MANUAL: Mikrotik, Wake Up On WAN de manera segura (VPN transparente + WOL)

Te estás liando tela marinera, y es realmente simple. Ahora mismo tienes un popurrí de configuración, mezcla del quick set y del script. Si quieres configurar el equipo con ip estática, tienes dos opciones: tocar el script (opción menos recomendable, pero dime si lo quieres y lo tocamos) o reservar, en el router de Adamo, la ip que se le entrega al mikrotik de manera dinámica. Si haces la reserva, a esa es a la ip a la que le tienes que abrir los puertos de la vpn. Hecho eso, lo único que tienes que hacer es conectar el router al de Adamos y configurar en el iPhone la vpn con los 4 datos que tienes del mikrotik: los tres del script (usuario, contraseña y secreto compartido) más el dominio ddns que sacas del apartado IP -> Cloud.

No necesitas nada más. No tocas el quick set para nada. Es más, si el router no está recién reseteado, en el quick set te puede salir de todo, que no va a coincidir con la configuración de ir haces por fuera vía winbox, webfig o script.

Saludos!
 
Si, creo que me he liado un poco :cry:
Los puertos ya están abiertos para la ip 209 que es la que tiene asignada. Tengo los datos de conexión (usuario, contraseña, secreto compartido e IP)
Lo que no sé es que hacer con esos datos en el iPhone. ¿Tengo que añadir esa configuración? Me sale eso mismo... "Añadir configuración VPN"
¿Y después como despierto el equipo desde fuera para conectarme con Anydesk?
 
Pues misterio resuelto.
He configurado la VPN en el iPhone (Ajustes/General/VPN) y el tipo L2TP
A partir de ahí he introducido todos los datos (credenciales y dominio) y ya me aparece VPN en la pantalla principal de Ajustes de iPhone. Al marcar la pestaña de ese VPN ya pone que se está conectando y automáticamente se enciende el equipo
Así que muchas gracias por la información y sobre todo por la paciencia para, finalmente, conseguir el objetivo ;)
Solo una duda más.... ¿debería navegar con el iPhone con esa opción marcada? Sé que al marcarla enciendo el equipo remoto pero también entiendo que aunque esté fuera de casa estaría navegando a través de esa red teóricamente segura ¿no?
Lo dicho, muchas gracias por la información!!
Saludos
 
Última edición:
Como soy muy muy novato en esto, he complicado mucho lo que era sencillo pero al final con la ayuda de pokoyo (mil gracias) lo he conseguido, voy a poner aquí la guía que he hecho en un word para guardar y que no se me olvide si tengo que volver a hacerlo. He ido apuntando los pasos porque hay cosas que en el manual se obvian por simples pero que yo no lo sabía (por ejemplo, crear el script.rsc con el bloc de notas, ejecutar un script, reservar la IP en DHCP o configurar un iPhone para hacer WOW). Creo que está todo bien explicado porque me ha funcionado:

1 – Enchufar el router al cable de red. Ejecutamos CMD y después ipconfig para ver la puerta de enlace (por defecto 192.168.88.1). Entramos por navegador a esa dirección y hacemos la configuración inicial según el manual “Mikrotik, primeros pasos”:
https://www.adslzone.net/foro/mikrotik.199/manual-mikrotik-primeros-pasos.497503/

2 – Intentamos actualizar el software (en mi caso pone que no hay espacio suficiente). Después de hacer toda la configuración, ya me deja actualizar

3 – Abrimos el bloc de notas y pegamos esto (lo guardamos como “script.rsc”)


# Definimos las variables a usar en la configuración de la VPN
:local usuariovpn "abc123"
:local passwordvpn "def456"
:local secretoipsec "xyz987"

# Definimos las variables a usar en el script de WOL
:local macserverwol "00:11:22:AA:BB:CC"
:local ipserverwol 192.168.1.100
:local scriptwol "/tool wol mac=$macserverwol interface=bridge"

############################################################
# ARRANCA EL SCRIPT DE CONFIGURACIÓN
############################################################

# Deshabilitamos la interfaz inalámbrica
# puesto que de inicio no la vamos a usar
/interface wireless
set 0 disabled=yes

# Creamos un nuevo bridge
/interface bridge
add name=bridge auto-mac=no admin-mac=\
[/interface ethernet get ether1 mac-address]

