Enrutadores Mikrotik: dos problemas con ellos, OpenVPN y DLNA

redes
openvpn
dlna
mikrotik

#1

Saludos a todos:

Estoy implementado cambios en la red de la empresa que afecta también a la red de mi casa. En concreto los cambios consisten en la incorporación de dos enrutadores Mikrotik justo después del enrutador del proveedor de acceso a Internet.

El de la empresa hace las funciones habituales de un enrutador (cortafuegos y pasarela) además de implementar una VPN, aquí viene el primer problema: soy incapaz de conectar a la VPN con clientes Android e iOS (un iPhone para ser concretos -y sin comentarios, es lo que me he encontrado allí-).

El iOS me tira errores miles, en concreto parecen relacionados con el tema de certificados y, supongo que me tocará pelear con la creación de los certificados en el Mikrotik, en concreto he llegado a alcanzar que si no le metes un pkcs12, iOS te lo deniega todo. (¡Oiga, el sistema fácil!)

En Android estoy utilizando el cliente de F-Droid para OpenVPN:

https://f-droid.org/es/packages/de.blinkt.openvpn/

Pero, aunque inicia la conexión, no hay forma de que la mantenga:

---- registro del Mikrotik ----

10:45:58 ovpn,info TCP connection established from donde.sea.compadre
10:46:00 ovpn,debug,error,62728,12224,14196,13024,31236,12524,12968,14192,l2tp,info,14196,debug,79,65535,critical,18568,3144,29584,79,12600,32136,59408,4043,57632,12524,46000,12524,error duplicate packet, dropping 
10:46:03 ovpn,info : using encoding - AES-256-CBC/SHA1 

Por supuesto, si busco el error no me sale absolutamente nada, lo que me deja a cuadros.

En la página de la aplicación, he leído algo sobre el tls-default pero ya he intentado cambiar algo de eso y sigue sin funcionar.

La configuración del cliente es la siguiente:

client
# El cliente Android no permite tap, solo tun
dev tun
proto tcp-client
remote mi.servidor.ovpn.com
port 1196
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
# ca cert_export_CA.crt
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

#pkcs12 client.ovpn12

<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----
</key>

verb 3
mute 10
cipher AES-256-CBC
auth SHA1

#auth-user-pass secret
<auth-user-pass>
misuario
mi.clave
</auth-user-pass>

auth-nocache
route 192.168.0.0 255.255.255.0 172.25.25.1
;redirect-gateway def1

Como podéis ver, he embebido todo dentro del fichero, incluso he probado con el fichero pkcs12 (creado a partir del certificado y la clave con openssl), pero nada, todo agua.

Aclaro que esta misma configuración funciona perfectamente en un cliente Debian Gnu/Linux y en otro con OpenWRT.

Al respecto del otro problema con el otro enrutador Mikrotik, el instalado en casa en idéntica configuración de conexión -detrás del enrutador de Orange- a excepción de que no es servidor VPN sino que será cliente del anterior, es que me está bloqueando de alguna forma un servidor DLNA que tengo en la red.

Según búsquedas y lecturas realizadas, he activado el uPnP en él y he añadido la interfaz interna (no estoy seguro si la externa es necesario activarla para este menester ya que no voy a acceder desde fuera, aunque observo que Transmission ya no me baja nada y sospecho que es por esto).

¿Alguna pista de por donde mirar?

Gracias.

Salud y Revolución.

Lobo.


#2

Hola a todos:

Vuelvo con este tema:

[…]

El iOS me tira errores miles, en concreto parecen relacionados con el
tema de certificados y, supongo que me tocará pelear con la creación de
los certificados en el Mikrotik, en concreto he llegado a alcanzar que
si no le metes un pkcs12, iOS te lo deniega todo. (¡Oiga, el sistema fácil!)

En Android estoy utilizando el cliente de F-Droid para OpenVPN:

https://f-droid.org/es/packages/de.blinkt.openvpn/

Pero, aunque inicia la conexión, no hay forma de que la mantenga:

---- registro del Mikrotik ----

10:45:58 ovpn,info TCP connection established from donde.sea.compadre
10:46:00
ovpn,debug,error,62728,12224,14196,13024,31236,12524,12968,14192,l2tp,info,14196,debug,79,65535,critical,18568,3144,29584,79,12600,32136,59408,4043,57632,12524,46000,12524,error
duplicate packet, dropping 10:46:03 ovpn,info : using encoding -
AES-256-CBC/SHA1 |

Por supuesto, si busco el error no me sale absolutamente nada, lo que me
deja a cuadros.

Para que quede constancia, el problema fue que me faltaba crear un
perfil y un usuario en el Mikrotik:

Punto 2.1.1.3 y .4 o 2.2.1.3 y 4,
dependiendo

Ahora los dos clientes conectan perfectamente a la VPN, aunque el iOS no
navega (tengo pendiente resolver este nuevo percance, ¡el sistema fácil,
oiga!).

[…]

Al respecto del otro problema con el otro enrutador Mikrotik, el
instalado en casa en idéntica configuración de conexión -detrás del
enrutador de Orange- a excepción de que no es servidor VPN sino que será
cliente del anterior, es que me está bloqueando de alguna forma un
servidor DLNA que tengo en la red.

Según búsquedas y lecturas realizadas, he activado el uPnP en él y he
añadido la interfaz interna (no estoy seguro si la externa es necesario
activarla para este menester ya que no voy a acceder desde fuera, aunque
observo que Transmission ya no me baja nada y sospecho que es por esto).

¿Alguna pista de por donde mirar?

Con esto si sigo perdido, de hecho el Mikrotik muestra un comportamiento
errático, a veces lo ve, a veces no lo ve. Y solo los clientes por
cable, vía inalámbrica no lo ve de ninguna, y eso que está puenteada.

Me tocará preguntar en el foro de Mikrotik. :^m

Salud y Revolución.

Lobo.


#3

Este tema se cerró automáticamente 10 días después del último post. No se permiten nuevas respuestas.