[SOLUCIONADO] Cliente no puede acceder a internet con WireGuard desde fuera de la red

Muy buenas a tod@s l@s Mikrotiker@s.
Soy nuevo en el foro, y de paso ya, también en el mundo de MT.

Hace tiempo que había adquirido un hAP ac2 por recomendación de un usuario de este foro, pero nunca llegué a ponerlo en mi red de manera definitiva, hasta hace unos días atrás. Ya que estoy metido en MT y "no hay vuelta atrás" (no quiero que haya vuelta atrás), me gustaría saber si alguien de aquí podría darme una mano con un pequeño problema y quebradero de cabeza que estoy teniendo en la configuración de WG de mi router.

Pero primero unos datos de interés...
Equipos Implicados
- Router operadora: Livebox 6 (Orange)
- RouterBoard MT: hAP ac 2 (ROS v7.5, último FW)
Situación
- El Livebox está en modo ONT
- El Mikrotik lo tengo conectado al Livebox con VLAN para acceso a Internet (no tv, no teléfono).

La cosa es que acabo de configurar el servidor WG en el mikrotik, pero cuando intento acceder desde un móvil desde fuera de mi red local (usando datos), puedo ver mis equipos de mi LAN, pero no puedo navegar en internet. Lo raro, es que apps como Telegram funcionan sin problemas, pero el resto de apps (YouTube, Aqualmail, Reddit) y en general todo lo que requiera de acceso a internet no funcionan.

Para la configuración me guié de varios tutos en la red, y de los dos relacionados en el foro (tuto1,tuto2). Además, comparando la configuración que se crea en un OS de servidores NAS llamado unRAID (el servidor donde la cree desde su interfaz), la cual es totalmente guiada y solo escaneando un código QR.

Mi intención, por el momento, es crear una VPN del tipo Road Warrior, permitiendo al Mikrotik ser el servidor VPN y que los clientes se conecten a éste (móviles, pcs...).

Incluyo algunas capturas (router y cliente) para que sepan cómo tengo la configuración.

Muchas gracias.
 

Adjuntos

  • mikrotik1.JPG
    mikrotik1.JPG
    56.5 KB · Visitas: 138
  • mikrotik2.JPG
    mikrotik2.JPG
    56.3 KB · Visitas: 116
  • mikrotik3.JPG
    mikrotik3.JPG
    80.4 KB · Visitas: 116
  • mikrotik4.JPG
    mikrotik4.JPG
    115.1 KB · Visitas: 122
  • photo_2022-09-11_13-01-32.jpg
    photo_2022-09-11_13-01-32.jpg
    67.5 KB · Visitas: 100
  • photo_2022-09-11_13-06-55.jpg
    photo_2022-09-11_13-06-55.jpg
    69.8 KB · Visitas: 130
Última edición:
Sencillo: en el móvil, usa un dns público, en lugar de 192.168.1.1. Lo que te pasa es que la subred de wireguard no tiene acceso al chain de input del router, es decir, no puede usar sus servicios, como el de servidor DNS que pretendes usar.

O metes una regla adicional en el chain de input que permita ese accedo, o directamente pones un dns público, y entrarías en ese caso por el chain de forward, donde esa comunicación sí está permitida.

Saludos!
 
Muchas gracias por respuesta pokoyo .
Pero, por desgracia, aunque haya llegado hasta este punto (con algo de ayuda también), no abría con exactitud cómo implementar lo de la regla del firewall adicional que comentas.

Podrías indicarme cómo o qué datos rellenar en la nueva regla para poder usar el router como DNS? Gracias.

Posible debe ser, pues en unRAID puedo acceder sin problemas con la VPN creada desde éste, usando 192.168.1.1 como DNS en el cliente móvil.
 
Pues mira, te doy dos maneras.

1.- La más sencilla: añadiendo la interfaz wireguard a la lista LAN. De esa manera, no aplicará la última regla de drop del chain de input, que rechaza todo lo que no venga de la LAN en input.
Código:
/interface list member
add interface=vpn-phones list=LAN

2.- La más fina: añadiendo una regla explícita para que desde la subred de wireguard, se pueda usar el servicio de DNS en input, y colocándola delante de la regla de drop previamente mencionada:
Código:
/ip firewall filter
add action=accept chain=input comment="vpn: allow wireguard rw to use router's DNS" \
    src-address=10.10.1.0/24 dst-port=53 protocol=udp place-before=[find comment="defconf: drop all not coming from LAN"]

Saludos!
 