# Añadimos todas las interfaces al bridge
/interface bridge port
add bridge=bridge interface=all

# Levantamos un cliente DHCP sobre ese bridge
# Para que obtenga IP del router principal
/ip dhcp-client
add interface=bridge disabled=no

# Creamos un nuevo bridge de loopback,
# Para tener una IP con la que conectarnos al router
/interface bridge
add name=loopback

# Creamos una IP de administración
/ip address
add interface=loopback address=192.168.90.1/24

/ip arp
add interface=bridge mac-address=$macserverwol address=$ipserverwol

# Creamos un pequeño pool para la VPN (ejemplo, 5 ususarios)
/ip pool
add name=vpnpool ranges=192.168.89.2-192.168.89.6

# Creamos un nuevo perfil para la VPN, asociado al pool
# Y que ejecute el script de WOL al detectar una conexión
/ppp profile
add copy-from=default-encryption local-address=192.168.89.1 \
remote-address=vpnpool name=l2tpprofile on-up=$scriptwol

# Damos de alta un nuevo usuario para la VPN
/ppp secret
add name=$usuariovpn password=$passwordvpn service=l2tp profile=l2tpprofile

# Damos de alta el servidor VPN con L2TP
# sin más encriptación ni más nada
# puesto que sólo lo vamos a usar para el WOL
/interface l2tp-server server
set enabled=yes use-ipsec=yes ipsec-secret=$secretoipsec

# Nateamos la subred de la VPN
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.89.0/24

# Damos de alta el cliente cloud
# para que el router tenga un DDNS automáticamente
/ip cloud
set ddns-enabled=yes

# Opcional - Creamos un script para levantar a mano por WOL
# Por si tenemos que hacerlo en cualquier otro momento
# Descomentar las siguientes 2 líneas en caso de quererlo
# /system script

# add dont-require-permissions=yes name=wol source=$scriptwollang=EN-US style='font-family:Consolas;color:#333333;mso-ansi-language:EN-US'>


Hay que personalizar las primeras líneas con nuestras credenciales según el manual “Mikrotik, Wake Up On WAN de manera segura (VPN transparente + WOL)”
https://www.adslzone.net/foro/mikro...an-manera-segura-vpn-transparente-wol.577506/

Estos son los datos a personalizar:

# Definimos las variables a usar en la configuración de la VPN
:local usuariovpn "abc123"
:local passwordvpn "def456"
:local secretoipsec "xyz987"

# Definimos las variables a usar en el script de WOL
:local macserverwol "00:11:22:AA:BB:CC"
:local ipserverwol 192.168.1.100
:local scriptwol "/tool wol mac=$macserverwol interface=bridge"lang=EN-US style='font-family:Consolas;color:#333333;mso-ansi-language:EN-US'>


Una vez creado el script, lo arrastramos a WinBox.

4 - Abrimos “New Terminal”, pegamos esta orden y le damos a Enter:

/system reset-configuration keep-users=yes skip-backup=yes run-after-reset=script.rsc
Aquí el router se va a resetear, cargar la nueva configuración y se reiniciará. Hay que esperar a que arranque de nuevo y estaría listo

5 – La IP que le asigne el router al Mikrotik, la reservamos por DHCP para que siempre la tenga este dispositivo. En mi caso es la 192.168.1.209
En el router de Adamo hay que ir a Overview/Lan/Mikrotik y ahí a Static Leases
También hay que abrir los puertos 1701, 4500 y 500 para la ip, en mi caso, 192.168.1.209
En el router de Adamo hay que ir a Overview/Lan/Mikrotik y ahí a Port Forwarding/Add mapping

6 – Hacemos un backup de la configuración. Para eso vamos a Files y ahí pinchamos en el botón Backup, le ponemos un nombre y aceptamos. Aparecerá en esa lista y para guardarlo en el pc, pinchamos encima con el botón derecho del ratón y después en Download

7 – Nuestra ip pública la podemos ver en WinBox en IP/Cloud. También aparece “DNS Name” que es un dyndns gratuito con nos proporciona Mitrotik para tener siempre conexión aunque la ip cambie. Es el dominio que usaremos para hacer WOW

