Seguridad routers MikroTik WAN por defecto

Pues anoche, con la regla de pelmazos deshabilitada, recibí dos paquetes por la regla IPsec NAT & IKE (fueros 500,4500 por UDP). Pero no me dio error de IpSec, porque debió haber hecho solo un sondeo y no un intento de acceso (probablamente, usó solo UDP por el puerto 500). Se me olvidó poner un log en la regla de IPsec NAT & IKE, pero la he puesto ahora para ver que entra esta noche. Ya te diré...
 
Jeje, vamos a salir de dudas rápido si le tienes puesto el ojo encima.

Saludos!
 
Yo hace mucho tiempo, desde que puse la VPN con IpSec, todas las noches intentan mandarme un par de paquetes desde esas direcciones. Como tengo puesto que cada vez que se produzca un error el MK me mande un mensaje de correo advirtiéndome, estaba hasta las pelotas de los de Hurricane y toda esa panda. Según he averiguado no parecen muy maliciosos, pero son unos pesados, y no me fío, la verdad.
Eso mismo veo que me está pasando a mí desde que puse el hAP AC2 con la VPN L2TP. Tres días que lleva en marcha el router y tres intentos. Tendré que poner las mismas reglas que pusiste tú para pararles (Hurricane).
En cambio en el hEX S ningún intento desde el principio y tiene IKEv2.
Lo malo es que IKEv2 me funciona en el móvil Android y en el pc/portátil con Linux no hay manera de establecer la conexión, que es lo que me gustaría.
Saludos.
 
Eso mismo veo que me está pasando a mí desde que puse el hAP AC2 con la VPN L2TP. Tres días que lleva en marcha el router y tres intentos. Tendré que poner las mismas reglas que pusiste tú para pararles (Hurricane).
En cambio en el hEX S ningún intento desde el principio y tiene IKEv2.
Lo malo es que IKEv2 me funciona en el móvil Android y en el pc/portátil con Linux no hay manera de establecer la conexión, que es lo que me gustaría.
Saludos.
Bajaste el paquete del strongswan para Linux? No debería haber mayor problema para configurarlo allí.

Si usas cualquier distro basada en ubuntu, localiza el meta paquete network-manager-strongswan e instálalo. Una vez lo instales, la única diferencia es exportar el certificado cliente en modo PEM, para que exporte por separado certificado y clave privada, y que marques el check de
"Request inner IP address". No he conseguido que funcione bien el empujar el DNS del pi-hole, y los SA's que se instalan en el router no se borran cuando se cierra la conexión (tampoco es mayor problema, porque expirarán por tiempo), pero por lo demás, parece que funciona.

La primera vez que lo corras te pedirá la contraseña para abrir la clave privada del certificado cliente, y listo.

1609840007275.png


Saludos!
 
Última edición:
Bajaste el paquete del strongswan para Linux? No debería haber mayor problema para configurarlo allí.

Si usas cualquier distro basada en ubuntu, localiza los meta paquetes de strongswan y network-manager-strongswan (sospecho que este último contiene el anterior), y de esa manera tendrás una forma simple de configurarlo, vía el administrador de redes del equipo.

Saludos!

Sí, estan todos los paquetes descargados. Ya te digo que conecta con L2TP pero en cambio con IKEv2 no hay manera y con android (strongswan) sin problemas.
Me sale un pequeño mensaje de error en la autenticación del usuario si mal no recuerdo y ya está. En el log del router no sale nada de intento de conexión. Ya ves que relleno las casillas igual en Android que en Linux.

Captura de pantalla_2021-01-05_10-43-13.png


Captura de pantalla_2021-01-05_10-44-26.png
 
Simplemente exporta el certificado en formato PEM desde el router, y te lo hará en dos ficheros: certificado por un lado, y clave privada por otro. El certificado va donde tienes el .p12 metido ahora, y el fichero .key va en la clave privada.

Saludos!
 
Simplemente exporta el certificado en formato PEM desde el router, y te lo hará en dos ficheros: certificado por un lado, y clave privada por otro. El certificado va donde tienes el .p12 metido ahora, y el fichero .key va en la clave privada.

Saludos!
Ya me he perdido. No sé como se hace este paso.
 
System -> Certificates - > seleccionas el tuyo + boton derecho + export. En el type = PEM (en lugar de P12), y le pones una password, al igual que hacías con el .p12. Eso exportará el certificado en dos cachos, un .crt que es el certificado en sí, y un .key, que es la clave privada; tal y como te lo pide el cliente de linux. El p12 es un fichero donde van ambas cosas juntas.

1609842397347.png



Saludos!
 
System -> Certificates - > seleccionas el tuyo + boton derecho + export. En el type = PEM (en lugar de P12), y le pones una password, al igual que hacías con el .p12. Eso exportará el certificado en dos cachos, un .crt que es el certificado en sí, y un .key, que es la clave privada; tal y como te lo pide el cliente de linux. El p12 es un fichero donde van ambas cosas juntas.

