Saludos a todos:
Estoy implementado cambios en la red de la empresa que afecta también a la red de mi casa. En concreto los cambios consisten en la incorporación de dos enrutadores Mikrotik justo después del enrutador del proveedor de acceso a Internet.
El de la empresa hace las funciones habituales de un enrutador (cortafuegos y pasarela) además de implementar una VPN, aquí viene el primer problema: soy incapaz de conectar a la VPN con clientes Android e iOS (un iPhone para ser concretos -y sin comentarios, es lo que me he encontrado allí-).
El iOS me tira errores miles, en concreto parecen relacionados con el tema de certificados y, supongo que me tocará pelear con la creación de los certificados en el Mikrotik, en concreto he llegado a alcanzar que si no le metes un pkcs12, iOS te lo deniega todo. (¡Oiga, el sistema fácil!)
En Android estoy utilizando el cliente de F-Droid para OpenVPN:
https://f-droid.org/es/packages/de.blinkt.openvpn/
Pero, aunque inicia la conexión, no hay forma de que la mantenga:
---- registro del Mikrotik ----
10:45:58 ovpn,info TCP connection established from donde.sea.compadre
10:46:00 ovpn,debug,error,62728,12224,14196,13024,31236,12524,12968,14192,l2tp,info,14196,debug,79,65535,critical,18568,3144,29584,79,12600,32136,59408,4043,57632,12524,46000,12524,error duplicate packet, dropping
10:46:03 ovpn,info : using encoding - AES-256-CBC/SHA1
Por supuesto, si busco el error no me sale absolutamente nada, lo que me deja a cuadros.
En la página de la aplicación, he leído algo sobre el tls-default pero ya he intentado cambiar algo de eso y sigue sin funcionar.
La configuración del cliente es la siguiente:
client
# El cliente Android no permite tap, solo tun
dev tun
proto tcp-client
remote mi.servidor.ovpn.com
port 1196
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
# ca cert_export_CA.crt
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
#pkcs12 client.ovpn12
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----
</key>
verb 3
mute 10
cipher AES-256-CBC
auth SHA1
#auth-user-pass secret
<auth-user-pass>
misuario
mi.clave
</auth-user-pass>
auth-nocache
route 192.168.0.0 255.255.255.0 172.25.25.1
;redirect-gateway def1
Como podéis ver, he embebido todo dentro del fichero, incluso he probado con el fichero pkcs12 (creado a partir del certificado y la clave con openssl), pero nada, todo agua.
Aclaro que esta misma configuración funciona perfectamente en un cliente Debian Gnu/Linux y en otro con OpenWRT.
Al respecto del otro problema con el otro enrutador Mikrotik, el instalado en casa en idéntica configuración de conexión -detrás del enrutador de Orange- a excepción de que no es servidor VPN sino que será cliente del anterior, es que me está bloqueando de alguna forma un servidor DLNA que tengo en la red.
Según búsquedas y lecturas realizadas, he activado el uPnP en él y he añadido la interfaz interna (no estoy seguro si la externa es necesario activarla para este menester ya que no voy a acceder desde fuera, aunque observo que Transmission ya no me baja nada y sospecho que es por esto).
¿Alguna pista de por donde mirar?
Gracias.
Salud y Revolución.
Lobo.