8 – Ya estaría lista la configuración del Mikrotik

9 – Para hacer WOW desde un iPhone:
Configurar la VPN en Ajustes/General/VPN. En tipo seleccionamos L2TP
A partir de ahí se introducen las credenciales que habíamos introducido en el script (usuario, contraseña, secreto compartido y dominio). Ahora aparece VPN en la pantalla principal de Ajustes del iPhone. Al marcar la pestaña de ese VPN ya pone que se está conectando y automáticamente se enciende el equipo
 
Última edición:
Aaaaahora sí lo has entendido. Usa la vpn como quieras. Puedes usarla como conexión segura, para acceder a cualquier equipo de tu casa, o para lo que se te ocurra. La idea es que aproveches el evento de conexión para disparar el wol o para lanzar cualquier otro script que se te ocurra.

Descuida que paciencia tengo un rato; por eso no te preocupes.

Saludos!
 
También decirte que te puedes saltar todos los pasos hasta el import del fichero. Y no hay que hacer dos imports, sino solo uno, pero con los datos de las variables de entorno ya en su sitio. Entiendo que la dirección MAC y la IP, así como los datos de la vpn que quieres montar los conoces antes de arrancar, así que no hay ninguna necesidad de hacer dos imports. El equipo recién lo compras lleva la configuración del quick set, la que trae por defecto: modo router y subred 192.168.88.0/24. Podrías incluso saltarte los primeros pasos del quick set, actualizaciones, poner el usuario, etc; y eso hacerlo después de importar el script. La ip que tiene ese chisme es la que obtenga del router de Adamo, así que lo podrías consultar en él. Y, a unas malas, tendrás una interfaz de loopback en la 192.168.90.1 a la que siempre te podrás conectar, si enganchas por cable directo al equipo y configuras tu tarjeta de red en esa subred de manera manual.

Vamos, que todos los pasos se resumen en dos: copio el script y lo adapto a mi red, lo importo y andando.

Saludos!
 
Hoy estoy teniendo un problema. Ayer todo iba bien y de hecho en mi equipo va bien, pero en el de mi mujer se ha quedado sin internet. Mi equipo está conectado al Mikrotik por cable y el Mikrotik al router de Adamo por cable al puerto 1. El de mi mujer está conectado por cable al puerto 2 del router de Adamo, por lo que entiendo que el Mikrotik no le debería afectar.
El caso es que el de ella no tiene internet porque la puerta de enlace asignada a ese equipo es la 192.168.1.209 que es la reservada en el router de Adamo para el Mikrotik. Si al pc le pongo una ip fija y la puerta de enlace 192.168.1.1 entonces sí que tiene internet.... pero no le funciona la conexión VPN que tiene para conectarse al trabajo por lo que debería tener la ip automática y ahí es donde le vuelve a asignar la puerta de enlace 209 y se queda sin internet.
No entiendo muy bien qué está pasando o como resolverlo

EDITO:
Estoy en el trabajo a 60 km de casa, he intentado conectarme por VPN y el iPhone me pone que el servidor L2TP-VPN no responde
Toca seguir remando :cautious:
 
Última edición:
Creo que sé lo que pasa. Digo "creo" porque tampoco lo tengo claro de todo.
Esta mañana reinicié el de Adamo y el Mitrotik. Los encendí a la vez y como el Miktrotik es más rápido arrancando, creo que se quedó como principal asignando la puerta de enlace 209. A partir de ahí todos los dispositivos wifi se quedaron sin conexión. Los pc's, al poner la puerta de enlace de forma manual, conseguí conexión.
Lo que he hecho ahora es apagar ambos routers, encender el de Adamo y esperar a que esté operativo. Después encendí el Mitrotik y ahora mismo todo funciona bien. Wifi en todos los dispositivos, puedo conectarme con el iPhone por VPN, hacer WOL por 4G, etc.
Si finalmente es ese el problema, la pregunta es si se puede hacer un retardo en el inicio del Mitrotik en caso de que se vaya y vuelva la luz para que la secuencia de arranque sea la correcta
Saludos
 
