Anda di halaman 1dari 17

http://www.juanmnogueira.

es/mikrotik-ipsec-vpn/
En este artculo vamos a unir dos sedes remotas utilizando Mikrotik ipsec VPN. sta solucin nos servir para interconectar dos sedes remotas de manera segura a travs de internet. Para nuestra configuracin seguiremos este diagrama:

Configuracin Mikrotik ipsec VPN.


Antes de comenzar debemos de tener en cuenta algunas consideraciones, la primera es que las redes LAN en cada oficina deben ser diferentes, en caso contrario, aunque se establezca el tnel, los paquetes no se transmitirn al otro extremo. Por otro lado, hay que verificar que las ips pblicas de cada sede se ven a travs de un ping. Finalmente debes de tener cuidado si ests detrs de un router adsl o similar que utilice NAT ya que tendras que configurar ipsec en modo ESP y no AH adems de abrir el puerto 500 en udp para que el intercambio de claves pueda llevarse a cabo. Lo primero que debemos hacer es configurar los interfaces. Configuraremos primeramente el interface LAN de la primera sede siguiendo nuestro esquema:

A continuacin configuraremos el interface WAN.

Luego crearemos una poltica ipsec que nos permita levantar un tunnel.

Para terminar la configuracin en el apartado ipsec tenemos que aadir la configuracin del extremo opuesto del tnel, as como la forma en la que vamos a validarnos contra dicho extremo.

Por ltimo, slo nos quedara configurar una poltica NAT que convierta las direcciones ips de la LAN local en direcciones vlidas en la red remota.

Con esto habremos configurado el primer equipo Mikrotik, si has llegado hasta este punto la configuracin del otro peer no te resultar complicada ya que slo tienes que realizar la configuracin en el sentido inverso.

Hola a todos!!! Bueno, este es mi primer post as que espero que les guste. Les voy a explicar como unir 2 redes LAN remotas mediante dos routers Mikrotik de una manera sencilla y sin tener que saber mucho acerca de configuracin avanzada.

Una VPN es un "tunel" por donde pueden ser transportada informacin de manera segura (Los paquetes viajan encriptados) usando como medio de transporte Internet. Este tipo de conexin vamos a usar en este ejemplo. En mi trabajo, nos vimos con la necesidad de unir dos LAN por pedido de un cliente, ya que este quera lograr conectividad transparente para los usuarios al intentar conectarse desde la sucursal hacia algn recurso de casa central y viceversa. Tambin puede servir en el caso que ustedes y algn amigo tengan Mikrotik y quieran compartir archivos o jugar mediante una conexin segura entre sus redes. Inicialmente configuramos bsicamente dos Mikrotik en los dos lugares y armamos una VPN IPSEC para que cree un tnel seguro y como este protocolo enruta de manera nativa, en pocos minutos teniamos conexin entre las dos oficinas. Este cliente en su sucursal tena una conexin a Internet muy inestable y eso nos trajo problemas con IPSEC. Se desconectaba solo y a veces no volva a conectarse hasta no reiniciar los dos routers. Luego de buscar una solucin a este problema, dimos con que configurando una VPN PPTP gateway-to-gateway, esta era menos proclive a desconectarse ante fallas de la conexin a Internet y ademas soportaba reconexin automtica. Las direcciones IP que muestro a continuacin son solo de ejemplo, si las reemplazan por las que ustedes tengan funcionara de igual manera. Pueden copiar los comandos, reemplazar los nombres de las interfaces y las IP con el Bloc de notas, mediante Winbox abren "New Terminal", pegan ah lo copiado y listo! Cabe aclarar que para que se establezca la comunicacin entre las dos redes, estas tienen que tener diferentes rango de IP.

