VPN Mikrotik

© Index 2005© Index 2005

Tuneles y VPNTuneles y VPNConexiones VPN usando RouterOSConexiones VPN usando RouterOS


Beneficios de VPN’sBeneficios de VPN’s

Comunicaciones seguras entre redes privadas Comunicaciones seguras entre redes privadas corporativas sobrecorporativas sobre Redes publicasRedes publicas Lineas rentadasLineas rentadas Enlaces inalambricosEnlaces inalambricos

Recursos corporativos (correo, servidores Recursos corporativos (correo, servidores corporativos, impresoras) pueden ser accedidas corporativos, impresoras) pueden ser accedidas de manera segura por usuarios que tengan los de manera segura por usuarios que tengan los permisos necesarios, desde el exterior permisos necesarios, desde el exterior (viajando, en casa, etc.)(viajando, en casa, etc.)


Enlaces VPNEnlaces VPN

OficinaRegional

Corporativo Bodega

Ruteador RouterOS


Tecnologías VPNTecnologías VPN

PPTP con encriptación de 128bit MPPEPPTP con encriptación de 128bit MPPE L2TPL2TP IPsecIPsec Aplicaciones:Aplicaciones:

Túneles permanentes entre ruteadoresTúneles permanentes entre ruteadores Concentrador de acceso PPTP para muchos Concentrador de acceso PPTP para muchos

clientes (estaciones de trabajo windows) y clientes (estaciones de trabajo windows) y clientes mobiles (trabajo desde casa o clientes mobiles (trabajo desde casa o viajando)viajando)


Túneles IPIPTúneles IPIP

Protocolo simple para crear un tunel Protocolo simple para crear un tunel encapsulando paquetes de IP en encapsulando paquetes de IP en paquetes IP y mandándolos sobre la red a paquetes IP y mandándolos sobre la red a otro ruteador.otro ruteador.

RouterOS implementa tuneles IPIP de RouterOS implementa tuneles IPIP de acuerdo a la norma RFC 2003.acuerdo a la norma RFC 2003.

Usa protocolo 4 IPUsa protocolo 4 IP


Ejemplo de Túnel IPIPEjemplo de Túnel IPIP

Ruteador A Ruteador B

RED 1 RED 2

192.168.1.1 192.168.20.1

WAN


Adicionando una interface IPIPAdicionando una interface IPIP


Adicionando direcciones IPAdicionando direcciones IP

Direcciones IP son añadidas a las interfaces del Direcciones IP son añadidas a las interfaces del tuneltunel

Use direcciones de 30 bits para ahorrar espacio Use direcciones de 30 bits para ahorrar espacio de direccionamiento, por ejemplo:de direccionamiento, por ejemplo: 10.1.6.1/30 y 10.1.6.2/30 desde la red 10.1.6.0/3010.1.6.1/30 y 10.1.6.2/30 desde la red 10.1.6.0/30

Es posible usar direccionamiento de punto a Es posible usar direccionamiento de punto a punto, por ejemplo:punto, por ejemplo: 10.1.6.1/32, red 10.1.7.110.1.6.1/32, red 10.1.7.1 10.1.7.1/32, red 10.1.6.110.1.7.1/32, red 10.1.6.1


Direcciones IP en ruteador ADirecciones IP en ruteador A


Túneles EoIPTúneles EoIP

Protocolo propietario MikroTik.Protocolo propietario MikroTik. Encapsula frames de ethernet dentro de Encapsula frames de ethernet dentro de

paquetes de IP protocolo 47.paquetes de IP protocolo 47. Interfase EoIP soporta todas las funcionalidades Interfase EoIP soporta todas las funcionalidades

de cualquier interfase Ethernet.de cualquier interfase Ethernet. Túnel EoIP puede correr sobre cualquier Túnel EoIP puede correr sobre cualquier

conexión que soporte IPconexión que soporte IP Numero máximo de túneles de EoIP es de Numero máximo de túneles de EoIP es de

6553565535


Adicionando una interfase de Adicionando una interfase de túnel EoIPtúnel EoIP


EoIP y “Bridging”EoIP y “Bridging”

LLaas Interfases Interfasess EoIP puede ser “bridgeada” con EoIP puede ser “bridgeada” con cualquier otra interfase EoIP o Interfase cualquier otra interfase EoIP o Interfase Ethernet.Ethernet.