Muchas gracias por la respuesta, pero desafortunadamente, sigue sin funcionar. No recibo IP de mi router al conectar la VPN desde fuera. Ni siquiera acceso a mi LAN tengo. Tampoco funciona añadiendo la interfaz de vpn a la LAN.
Envío captura de cómo lo he configurado.
 

Adjuntos

  • 3464573.JPG
    3464573.JPG
    89.1 KB · Visitas: 69
  • 4575656.JPG
    4575656.JPG
    23.3 KB · Visitas: 72
Última edición:
Esto es wireguard, aquí la IP la configuras tú a mano, no te la da el router. Según tus pantallazos, la IP de tu dispositivo es la 10.10.1.2/32, la cual aparece correctamente configurada en uno de tus pantallazos previos.

Los métodos que te di antes es para que apliques uno u otro, no los dos.

Saludos!
 
Esto es wireguard, aquí la IP la configuras tú a mano, no te la da el router. Según tus pantallazos, la IP de tu dispositivo es la 10.10.1.2/32, la cual aparece correctamente configurada en uno de tus pantallazos previos.

Los métodos que te di antes es para que apliques uno u otro, no los dos.

Saludos!
Si entiendo lo que dices. No me referia a la IP LAN, sino a la WAN. Es decir, que cuando me conecto tengo acceso a internet, pero solo si uso un servidor dns externo a mi red, es decir, uno que no sea el propio router (192.168.1.1). Pues, me gustaría, al estar conectado por VPN, tener internet con la IP de mi WAN.

Por otra parte, la red e IP que he elegido para mi dispositivo cliente es correcto. Quiero que tenga la 10.10.1.2. Eso está bien configurado.

Y, con respecto a los métodos ofrecidos, no he aplicados los dos simultáneos, simplemente he hecho capturas de cómo quedan por si había cometido algún fallo, sobretodo en el cortafuegos (orden de reglas, etc). Primero probé con uno, luego quite el anterior y probé el siguiente.

Espero haber aclarado los mal entendidos.

Lo raro es que siga sin funcionar.

- - - - - - - - - - - - -

Si sirve de algo, debajo comparto algunas capturas de cómo se configura (automáticamente) la interfaz y el peer para la VPN de WG en mi servidor unRAID. Tras crear todo, es simplemente escanear el QR generado en el cliente remoto. Y con esta configuración, tengo acceso a mi LAN y a internet usando la IP WAN de mi red.
 

Adjuntos

  • unraid1.JPG
    unraid1.JPG
    106 KB · Visitas: 48
  • unraid2.JPG
    unraid2.JPG
    73.9 KB · Visitas: 47
  • unraid3.JPG
    unraid3.JPG
    47 KB · Visitas: 55
Última edición:
Si entiendo lo que dices. No me referia a la IP LAN, sino a la WAN. Es decir, que cuando me conecto tengo acceso a internet, pero solo si uso un servidor dns externo a mi red, es decir, uno que no sea el propio router (192.168.1.1). Pues, me gustaría, al estar conectado por VPN, tener internet con la IP de mi WAN.
Cuando te conectas a la VPN, tu IP WAN cambia a la que tenga el canuto por el que sale el túnel, en este caso, la IP pública de tu casa. Eso no tiene nada que ver con la IP del DNS. No sé si me explico, me da que estás mezclando churras y merinas al meter la 192.168.1.1 en este guiso. Si no necesitas acceder al servicio de DNS de tu router, directamente pon un DNS público y olvídate de todo lo anterior. Si quieres verificar por qué IP pública sales antes o después de la conexión VPN, chequéalo con esta web: https://www.ipify.org

Por otra parte, la red e IP que he elegido para mi dispositivo cliente es correcto. Quiero que tenga la 10.10.1.2. Eso está bien configurado.
Perfecto.