Configurando la VPN PPTP gateway-to-gateway


Router1 (Casa central): Configuramos las IP en las interfaces: LAN:

/ip address

add address=10.0.0.254/24 broadcast=10.0.0.255 comment="" disabled=no interface=lan network=10.0.0.0 En este caso la conexin a Internet es por cablemodem as que la interfaz de "WAN" obtiene IP mediante el "dhcp-client". Muy importante en este es que queden las opciones "add-default-route=yes" y "use-peerdns=yes". La primera setea la ruta por defecto y la segunda permite que se usen los DNS del ISP. /ip dhcp-client add add-default-route=yes comment="" default-route-distance=0 disabled=no interface=wan use-peer-dns=yes use-peer-ntp=yes Los DNS. Tiene que estar la opcin "allow-remote-requests=yes" para que el router acte como DNS cache y los equipos de la red puedan resolver nombres de dominio en IPs. /ip dns set allow-remote-requests=yes Configuramos el "masquerade" para que haga NAT de las IP de la LAN por la IP publica hacia Internet. /ip firewall nat add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan Protegemos bsicamente el router. /ip firewall filter add action=accept chain=input comment="" connection-state=established disabled=no add action=accept chain=input comment="" connection-state=related disabled=no add action=accept chain=input comment="" disabled=no protocol=udp add action=drop chain=input comment="" connection-state=invalid disabled=no

Router2 (Sucursal)

/ip address add address=10.0.1.254/24 broadcast=10.0.1.255 comment="" disabled=no interface=lan network=10.0.1.0

/ip dhcp-client add add-default-route=yes comment="" default-route-distance=0 disabled=no interface=wan use-peer-dns=yes use-peer-ntp=yes

/ip dns set allow-remote-requests=yes

/ip firewall nat add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan

/ip firewall filter add action=accept chain=input comment="" connection-state=established disabled=no add action=accept chain=input comment="" connection-state=related disabled=no add action=accept chain=input comment="" disabled=no protocol=udp add action=drop chain=input comment="" connection-state=invalid disabled=no

Y lo mas importante...
OK, hasta ac tendriamos las dos oficinas con conexin a Internet pero nada mas. Para configurar la VPN, en Router1: En Winbox vamos al men PPP > Secrets. Mediante el boton "+" agregamos una cuenta. En Name ponemos "sucursal", en Password, por ej. 123456, en la lista desplegable Profile elegimos "defaultencryption", en Local Address la IP de LAN del router (10.0.0.254), en Remote Address 10.0.0.200 y damos Apply.

En la solapa Interface en la lista desplegable del botn "+" elegimos PPTP Server. En la ventana que se abre en User pondremos "sucursal" que era el usuario que anteriormente creamos. Damos Apply.

Finalmente cliqueamos el botn "PPTP Server", marcamos "Enable" y nos aseguramos que en Default Profile este seleccionado "default-encryption".

En el Router2 mediante Winbox vamos al men PPP, desde el botn "+", elegimos PPTP Client, en la ventana seleccionamos la solapa "Dial Out". En "Connect To" ingresamos la IP publica del Router1, en este caso por ejemplo sera 192.168.10.164, en User ponemos "sucursal" y en Password "123456". Nuevamente nos aseguramos que en Profile figure "default-encryption" y damos Apply.

Si esta todo bien, automticamente cuando den Apply en la lista de Interface el "PPTP Client" va figurar como "Connected". Eso significa que ya esta conectado al otro router mediante la VPN. Lo podemos comprobar fcilmente si desde el menu Tools le hacemos un ping a la IP de la LAN del router de Casa central (10.0.0.254) y este responde.

Ahora tenemos respuesta del Router1 hacia el Router2, pero si prueban al revs no va a funcionar. Lo que sucede en ese caso es que los paquetes IP no conocen "el camino de vuelta" por decirlo de alguna manera, entonces nosotros se lo vamos a ensear. En el Router1 vamos a IP > Routes, con el "+" aadimos una ruta esttica. En Destination ponemos la red remota (10.0.1.0/24) y en Gateway ingresamos la IP que le otorga el PPTP Server al "usuario" "sucursal" (10.0.0.200).

De la misma manera en el Router2 agregamos una ruta esttica. En Destination ponemos la red remota 10.0.0.0/24 y en Gateway la IP de LAN del Router1 (10.0.0.254). Aplicamos.

Finalizando...
Ahora, si hacemos ping entre los routers a sus IP de LAN van a responder los dos, igualmente si lo hacemos entre dos equipos de las 2 redes.

Excelente tutorial

http://www.taringa.net/posts/info/10764837/Como-unir-2-redes-LAN-con-Mikrotik.html

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#NAT_Bypass

http://gregsowell.com/?p=787