Uso principal de túneles EoIP es para Uso principal de túneles EoIP es para transparentemente hacer bridge de redes transparentemente hacer bridge de redes remotas.remotas.

Protocolo EoIP no provee encriptación de datos, Protocolo EoIP no provee encriptación de datos, por tal manera debe correr sobre un túnel por tal manera debe correr sobre un túnel encriptado, ejemplo PPTP, L2TP o PPPoE, si es encriptado, ejemplo PPTP, L2TP o PPPoE, si es requerida seguridad.requerida seguridad.


Configuración de túnel PPPConfiguración de túnel PPP

El paquete PPP debe estar instaladoEl paquete PPP debe estar instalado Cheque con “/system package print”Cheque con “/system package print” Si no esta instalado, suba la misma versión del Si no esta instalado, suba la misma versión del

paquete ppp-2.x.x.npk y repaquete ppp-2.x.x.npk y reinicieinicie el r el ruteadoruteador

Todas las configuraciones de túneles PPP son Todas las configuraciones de túneles PPP son similares e involucran un setup:similares e involucran un setup: Concentradores de Acceso (Server PPTP o PPPoE)Concentradores de Acceso (Server PPTP o PPPoE) Cliente PPTP o PPPoECliente PPTP o PPPoE


Concentrador de Acceso PPTPConcentrador de Acceso PPTP Concentrador de acceso PPTP es usado para Concentrador de acceso PPTP es usado para

permitir a usuarios remotos establecer permitir a usuarios remotos establecer conexiones de túneles encriptados al ruteador y conexiones de túneles encriptados al ruteador y recibir información de configuración del host:recibir información de configuración del host: Dirección IP, dirección de red, puerta de enlaceDirección IP, dirección de red, puerta de enlace Direcciones del servidor de nombres DNSDirecciones del servidor de nombres DNS

Setup incluye configurar:Setup incluye configurar: [IP DNS] (Opcional)[IP DNS] (Opcional) [pool de IP] (Opcional)[pool de IP] (Opcional) Profile PPPProfile PPP Interface del Server PPTPInterface del Server PPTP PPP (logins y passwords)PPP (logins y passwords)


Planeando el direccionamiento Planeando el direccionamiento IPIP

Conexiones PPTP son típicamente conexiones Conexiones PPTP son típicamente conexiones punto a punto, las cuales usan direcciones de punto a punto, las cuales usan direcciones de 32 bits para la dirección IP. La dirección de red 32 bits para la dirección IP. La dirección de red es la dirección en el peer remoto.es la dirección en el peer remoto.

Si se desea , el cliente puede ser asignado con Si se desea , el cliente puede ser asignado con una IP real (ruteable)una IP real (ruteable)

Ejemplo:Ejemplo: Interfase del Server=pptp-in1, address=10.1.0.1/32, Interfase del Server=pptp-in1, address=10.1.0.1/32,

network=10.2.0.1network=10.2.0.1 Interfase del Cliente=pptp-out1, address=10.2.0.1/32, Interfase del Cliente=pptp-out1, address=10.2.0.1/32,

network=10.1.0.1network=10.1.0.1


Configuración del Pool de IPConfiguración del Pool de IP

Pool de IP Pool es usado para especificar un Pool de IP Pool es usado para especificar un rango de direcciones IP las cuales seran rango de direcciones IP las cuales seran entregadas a los clientes de PPTP, PPPoE, entregadas a los clientes de PPTP, PPPoE, DHCP, etc.DHCP, etc.

Ejemplo:Ejemplo: /ip pool add name ppp-hosts address=10.2.0.1-/ip pool add name ppp-hosts address=10.2.0.1-

10.2.0.10010.2.0.100

Tienes la facilidad de asignar direcciones IP Tienes la facilidad de asignar direcciones IP especificas a ciertos clientes si tu lo especificas especificas a ciertos clientes si tu lo especificas bajo /ppp secret, o en un RADIUS server.bajo /ppp secret, o en un RADIUS server.