Y, con respecto a los métodos ofrecidos, no he aplicados los dos simultáneos, simplemente he hecho capturas de cómo quedan por si había cometido algún fallo, sobretodo en el cortafuegos (orden de reglas, etc). Primero probé con uno, luego quite el anterior y probé el siguiente.
OK, pero insisto, que esto es únicamente para que tu VPN tenga acceso al servicio de DNS de tu propio router, nada más. No vale para ninguna otra cosa.

Lo raro es que siga sin funcionar.
No veo qué es lo que te sigue sin funcionar. Porque, según comentabas en tus primeros mensajes, con un DNS público, navegas. Y, si navegas con la VPN puesta, estás saliendo por la IP pública de tu casa (compruébalo con el enlace que te di antes).

Si sirve de algo, debajo comparto algunas capturas de cómo se configura (automáticamente) la interfaz y el peer para la VPN de WG en mi servidor unRAID. Tras crear todo, es simplemente escanear el QR generado en el cliente remoto. Y con esta configuración, tengo acceso a mi LAN y a internet usando la IP WAN de mi red.
Eso que parece tan "chachi" es un problema de seguridad gordo: si ese chisme te da un QR, significa que te está facilitando (y que por ende sabe y conoce) tu clave privada. Es decir, se está pasando la seguridad de este protocolo por el forro de los h...
La gracia de este protocolo es que cada extremo genera tu clave privada en un proceso independiente, intercambiando únicamente las llaves públicas como método de confianza entre pares. Si tú seteas el cliente a partir de un QR, significa que la clave privada no la generó el cliente, sino que también la generó el servidor. Si dicho servidor es de tu confianza... way. Pero si no lo es, y se dedica a mandar tu clave privada por ahí, acabas de comprometer toda la seguridad del protocolo, porque si yo intercepto tu clave privada, sé generar con ella tu clave pública, y por ende te voy a poder impersonar.

Saludos!
 
OK, pero insisto, que esto es únicamente para que tu VPN tenga acceso al servicio de DNS de tu propio router, nada más. No vale para ninguna otra cosa.
Si, eso lo entiendo. La cosa es que parece ser que no consigue tener acceso a él. Pues, sigo sin poder tener acceso a internet desde el móvil cuando agrego esas reglas, o cuando incluyo al vpn-phone en las interfaces de LAN. Y debería ser al contrario.

Cuando te conectas a la VPN, tu IP WAN cambia a la que tenga el canuto por el que sale el túnel, en este caso, la IP pública de tu casa. Eso no tiene nada que ver con la IP del DNS. No sé si me explico, me da que estás mezclando churras y merinas al meter la 192.168.1.1 en este guiso. Si no necesitas acceder al servicio de DNS de tu router, directamente pon un DNS público y olvídate de todo lo anterior. Si quieres verificar por qué IP pública sales antes o después de la conexión VPN, chequéalo con esta web: https://www.ipify.org
Correcto. Lo que quiero es, precisamente, navegar con la IP que se me otorga por el puerto WAN.

Eso que parece tan "chachi" es un problema de seguridad gordo: si ese chisme te da un QR, significa que te está facilitando (y que por ende sabe y conoce) tu clave privada. Es decir, se está pasando la seguridad de este protocolo por el forro de los h...
La gracia de este protocolo es que cada extremo genera tu clave privada en un proceso independiente, intercambiando únicamente las llaves públicas como método de confianza entre pares. Si tú seteas el cliente a partir de un QR, significa que la clave privada no la generó el cliente, sino que también la generó el servidor. Si dicho servidor es de tu confianza... way. Pero si no lo es, y se dedica a mandar tu clave privada por ahí, acabas de comprometer toda la seguridad del protocolo, porque si yo intercepto tu clave privada, sé generar con ella tu clave pública, y por ende te voy a poder impersonar.
No es un agujero de seguridad, simplemente convierte e incluye toda la información generada del interface y peer en un formato compatible para importar en la app de WireGuard, en vez de introducir todo a mano. Qué también, si quiero, no genero el QR y a la hora de crearme las llaves (las puedo generar yo manualmente si aún así quiero) las importo yo manualmente cortando y pegando, del server al cliente.

Debajo incluyo caps de todo el proceso de creación.
 

