MANUAL: Mikrotik, OpenVPN e IKEv2 VPNs

Me he puesto con ello hoy pero, tras darme cuenta de un error, he vuelto a comenzar pero me asalta una duda sobre la plantilla una vez modificados los datos. ¿Se tiene que teclear en el terminal línea a línea, tal y como he venido haciendo hasta ahora, o se podría hacer un script, correrlo y ya está? Lo mismo digo una tontería pero me ha asaltado esa duda.
 
Script y palante. Línea a línea cuando no tienes manejo. Cuando lo tienes, metes todo en un fichero de texto con extensión .rsc y lo subes al router. Desde terminal haces import fichero.rsc y listo, todo importado/ejecutado de un plumazo.

Saludos!
 
PPTP hace años que lo quitaron en Apple. Precisamente por eso, por inseguro.

Saludos!
 
OK. Unas dudas en la primera plantilla, la dirección que nos da mikrotik ( incluído el número de serie ) se pone solamente en esta línea, ¿Verdad?

add name=xxx-server-template common-name=VPN-Server subject-alt-name=DNS:*.sn.mynetname.net\

Lo digo porque unas líneas antes aparece lo siguiente y supongo que ahí se deja tal y como está:

add name=xxx-ca-template common-name=VPN-CA subject-alt-name=DNS:mynetname.net\

Por último, en la línea:

add name=xxx-client-template common-name=VPN-Client-X subject-alt-name=email:clientX@sn.mynetname.net\

¿El email se dejá tal y como aparece en la línea ( clientX...... ) o se modifica con el número de serie en concreto y otro nombre que no sea clientX?

Gracias.
 
Se pone lo que pone en el manual. El asterisco está ahí precisamente para hacer de wildcard, es decir, para que valga para todo el mundo, sea cual sea el número de serie de tu equipo y su dirección cloud concreta.
SHINZONITO dijo:
add name=xxx-client-template common-name=VPN-Client-X subject-alt-name=email:clientX@sn.mynetname.net\
Haz clic para expandir...
En esa línea cambias "clientX" por "pericoeldelospalotes" o el nombre que le quieras dar a ese cliente.

Saludos!
 
Te está diciendo que parte de la configuración que tienes en ese fichero ya existe, así que no lo ejecuta. necesitas asegurarte de que lo que está en el fichero no existe para poder importarlo.

Saludos!
 
Gracias, supongo que será que la primera vez que lo hice ya se creó a pesar de que yo creía que no había hecho nada. Supongo que serán los certificados. ¿Pueden ser lo que meto en un recuadro? ¿Qué sería, borrarlos ahí y lanzar el script de nuevo? ¿Los 4 finales o también incluyo el primero que no se exáctamente cuál es? Bueno, ¿Podría ser el que se usa para lo de la securización de la DNS? Entonces sería borrar los otros, pero ese no....
 

Adjuntos

  • certificados ya creados.jpg
    certificados ya creados.jpg
    293.9 KB · Visitas: 22
Bueno, después de varios intentos he conseguido que, tras el import fichero1.rsc ( así llamo al script digamos número 1 ), no me de error y me diga que está todo correcto. Paso al segundo script pero me indica "failure: duplicate item name". Supongo que será como lo anterior que me dijiste, pokoyo, que había algo ya creado. He estado mirando el script y lo que se me ocurre es que se refiera a la parte de permitir el tráfico de entrada al puerto 4500 y 500 para IPsec. que se creara en la configuración inicial al activar el VPN que crea Mikrotik ¿Sería lo correcto? En caso afirmativo ¿Bastaría con eliminarlo del script? ¿Habría algo más que quitar teniendo en cuenta que la vpn ya estaba creada al haber activado la VPN de la configuración inicial?
 
