNS supongo que es mi numero de serie,cierto ???
es decir,quedaria mas o menos asi...
add name=nombre-ca-template common-name=VPN-CA subject-alt-name=b7b10c7d9e55.sn.mynetname.net:mynetname.net\

es para ir preparandome los comandos e ir haciendo poco a poco
gracias y saludos
Haz clic para expandir...
Hostias, no me empieces por IKEv2, que es el más jodido! Empieza por L2TP/IPsec, y cuando lo domines, pasamos al otro, jejeje.

Ese, para cuando tengas ya el router definitivo y la red lleve tiempo a tu gusto.

Saludos!
 
pokoyo dijo:
Hostias, no me empieces por IKEv2, que es el más jodido! Empieza por L2TP/IPsec, y cuando lo domines, pasamos al otro, jejeje.

Ese, para cuando tengas ya el router definitivo y la red lleve tiempo a tu gusto.

Saludos!
Haz clic para expandir...
Ok....comenzaré por el “facil” jejeje
Saludos
 
Sabrán por qué al conectarse el IKEv2 en iOS sin certificados no da internet?
El L2TP tira bien pero el IKEv2 no.
 
Hola,

Ahora voy y leo esto:
pokoyo dijo:
Hostias, no me empieces por IKEv2, que es el más jodido! Empieza por L2TP/IPsec, y cuando lo domines, pasamos al otro, jejeje.
Haz clic para expandir...
o_O

He seguido los pasos para IKEv2 (sin OpenVPN) No me queda claro si es obligado hacerlo conjuntamente con IKEv2 para que funcione. O se puede hacer solo el IKEv2 en solitario.

Tengo los certificados ca.crt y client.p12 puestos en el móvil (equivalente a Android 9). El caso es que desde ajustes no me da la opción de IKEv2, solo estas opciones:

IMG_20201222_165809.jpg


PD: He estado mirando sobre WireGuard creo que es otra forma de hacerlo, en este caso con una maquina con linux. Pero no le veo la utilidad cuando ya tenga IKEv2, ¿o es que se pueden ir combinando métodos para ganar seguridad?
 
solomain dijo:
He seguido los pasos para IKEv2 (sin OpenVPN) No me queda claro si es obligado hacerlo conjuntamente con IKEv2 para que funcione. O se puede hacer solo el IKEv2 en solitario.
Haz clic para expandir...
No es obligatorio tener openvpn yo sólo tengo ikev2 en mi router.

solomain dijo:
Tengo los certificados ca.crt y client.p12 puestos en el móvil (equivalente a Android 9). El caso es que desde ajustes no me da la opción de IKEv2, solo estas opciones:
Haz clic para expandir...
Tienes que instalar la app strongswan para utiizar ikev2 en el móvil.

play.google.com

strongSwan VPN Client - Aplicaciones en Google Play

Official Android 4+ port of the popular strongSwan VPN solution. # FEATURES AND LIMITATIONS # * Uses the VpnService API featured by Android 4+. Devices by some manufacturers seem to lack support for this - strongSwan VPN Client won't work on these devices! * Uses the IKEv2 key exchange...
play.google.com play.google.com

Así lo tengo yo.

st_02.jpegst_01.jpeg

Saludos.
 
Última edición:
Ignora mi comentario @solomain, que a ti te mandé yo directo a por IKEv2, sabiendo que trasteas bastate en linux y que tu principal necesidad es la seguridad. Si bien el manual es algo más complejo, como podrás ver, hay más de uno que ya lo tiene montado a partir de él. Los otros son de montar con un click, no hay comparación. Este te lo tienes que currar y saber cómo trabajar con certificados, pero poco más, tampoco es que sea un arco de iglesia, ni mucho menos.

El tema de WireGuard es por que te vayas haciendo a él. Porque es algo muchísimos más sencillo que IKEv2, pero que funciona a las mil maravillas. Y la implementación es de una simpleza que es para quitarse el sombrero. Algo simple que es seguro, es dos veces seguro, a mi parecer.