Adjuntos

  • unraid1.JPG
    unraid1.JPG
    42.5 KB · Visitas: 47
  • unraid2.JPG
    unraid2.JPG
    69.6 KB · Visitas: 45
  • unraid3.JPG
    unraid3.JPG
    60.8 KB · Visitas: 45
Dale un export completo a tu router, y salimos de dudas. Quizá no tengas ni el servicio dns corriendo, y de ahí que te quedes sin navegación al apuntar a un DNS privado.

Saludos!
 
Aquí te dejo el export completo.

Por otra parte, para descartar dudas, no dispongo de un DNS local (Pi-Hole).

XML:
# RouterOS 7.5
# software id = 7MD6-CZR2
#
# model = RBD52G-5HacD2HnD
# serial number = <OCULTO>
/interface bridge
add admin-mac=<OCULTO> auto-mac=no comment=defconf name=bridge
/interface wireguard
add listen-port=42937 mtu=1420 name=vpn-casa
/interface vlan
add interface=ether1 name=vlan832 vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=protegido \
    supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=spain disabled=no \
    distance=indoors frequency=2437 mode=ap-bridge security-profile=protegido \
    ssid=<OCULTO> wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-eCee \
    country=spain disabled=no distance=indoors frequency=5200 mode=ap-bridge \
    security-profile=protegido ssid=<OCULTO>-5G wps-mode=disabled
/ip pool
add name=default-dhcp ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=*F list=LAN
/interface wireguard peers
add allowed-address=10.10.1.2/32 comment="Redmi Note 7" interface=vpn-casa \
    public-key="<OCULTO>"
add allowed-address=10.10.1.3/32 comment="Port\E1til (<OCULTO>)" interface=\
    vpn-casa public-key="<OCULTO>="
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
add address=10.10.1.1/24 interface=vpn-casa network=10.10.1.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add comment=defconf interface=vlan832 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.125 client-id=<OCULTO> mac-address=\
    <OCULTO> server=defconf
add address=192.168.1.100 client-id=<OCULTO> mac-address=\
    <OCULTO> server=defconf
add address=192.168.1.105 client-id=<OCULTO> mac-address=\
    <OCULTO> server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=\
    192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall address-list
add address=<OCULTO> list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment=vpn-casa dst-port=42937 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=vlan832
add action=dst-nat chain=dstnat comment=qBittorrent dst-port=8988 \
    in-interface=vlan832 protocol=tcp to-addresses=192.168.1.100 to-ports=\
    6881
add action=dst-nat chain=dstnat comment="Nginx Proxy (1)" disabled=yes \
    dst-port=80 in-interface=vlan832 protocol=tcp to-addresses=192.168.1.125 \
    to-ports=10080
add action=dst-nat chain=dstnat comment="Nginx Proxy (2)" disabled=yes \
    dst-port=443 in-interface=vlan832 protocol=tcp to-addresses=192.168.1.125 \
    to-ports=10443
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system ntp client
set enabled=yes
/system ntp client servers
add address=hora.roa.es
/system scheduler
add disabled=yes interval=30m name="Duckdns Updater" on-event=duckdns-updater \
    policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=sep/11/2022 start-time=17:46:57
/system script
add dont-require-permissions=no name="Cambio DHCP Server" owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
    ############## CABECERA ##################\r\
    \n:local newRouerIP \"192.168.1.1\"\r\
    \n:local newRouterPool \"192.168.1.2-192.168.1.254\"\r\
    \n:local mainPoolName \"default-dhcp\"\r\
    \n:local mainLanInterface \"bridge\"\r\
    \n########### FIN DE LA CABECERA #############\r\
    \n/ip pool set [find name=\$mainPoolName] ranges=\$newRouterPool\r\
    \n/ip address set [find interface=\$mainLanInterface] address=\"\$newRouer\
    IP/24\"\r\
    \n/ip dhcp-server network set 0 address=\\\r\
    \n[/ip address get [find interface=\$mainLanInterface] network] \\\r\
    \ngateway=\$newRouerIP dns-server=\$newRouerIP\r\
    \n/log/info \"Router LAN successfully updated\""
add dont-require-permissions=no name=duckdns-updater owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
    \_Modificad las siguientes tres asignaciones de variables, relativas a la \
    interfaz wan, el dominio y el token, con vuestros datos. Se cambia lo que \
    va entrecomillado.\r\
    \n\r\
    \n# Poned aqu\ED la interfaz por la que te conectas a internet, ejemplo:\r\
    \n:global wanInterface \"vlan832\"\r\
    \n\r\
    \n# Poned aqu\ED el dominio duckdns que queramos mantener actualizado, eje\
    mplo:\r\
    \n:global domain \"<OCULTO>\"\r\
    \n\r\
    \n# Poned aqu\ED el token que nos da duckdns para nuestra cuenta, ejemplo:\
    \r\
    \n:global token \"<OCULTO>\"\r\
    \n\r\
    \n# Inicio del Script\r\
    \n:global actualIP value=[/ip address get [find where interface=\$wanInter\
    face] value-name=address];\r\
    \n:global actualIP value=[:pick \$actualIP -1 [:find \$actualIP \"/\" -1] \
    ];\r\
    \n:if ([:len [/file find where name=ipstore.txt]] < 1 ) do={\r\
    \n/file print file=ipstore.txt where name=ipstore.txt;\r\
    \n/delay delay-time=2;\r\
    \n/file set ipstore.txt contents=\"0.0.0.0\";\r\
    \n};\r\
    \n:global previousIP value=[/file get [find where name=ipstore.txt ] value\
    -name=contents];\r\
    \n:if (\$previousIP != \$actualIP) do={\r\
    \n:log info message=(\"Try to Update DuckDNS with actual IP \".\$actualIP.\
    \" -  Previous IP are \".\$previousIP);\r\
    \n/tool fetch mode=https keep-result=yes dst-path=duckdns-result.txt addre\
    ss=[:resolve www.duckdns.org] port=443 host=www.duckdns.org src-path=(\"/u\
    pdate\?domains=\$domain&token=\$token&ip=\".\$actualIP);\r\
    \n/delay delay-time=5;\r\
    \n:global lastChange value=[/file get [find where name=duckdns-result.txt \
    ] value-name=contents];\r\
    \n:global previousIP value=\$actualIP;\r\
    \n/file set ipstore.txt contents=\$actualIP;\r\
    \n:if (\$lastChange = \"OK\") do={:log warning message=(\"DuckDNS update s\
    uccessfull with IP \".\$actualIP);};\r\
    \n:if (\$lastChange = \"KO\") do={:log error message=(\"Fail to update Duc\
    kDNS with new IP \".\$actualIP);};\r\
    \n};"
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Última edición:
Lo solucioné con agregar la vpn al PPP. Ahora ya puedo recibir las DNS del propio router.
Disculpa, me pillaste fuera unos días y este mensaje llegó en ese periodo, y ni me había percatado de él. Cuando dices añadir la VPN al PPP, a qué te refieres concretamente? (comando u opción en winbox, please)

