(Solucionado). Mikrotik: No consigo conectar por VPN a router

Buenas tardes:
Espero poder explicarme de forma cuasi correcta.
Gracias a compañeros del foro pude configurar mi router hAP ac2 y una VPN según este hilo
Pues bien, hasta hace cosa de 15 dias ha estado funcionando perfecto, me podía conectar al router de forma correcta desde el gimnasio, mi centro de trabajo, etcétera... pero los problemas han empezado desde que tuve una avería de una semana en la fibra de casa con Pepephone en cobertura indirecta de Movistar.
Pensé que en un principio me habían vuelto a poner en el CGNat y aunque mi ip tras hacer tracert y verla a través de buscadores de ip me daba que tenía ip dinámica pública propia, que estaba fuera del CGNat vamos, llamé por si acaso a pepephone y me confirmaron que no había habido cambios y seguía fuera del CGNat.
- He restaurado de fábrica el cpe y configurado de nuevo todo como se indicó en un principio y sigo sin poder conectar.
- He restaurado de fábrica el cpe y recuperado alguna configuración guardada en instantes donde funcionaba y nada, sigo sin poder conectar.
- Contraseñas coinciden, servidor, no hay espacios en blanco entre caracteres...
Lo que me he dado cuenta es que PIHOLe sí funciona. Filtra la publicidad por lo que entiendo que los puertos están abiertos, estoy fuera del CGNat y en principio no debería ser problema de eso.
¿Alguna idea? Porque la verdad que me viene bien filtrar cuando me conecto en el gimnasio al wifi del establecimiento y conectarme por la VPN.
Gracias.

En el router de la operadora (si es que lo tienes por encima), abriste el puerto correspondiente al servicio de VPN que uses?

Saludos!

pokoyo dijo:

En el router de la operadora (si es que lo tienes por encima), abriste el puerto correspondiente al servicio de VPN que uses?

Saludos!

Haz clic para expandir...

No, tengo puesto el mikrotik con la ont de nokia. El CPE de la operadora le tengo metido en la caja. Ese Sercomm es mejor no tocarle ni con un palo.

Qué VPN tienes implementada? Sería posible ver un export?

Saludos!

pokoyo dijo:

Qué VPN tienes implementada? Sería posible ver un export?

Saludos!

Haz clic para expandir...

NOTA: Acabo de actualizar a la v7.5. Pa chulo yo xD


# oct/04/2022 21:34:10 by RouterOS 7.5
# software id = XXXXX - XXXXX
#
# model =
# serial number =
/interface bridge
add admin-mac=48:8E0:7D auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
country=spain disabled=no distance=indoors frequency=auto installation=\
indoor mode=ap-bridge ssid=MikroTik2.4Ghz-4ED081 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-XXXX country=spain disabled=no distance=indoors frequency=\
auto installation=indoor mode=ap-bridge ssid=MikroTik5Ghz-4ED082 \
wireless-protocol=802.11
/interface vlan
add interface=ether1 name=internet vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile \
supplicant-identity=MikroTik
/interface wireless
add disabled=no mac-address=4A:8F:5A:4E0:82 master-interface=wlan2 name=\
wlan3 security-profile=profile ssid=MikroTikInvitados-4ED083
add disabled=no mac-address=4A:8F:5A:4E0:81 master-interface=wlan1 name=\
wlan4 security-profile=profile ssid=MikroTikInvitados-4ED083
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn-pool ranges=192.168.89.2-192.168.89.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/ppp profile
add change-tcp-mss=yes dns-server=192.168.88.201,192.168.88.1 interface-list=\
LAN local-address=192.168.89.1 name=vpn-profile remote-address=vpn-pool \
use-encryption=yes
/interface bridge filter
add action=drop chain=forward in-interface=wlan3
add action=drop chain=forward out-interface=wlan3
add action=drop chain=forward in-interface=wlan4
add action=drop chain=forward out-interface=wlan4
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan2
add bridge=bridge ingress-filtering=no interface=wlan3
add bridge=bridge ingress-filtering=no interface=wlan4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface l2tp-server server
set authentication=mschap2 default-profile=vpn-profile enabled=yes use-ipsec=\
yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=internet list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireless access-list
add ap-tx-limit=12000000 interface=wlan4
add ap-tx-limit=12000000 interface=wlan3
add comment=XiaomiPocoM3 interface=wlan1 mac-address=10:3F:44:A \
vlan-mode=no-tag
add comment=XiaomiPocoM3 interface=wlan2 mac-address=10:3F:44:A \
vlan-mode=no-tag
add comment=XiaomiPocoM3 interface=wlan3 mac-address=10:3F:44:A \
vlan-mode=no-tag
add comment=XiaomiPocoF1 interface=wlan1 mac-address=A4:50:466F \
vlan-mode=no-tag
add comment=XiaomiPocoF1 interface=wlan2 mac-address=A4:50:46:6F \
vlan-mode=no-tag
add comment=MiniIpad4G interface=wlan1 mac-address=B4:F0:AB:7 \
vlan-mode=no-tag
add comment=MiniIpad4G interface=wlan2 mac-address=B4:F0:7 \
vlan-mode=no-tag
add comment=PackardBellEasyNote interface=wlan1 mac-address=\
A0:A8:C1 vlan-mode=no-tag
add comment=PackardBellEasyNote interface=wlan2 mac-address=\
A0:A8C1 vlan-mode=no-tag
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=internet
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=\
192.168.88.201,192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow IPsec" dst-port=4500,500 \
protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
/ip service
set www address=192.168.88.0/24,192.168.89.0/24
set winbox address=192.168.88.0/24,192.168.89.0/24
/ppp secret
add name=Usuario service=l2tp
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

He mandado las credenciales a mi hermano para que pruebe desde otra ubicación -no vaya ser que sea problema de mis conexiones de datos móviles- y ná, tampoco conecta. Ni por wifi ni por datos. Ná de ná.