Última edición:
SHINZONITO dijo:
Bueno, después de varios intentos he conseguido que, tras el import fichero1.rsc ( así llamo al script digamos número 1 ), no me de error y me diga que está todo correcto. Paso al segundo script pero me indica "failure: duplicate item name". Supongo que será como lo anterior que me dijiste, pokoyo, que había algo ya creado. He estado mirando el script y lo que se me ocurre es que se refiera a la parte de permitir el tráfico de entrada al puerto 4500 y 500 para IPsec. que se creara en la configuración inicial al activar el VPN que crea Mikrotik ¿Sería lo correcto? En caso afirmativo ¿Bastaría con eliminarlo del script? ¿Habría algo más que quitar teniendo en cuenta que la vpn ya estaba creada al haber activado la VPN de la configuración inicial?
Haz clic para expandir...
Si tienes dudas, ve comando a comando. Puedes ir revisando los distintos menús y ver donde se ha quedado. Otra buena es meter líneas de log en el fichero .rsc, que te indiquen hasta donde has llegado.

Saludos!
 
Metiendo líneas cómo estás entre medio del script, las cuales pintan en el log: /log info “por aquí voy”

Saludos!
 
He intentando de esa manera pero me indicaba línea y posición por lo que he intentando hacerlo metiendo el código a mano desde la terminal. He llegado hasta cuando damos de alta una nueva configuración para IKEv2 que me aparece ya un problema....
 

Adjuntos

  • hasta aqui.jpg
    hasta aqui.jpg
    355.2 KB · Visitas: 20
Pues ya sabes dónde tienes el fallo. Ve a IP -> IPSec -> Mode Configs (pestaña) y elimina la entrada "ike2-config"

Saludos!
 
Buenas compi! hoy he tenido yo que hacer lo mismo que tú, recrear IKEv2 desde un script. Me fallaba lo mismo, y es porque la CA, desde que la mandas firmar hasta que la puedes usar para firmar otros certificados tarda un pelín. Lo resolví metiendo un delay después del comando que firma la CA, por si te sirve para tu script
Código: 
# Firmarlos
/certificate
sign vpn-ca
{:delay 5};
...

Saludos!
 
Si quieres meterlo como script, añade el delay, que lo vas a necesitar igualmente.

Saludos!
 
Cuando cambies las IP's, asegúrate de tocar tanto la dirección del router como los dos extremos del dhcp, inicio y fin. Una vez hecho, desconecta el cable de red y lo vuelves a conectar, y fuerzas que el equipo que te conecta al router libere la conexión.

Saludos!
 
Pásame una foto de cómo configuras IKEv2 en el StrongSwang. Y, de paso, una foto del IP -> Firewall -> Filter.
Recuerda que en el chain de input del firewall tienen que estar aceptados los puertos 4500 y 500

Saludos!
 
pokoyo dijo:
Pásame una foto de cómo configuras IKEv2 en el StrongSwang. Y, de paso, una foto del IP -> Firewall -> Filter.
Recuerda que en el chain de input del firewall tienen que estar aceptados los puertos 4500 y 500

Saludos!
Haz clic para expandir...
 

Adjuntos

  • filter.jpg
    filter.jpg
    414.3 KB · Visitas: 26
  • pantallazostrongswan.jpg
    pantallazostrongswan.jpg
    143.2 KB · Visitas: 27
Debes estar conectado o registrado para responder aquí.

Similar threads

pokoyo
  • Anclado
MANUAL: Mikrotik, IKEv2 VPN a fondo
Respuestas
8
Visitas
370
pokoyo
B
Mikrotik CRS326 - Rendimiento subóptimo en el acceso a Internet
Respuestas
16
Visitas
433
pokoyo
Sgbsv
Movistar 1gb RB760iGS
Respuestas
15
Visitas
445
Sgbsv
DavidGrandes
IPTV Vodafone en Mikrotik
2 3 4
Respuestas
68
Visitas
1,711
DavidGrandes
V
Mikrotik rb4011 + Gpon uFiber nano g + tlf voIP + Wifi AP Nano HD
2
Respuestas
37
Visitas
1,558
pokoyo
Arriba