Saludos!
 
No te preocupes pokoyo, bastante haces ya dedicando parte de tu preciado tiempo conmigo ;)

Lo que hice fue ir a 'Interfaces > Interface List' y agregar una nueva lista en LAN, pero esta vez incluyendo la interfaz vpn que cree, es decir, 'vpn-casa'. (la cambie por la antigua 'vpn-phones').

Porsteriormente, fui a 'PPP > Profiles', abrí el perfil 'default-encryption' e incluí la LAN en 'Interface List'.

Esto también iba por un problema que solucioné también, que no podía acceder a la configuración del router (winbox) cuando me conectaba por VPN.

De esta manera, entiendo que cualquier peer que se conecte a la VPN podrá tener acceso al router, a diferencia de hacerlo mediante regla en el firewall, donde sí puedo especificar qué IP de la VPN tendrá acceso y cual no. Es decir: Agregar un filtro en el firewall: Chain: input, Src. Add: vpn:IP_range (10.10.1.2/32, ejemplo), Int. Interface: vpn-casa, Action: accept. Y, colocar dicha regla inmediatamente antes de la de bloquear todo el tráfico que no provenga de la LAN. Pero la intención es que cualquier dispositivo de mi vpn tenga libre acceso, pues los dispositivos, que son pocos, solo los tengo yo.
 
Arriba