No veo nada raro, la verdad. Tu problema es que no llegas a conectar a la VPN o que, una vez conectado, no llegas al router o a otro elemento de la red?

Ve a IP > Address y verifica que la dirección que tienes sobre la interfaz “internet” es tu IP pública, la que sacas de cualquier página tipo ipify.org.

Si quieres que te haga una prueba, crea un usuario y contraseña en ppp > secrets y pásamelo por privado, junto con la clave de cifrado de ipsec (cámbiala antes o después de mandármelo, como veas).

Saludos!

pokoyo dijo:

No veo nada raro, la verdad. Tu problema es que no llegas a conectar a la VPN o que, una vez conectado, no llegas al router o a otro elemento de la red?

Ve a IP > Address y verifica que la dirección que tienes sobre la interfaz “internet” es tu IP pública, la que sacas de cualquier página tipo ipify.org.

Si quieres que te haga una prueba, crea un usuario y contraseña en ppp > secrets y pásamelo por privado, junto con la clave de cifrado de ipsec (cámbiala antes o después de mandármelo, como veas).

Saludos!

Haz clic para expandir...

La IP que me sale no es la misma que la pública.
Ahí me sale una que empieza por 10 y la que he sacado de internet empieza por 66.

El problema es que no llega a conectar. Pone conectando... Y pone después desconectado. No llega a conectar nunca.

xmigoll dijo:

La IP que me sale no es la misma que la pública.
Ahí me sale una que empieza por 10 y la que he sacado de internet empieza por 66.

El problema es que no llega a conectar. Pone conectando... Y pone después desconectado. No llega a conectar nunca.

Haz clic para expandir...

Estás dentro de cg-nat. En IP Address te tiene que salir tu IP pública, sobre la interfaz “internet” (la vlan 20).
Te toca sacar su CPE, montarlo y hacer el mismo chequeo, y reportar la incidencia, para que ellos puedan conectarse al mismo y verificarla.

Saludos!

pokoyo dijo:

Estás dentro de cg-nat. En IP Address te tiene que salir tu IP pública, sobre la interfaz “internet” (la vlan 20).
Te toca sacar su CPE, montarlo y hacer el mismo chequeo, y reportar la incidencia, para que ellos puedan conectarse al mismo y verificarla.

Saludos!

Haz clic para expandir...

Pruffff... Ya verás ahora para explicarles esto. A ellos les saldrá en su software que estoy fuera... xD
Voy a llar a ver. Te digo.
Es que estoy intentando configurar wifeguard y tampoco se abre el puerto. Un desastre vamos.
La última vez que me pasó algo parecido me tuve que cambiar de compañía dentro del mismo grupo para abrir CGNat otra vez.

Hecho. Ya funciona. He entrado en el CPE en Adresses y ya veo que ha cambiado la IP.
Entiendo que me habían incluido en CGNat al resolver la avería.
Ahora voy a configurar wifeguard en un ratín.
Gracias @pokoyo como siempre.
Si algún día necesitas, no sé, ayuda para la mudanza, matar a un vecino tocahuevos, me llamas xD

xmigoll dijo:

Si algún día necesitas, no sé, ayuda para la mudanza, matar a un vecino tocahuevos, me llamas xD

Haz clic para expandir...

seguro?

Venga, que se de bien la nueva VPN. Cuando termines me pasas el export, que hay mucho que quitar si prescindes de L2TP/IPsec.

Saludos!

pokoyo dijo:

seguro?

Venga, que se de bien la nueva VPN. Cuando termines me pasas el export, que hay mucho que quitar si prescindes de L2TP/IPsec.

Saludos!

Haz clic para expandir...

Estaba pensando... como mera información. ¿No es pueden tener las dos VPN´s activas a las vez, es decir, la que tengo por L2TP/IPec. y la Wireguard?
Lo digo, más que nada, porque como veo que hay que utilizar una aplicación del móvil, no sea que un día se caiga el servicio y se pueda usar la que tengo actualmente. Sé que es muy difícil que esto pase, pero conozco a Murphy -desde hace mucho tiempo- y suele presentarse cuando menos hace falta verle.
¿Hay incompatibilidades entre servicios o no es seguro?
Pregunto.

xmigoll dijo:

Estaba pensando... como mera información. ¿No es pueden tener las dos VPN´s activas a las vez, es decir, la que tengo por L2TP/IPec. y la Wireguard?
Lo digo, más que nada, porque como veo que hay que utilizar una aplicación del móvil, no sea que un día se caiga el servicio y se pueda usar la que tengo actualmente. Sé que es muy difícil que esto pase, pero conozco a Murphy -desde hace mucho tiempo- y suele presentarse cuando menos hace falta verle.
¿Hay incompatibilidades entre servicios o no es seguro?
Pregunto.

Haz clic para expandir...

Problema ninguno, puedes tener ambas.

Saludos!