Creo que sé lo que pasa. Digo "creo" porque tampoco lo tengo claro de todo.
Esta mañana reinicié el de Adamo y el Mitrotik. Los encendí a la vez y como el Miktrotik es más rápido arrancando, creo que se quedó como principal asignando la puerta de enlace 209. A partir de ahí todos los dispositivos wifi se quedaron sin conexión. Los pc's, al poner la puerta de enlace de forma manual, conseguí conexión.
Lo que he hecho ahora es apagar ambos routers, encender el de Adamo y esperar a que esté operativo. Después encendí el Mitrotik y ahora mismo todo funciona bien. Wifi en todos los dispositivos, puedo conectarme con el iPhone por VPN, hacer WOL por 4G, etc.
Si finalmente es ese el problema, la pregunta es si se puede hacer un retardo en el inicio del Mitrotik en caso de que se vaya y vuelva la luz para que la secuencia de arranque sea la correcta
Saludos
No, ese no es el problema, a menos que tengas un popurrí de configuración en el mikrotik. Pásame un export y lo revisamos. Si el equipo está bien configurado, es un switch y no un router, así que debe ser totalmente transparente para el otro equipo. Además, no hace falta que conectes ningún equipo al mikrotik para que funcione el setup, como te dije, con tener el mikrotik conectado al router principal vale.

Dale si quieres un export a la configuración actual y la revisamos.

Saludos!
 
Antes de nada, alguien podía decirme que estaba escribiendo mal el nombre del cacharro todo este tiempo :ROFLMAO:
Pues ahí va la configuración actual:

# oct/12/2021 13:14:24 by RouterOS 6.49
# software id = 7JT6-T29I
#
# model = xxxxx-xxx
# serial number = xxxxxxxxxxxxxxxxxx
/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no name=bridge
add name=loopback
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik station-roaming=enabled
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.1.201-192.168.1.254
add name=vpnpool ranges=192.168.89.2-192.168.89.6
/ip dhcp-server
# DHCP server can not run on slave interface!
add address-pool=dhcp disabled=no interface=ether1 name=dhcp1
/ppp profile
add change-tcp-mss=yes local-address=192.168.89.1 name=l2tpprofile on-up=\
"/tool wol mac=AA:AA:AA:AA:AA:AA interface=bridge" remote-address=vpnpool \
use-encryption=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge interface=all
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set enabled=yes ipsec-secret=xxxxxxxxxxxxx use-ipsec=yes
/interface list member
add interface=wlan1 list=WAN
add list=LAN
/ip address
add address=192.168.1.41/8 interface=ether1 network=192.0.0.0
/ip arp
add address=192.168.1.209 interface=bridge mac-address=AA:AA:AA:AA:AA:AA
add address=192.168.1.40 interface=bridge mac-address=AA:AA:AA:AA:AA:AA
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
# DHCP client can not run on slave interface!
add disabled=no interface=wlan1
add disabled=no interface=bridge
/ip dhcp-server network
add address=192.0.0.0/8 gateway=192.168.1.41 netmask=8
add address=192.168.1.0/24 gateway=192.168.1.209 netmask=24
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat src-address=192.168.89.0/24
/ip route
add disabled=yes distance=1 gateway=192.168.1.1
/ppp secret
add name=xxxxxxxxxxxx password=xxxxxxxxxxxxxx profile=l2tpprofile service=l2tp
/system clock
set time-zone-name=Europe/Madrid
 
Tienes un popurrí, resultado de aplicar el script de configuración y el quick set luego encima. Prepara el fichero como te dije y vuelve a importarlo. Y NO ejecutes el quick set ni vuelvas a pasar si quiera por esa pantalla. Ahora mismo tienes un buen Frankenstein.

Saludos!
 
No, el reset y la carga del fichero se hace del tirón, con la instrucción que te di. No hace falta que hagas otro reset en medio.

Saludos.
 
Intento ejecutar el script y me sale un error:

[admin@MikroTik] > /import file="script.rsc"
failure: already have interface with such name
[admin@MikroTik] >

¿Me tengo que cargar algo de esto?

Sin título.jpg
 
Creo que yo no te he pasado ningún comando de import. Sigue el manual y haz lo que te dice, al pie de la letra:

…procederemos de la siguiente forma:
Código:
/system reset-configuration keep-users=yes skip-backup=yes run-after-reset=script.rsc

Saludos!
 