Saludos!
 
stargate4you dijo:
Tienes que instalar la app strongswan para utiizar ikev2 en el móvil.
Haz clic para expandir...
Gracias @stargate4you, al final he descargado la apk de aquí: https://download.strongswan.org/Android/ puesto que no uso la tienda de apps de Android.

pokoyo dijo:
Ignora mi comentario @solomain, que a ti te mandé yo directo a por IKEv2, sabiendo que trasteas bastate en linux y que tu principal necesidad es la seguridad. Si bien el manual es algo más complejo, como podrás ver, hay más de uno que ya lo tiene montado a partir de él. Los otros son de montar con un click, no hay comparación. Este te lo tienes que currar y saber cómo trabajar con certificados, pero poco más, tampoco es que sea un arco de iglesia, ni mucho menos.

El tema de WireGuard es por que te vayas haciendo a él. Porque es algo muchísimos más sencillo que IKEv2, pero que funciona a las mil maravillas. Y la implementación es de una simpleza que es para quitarse el sombrero. Algo simple que es seguro, es dos veces seguro, a mi parecer.
Haz clic para expandir...
Ok @pokoyo.

¡Ya lo tengo funcionando!
 
Es sólo un ID. Por comodidad, lo reduje a eso. Pero le puedes poner lo que quieras ahí, siempre y cuando coincida con el ID que luego mandes como "ID local" en la conexión.

Me alegro de que ya lo tengas funcionando.

Saludos!
 
Mira, te sugiero el siguiente paso: monta un filtro de DNS tipo pi-hole o similar, le metes soporte DoH y se lo enchufas como resolver a los equipos que conectan a la VPN. De esa manera, cuando salgas de casa y navegas en 4G o wifi ajena, tienes el mismo comportamiento que en tu casa, navegando limpito, sin anuncios y sin rastro en los DNS.

Saludos!
 
pokoyo dijo:
Mira, te sugiero el siguiente paso: monta un filtro de DNS tipo pi-hole o similar, le metes soporte DoH y se lo enchufas como resolver a los equipos que conectan a la VPN. De esa manera, cuando salgas de casa y navegas en 4G o wifi ajena, tienes el mismo comportamiento que en tu casa, navegando limpito, sin anuncios y sin rastro en los DNS.
Haz clic para expandir...
¡Conseguido! Creo que esta bien hecho.
Screenshot_20201223-054444_Fennec.png


Screenshot_20201223-054458_Fennec.png


El unico navegador libre (de f-droid.org), de los que he probado, que me admite estavlecer las variables: network.security.esni.enabled a true y network.trr.mode a 2, es fennec.
 
Eso tiene una pinta estupenda. Editaste la configuración de la VPN para que puedas aprovechar eso cuando sales de casa?

Saludos!
 
Estoy siguiendo estos fantásticos tutoriales para los routers Mikrotik, y al crear un VPN iKEv2 me he quedado en un punto.
Al escribir en el terminal:

/ip ipsec identity
add auth-method=digital-signature

y el resto, me marca error en digital. Si entro a ip > ipsec > identities resulta que no aparece digital-signature como método de autentificación, como se ve en la imagen y vi en la página dos de este post. Si cambio digital por rsa, al escribirlo por terminal no me marca error, pero no puedo conectarme al VPN.
11a.jpeg

Los certificados ya los tengo creados, instalados en windows, abiertos los puertos...
El Mikrotik lo tengo como bridge, y el router principal tiene los puertos 500 y 4500 abiertos para la ip del Mikrotik.

Alguna ayuda de ¿por qué no aparece digital signature?
Gracias de antemano.
 
Debes estar conectado o registrado para responder aquí.

Similar threads

V
Mikrotik rb4011 + Gpon uFiber nano g + tlf voIP + Wifi AP Nano HD
Respuestas
18
Visitas
821
furny
pokoyo
  • Anclado
MANUAL: Mikrotik, configuraciones básicas ISPs
15 16 17
Respuestas
322
Visitas
13,215
pokoyo
pokoyo
  • Anclado
MANUAL: Mikrotik, securizar el DNS usando DoH (DNS over HTTPS)
3 4 5
Respuestas
86
Visitas
2,663
Yoniper
pokoyo
  • Anclado
MANUAL: Mikrotik, manejo de APs usando CAPsMAN
2 3 4
Respuestas
65
Visitas
2,489
SHINZONITO
pokoyo
  • Anclado
MANUAL: Mikrotik, tips & tricks
2 3 4
Respuestas
74
Visitas
6,502
pokoyo
Arriba