Configuración de profiles PPPConfiguración de profiles PPP

Cambia el profile de default ppp:Cambia el profile de default ppp: /ppp profile set default /ppp profile set default use-encryption=yes use-encryption=yes

require-encryption=yesrequire-encryption=yes Alternativamente, se puede hacer un Alternativamente, se puede hacer un

profile especial para conexiones entrantes profile especial para conexiones entrantes de PPTP:de PPTP: /ppp profile add name=pptp use-/ppp profile add name=pptp use-

encryption=yes require-encryption=yes, local-encryption=yes require-encryption=yes, local-address=10.1.0.1 remote-address=pptp-hostsaddress=10.1.0.1 remote-address=pptp-hosts


Configuración de logins y Configuración de logins y passwords PPPpasswords PPP

Adicione un registro ppp secret para usuarios Adicione un registro ppp secret para usuarios que requieren entrar vía pptp:que requieren entrar vía pptp: /ppp secret add name=jose password=jose3/ppp secret add name=jose password=jose3 /ppp secret add name=juan password=hola remote-/ppp secret add name=juan password=hola remote-

address=10.2.0.201address=10.2.0.201

Cuando ‘jose’ ingresa via pptp una dirección le Cuando ‘jose’ ingresa via pptp una dirección le será asignada ,desde el pool creadoserá asignada ,desde el pool creado

Cuando ‘juan’ ingresa via pptp , le será Cuando ‘juan’ ingresa via pptp , le será asignada la dirección 10.2.0.201asignada la dirección 10.2.0.201


Configuración de PPTPConfiguración de PPTP

Habilite el server pptp:Habilite el server pptp:/interface pptp-server server set enabled=yes/interface pptp-server server set enabled=yes

/interface pptp-server server print/interface pptp-server server print Especifique un profile diferente , si es que Especifique un profile diferente , si es que

lo ha creadolo ha creado Active las conexiones pptp:Active las conexiones pptp:

/interface pptp-server print/interface pptp-server print


Configuración del cliente pptpConfiguración del cliente pptp

Cambie el profile de default de ppp:Cambie el profile de default de ppp: /ppp profile set default /ppp profile set default use-encryption=yes use-encryption=yes

require-encryption=yesrequire-encryption=yes Adicione un cliente PPTP:Adicione un cliente PPTP:

/interface pptp-client add connect-/interface pptp-client add connect-to=192.168.1.1 user=jose password=jose3to=192.168.1.1 user=jose password=jose3


Reparando PPTPReparando PPTP

Checa ruteo y firewall, porque el puerto 1723 de Checa ruteo y firewall, porque el puerto 1723 de TCP es usado para hacer las conexiones entre TCP es usado para hacer las conexiones entre cliente y servidorcliente y servidor

Asegúrate que el protocolo 47 (GRE) pasa a Asegúrate que el protocolo 47 (GRE) pasa a través del firewalltravés del firewall

Asegúrate que las direcciones IP están Asegúrate que las direcciones IP están especificadas para el lado server y cliente en los especificadas para el lado server y cliente en los profiles de PPP o en ppp secretsprofiles de PPP o en ppp secrets

Checa los logs;Checa los logs; /log print without-paging/log print without-paging


Configuración de Server PPPoEConfiguración de Server PPPoE

Adiciona el servAdiciona el servidor idor pppoe:pppoe: /interface pppoe-server server add service-/interface pppoe-server server add service-

name=office_w interface=eth-local name=office_w interface=eth-local authentication=mschap2 one-session-per-authentication=mschap2 one-session-per-host=yeshost=yes

Activa las conexiones pppoe:Activa las conexiones pppoe:/interface pppoe-server print/interface pppoe-server print


Configuración de cliente PPPoEConfiguración de cliente PPPoE

Adiciona una interfase cliente PPPoE:Adiciona una interfase cliente PPPoE: interface pppoe-client> add interface=ether1 interface pppoe-client> add interface=ether1

user=joe password=joe3 service-user=joe password=joe3 service-name=office_w allow=mschap2name=office_w allow=mschap2

Si conecta, la interfase pppoe esta en Si conecta, la interfase pppoe esta en Estado Activo (Running) y el comando Estado Activo (Running) y el comando monitor nos muestra el status de la monitor nos muestra el status de la interfase:interfase: interface pppoe-client> monitor pppoe-out1interface pppoe-client> monitor pppoe-out1


Reparando PPPoEReparando PPPoE

Este seguro que el nombre del servicio Este seguro que el nombre del servicio esta especificado correctamente y esta especificado correctamente y concuerda con el del servconcuerda con el del servidoridor

Cheque los logs;Cheque los logs; /log print without-paging/log print without-paging

Technology

VPN Mikrotik