Creo que yo no te he pasado ningún comando de import. Sigue el manual y haz lo que te dice, al pie de la letra:

…procederemos de la siguiente forma:
Código:
/system reset-configuration keep-users=yes skip-backup=yes run-after-reset=script.rsc

Saludos!
Cierto, lo de import no lo has puesto. Busqué en google como ejecutar el script.
De todas formas, en el manual no pone como ejecutarlo. Lo acabo de hacer entrando en New Terminal y pegando el código /system reset-configuration keep-users=yes skip-backup=yes run-after-reset=script.rsc
Tampoco me pone en el manual como ejecutar el 2º script, así que supongo que me servirá con /import file= o como tú me digas, no sé como hacerlo de otra forma
 
Cierto, lo de import no lo has puesto. Busqué en google como ejecutar el script.
De todas formas, en el manual no pone como ejecutarlo. Lo acabo de hacer entrando en New Terminal y pegando el código /system reset-configuration keep-users=yes skip-backup=yes run-after-reset=script.rsc
Tampoco me pone en el manual como ejecutar el 2º script, así que supongo que me servirá con /import file= o como tú me digas, no sé como hacerlo de otra forma
Pero qué segundo script! Si sólo hay uno!

Solo tienes que hacer dos cosas para meterle la configuración al mikrotik, tal y como te ponía en el manual: modificar las primeras líneas del script, acordé a tus datos y subirlo al router + correr la instrucción que lo resetea y carga esa configuración, con una única instrucción desde terminal. No tiene más ciencia.

Saludos!
 
carga esa configuración, con una única instrucción desde terminal
A eso me refiero. Piensa que para mi eso suena a chino.
La configuración la otra vez la hice a través del bloc de notas, guardando como "script.rsc", arrastrando a WinBox y desde "New Terminal" ejecutando /import file=”script.rsc”
No sé hacerlo de otra forma y veo que no es la correcta
Para que veas mi nivel es esto de WinBox, es como si le dices a alguien "entra en el router y abre un puerto". Te dirá... ¿y como entro en el router?
Pues eso es lo que yo sé de WinBox :eek:
 
Lo de copiar el script, modificarlo y subirlo al router lo tienes claro, ¿no? Pues, abre el terminal y, en lugar de ejecutar un “import”, que no sé de dónde te lo has sacado, porque en mis instrucciones no se menciona ese comando, escribe el comando de reset que tienes dos comentarios más arriba. Esa instrucción hace, literalmente: “resetea el chisme, sin tocar los usuarios, y carga esta configuración”. A ver si así te queda más claro.

Saludos!
 
Todo lo que dices es cierto :unsure:
Me leí el manual 2 veces pero se ve que no acabé de entender alguna cosa. Lo que hacía era cargar un .rsc con el reset y después de eso cargar otro .rsc con la configuración ya modificada. Por alguna extraña razón :cautious: ninguna de las 2 veces que lo leí me fijé en que el archivo ya tenía que estar cargado antes de ejecutar la primera orden y así se haría, como bien dices, todo de forma automática.
Ahora sí lo he entendido todo creo que al 100% y sí, es muy fácil de configurar.
He hecho todo de nuevo, he reiniciado todo, he puestos las ip's de los pc's en automáticos y todo funciona perfecto
No he tocado nada más y el resultado es éste. Si quieres comprueba a ver si todo está bien:

# oct/12/2021 20:31:06 by RouterOS 6.49
# software id = 7JT6-T29I
#
# model = xxxxxxxxxxxxx
# serial number = xxxxxxxxxxxxx
/interface bridge
add admin-mac=xxxxxxxxxxxxx auto-mac=no name=bridge
add name=loopback
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=vpnpool ranges=192.168.89.2-192.168.89.6
/ppp profile
add change-tcp-mss=yes local-address=192.168.89.1 name=l2tpprofile on-up=\
"/tool wol mac=xxxxxxxxxxxxx interface=bridge" remote-address=vpnpool \
use-encryption=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge interface=all
/interface l2tp-server server
set enabled=yes ipsec-secret=xxxxxxxxxxxxx use-ipsec=yes
/ip address
add address=192.168.90.1/24 interface=loopback network=192.168.90.0
/ip arp
add address=192.168.1.41 interface=bridge mac-address=xxxxxxxxxxxxx
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=bridge
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.89.0/24
/ppp secret
add name=xxxxxxxxxxxxx password=xxxxxxxxxxxxx profile=l2tpprofile service=l2tp
/system clock
set time-zone-name=Europe/Madrid
 
Arriba