Ahora sí que conecta. Conexión VPN activa. Muchísimas gracias.
Antes de que publicaras el mensaje ya me había movido yo por los menús del router y lo había averiguado, tal como tu lo muestras en la imagen.
Lo dicho, ahora ya conecta correctamente, yo que seguía los mismos pasos que en Android y no había manera. Pensaba que me tenía que quedar con la conexión de L2TP. Como dice el refrán: no te acostarás sin saber algo nuevo. La verdad es que cada día me sorprendo de la cantidad de cosas que se pueden hacer con los Mikrotik. Y a nivel de usuario básico, no me imagino lo que harán los profesionales.

Y siguiendo el tema de la seguridad me parece que deshabilitaré el servidor L2TP (servidor, reglas del firewall, services) y me quedaré con IKEv2, visto lo visto.
A ver que comenta furny de cómo le han ido las intrusiones esta noche.

Saludos y de nuevo muchas gracias.

PD: En el manual de las VPN se puede hacer una mención a la exportación en formato PEM para la conexión en Linux (Strongswan). Para que quede constancia y lo puedan utilizar y resolver como me ha pasado a mí.
 
Última edición:
Ahora sí que conecta. Conexión VPN activa. Muchísimas gracias.
Antes de que publicaras el mensaje ya me había movido yo por los menús del router y lo había averiguado, tal como tu lo muestras en la imagen.
Lo dicho, ahora ya conecta correctamente, yo que seguía los mismos pasos que en Android y no había manera. Pensaba que me tenía que quedar con la conexión de L2TP. Como dice el refrán: no te acostarás sin saber algo nuevo. La verdad es que cada día me sorprendo de la cantidad de cosas que se pueden hacer con los Mikrotik. Y a nivel de usuario básico, no me imagino lo que harán los profesionales.

Y siguiendo el tema de la seguridad me parece que deshabilitaré el servidor L2TP (servidor, reglas del firewall, services) y me quedaré con IKEv2, visto lo visto.
A ver que comenta furny de cómo le han ido las intrusiones esta noche.

Saludos y de nuevo muchas gracias.

PD: En el manual de las VPN se puede hacer una mención a la exportación en formato PEM para la conexión en Linux (Strongswan). Para que quede constancia y lo puedan utilizar y resolver como me ha pasado a mí.
Hecho, mencionado en el post de la VPN IKEv2. Quita el 1701 del L2TP del firewall y listo, además de apagar el servidor. Lo otro debería quedar funcionando tal cual lo tienes. Tienes un ejemplo de mi firewall por uno de estos posts, por si necesitas un ejemplo de cómo quedaría.

Saludos!
 
Jeje, vamos a salir de dudas rápido si le tienes puesto el ojo encima.

Saludos!
Pues esta noche, otros dos paquetitos. Son ambos UDP y al puerto 500, solamente, como me sospechaba, por lo que creo que solo sondean a L2TP/Ipsec, pero como lo que tengo es IKEv2, no pasan y no da mensaje de error. Uno es desde:

216.218.206.82 Hurricane Electric LLC​

el otro:

146.88.240.4 Arbor Networks Inc​

los dos, reportados como abusones.

O sea, que yo, por si las moscas, vuelvo a ponerme la regla de bloqueo de pelmazos.

Saludos!!!
 
Igual pero sólo la de Hurricane. Tres días L2TP en marcha y tres intentos. Al ver el log en rojo ya me entraron las preocupaciones.
He deshabilitado el servidor L2TP y la regla del firewall (udp 1701). Lo dejo así por si algún día hay que ponerla a funcionar de nuevo.

Captura de pantalla_2021-01-05_13-07-34.png


Captura de pantalla_2021-01-05_13-07-59.png


Mejor IKEv2 si se puede y listo. A ver si esta próxima noche con IKEv2 hay algún intento que quede registrado en el log del router.
Saludos.
 
Pues esta primera noche sin L2TP y ya no ha salido ningún aviso en el log.
Se ve que IKEv2 al utilizar certificados ya no les interesa probar nada. Supongo que por ahí van los tiros o miran el puerto 1701 que IKEv2 no utiliza.
Saludos.
Feliz día de Reyes.
 
Me tendre que estudiar y poner en marcha el IKEv2.
Gracias por vuestros comentarios en el foro que para los iniciados nos ayuda mucho para ir cogiendo conocimientos y nuevas ideas.
Saludos
 
Me tendre que estudiar y poner en marcha el IKEv2.
Gracias por vuestros comentarios en el foro que para los iniciados nos ayuda mucho para ir cogiendo conocimientos y nuevas ideas.
Saludos
Tienes un manual para ello (bueno o malo, al menos algo tienes donde agarrarte). Yo me las apañé viendo charlas y MUMs de mikrotik hasta que lo monté y funcionó. Si te atascas, dime.

Saludos!
 
Tienes un manual para ello (bueno o malo, al menos algo tienes donde agarrarte). Yo me las apañé viendo charlas y MUMs de mikrotik hasta que lo monté y funcionó. Si te atascas, dime.

Saludos!
Lo he estado mirando y tal vez a la tarde pueda dedicarme a ponerlo en práctica.
Ya se que puedo contar contigo,siempre estas ayudando ;)no que que haría sin ti.
Saludos y gracias
 
Arriba