Nivel: Avanzado
En este articulo explicaremos los pasos para la configuración de un Router USG de la Linea UniFi como un Cliente VPN
Se puede implementar como Servidor un Router MikroTik.
Para configurar el equipo MikroTik como Server dirigirse al siguiente Articulo:
Hacer referencia únicamente a la configuración del Server.
Información Previa a la configuración de la VPN:
Los routers tienen que tener una Sub Red distinta.
El router Server tiene que estar aceptando conexiones a través del puerto TCP/1723
Una vez que se cumplen con los requisitos previos se puede realizar la configuración siguiente:
El escenario que montaremos será el siguiente:
Como podemos ver en el diagrama anterior se va a generar un Túnel entre routers, como si fuera una conexión directa entre ellos. Por lo que las direcciones IP que se asignaron en el Secret del Server serán las IP’s que usaremos para enviar el trafico de un punto a otro.
Conectando el USG con el Servidor PPTP:
Lo primero sera acceder a la opción de “Settings”, y posteriormente a la opción “Networks”.
En esta ventana crearemos una nueva red, para esto daremos clic en el Botón “+ CREATE NEW NETWORK”
Configurando la conexión del Túnel:
Aquí es donde ingresaremos los parámetros de configuración que nos proporciona el Server.
Definición de los Parámetros a Configurar:
Name: es el nombre que se le dara al registro.
Purpose: es el proposito que tiene la red que estamos generando, elegir VPN Client.
VPN Client: es para elegir el tipo de protocolo de negociación de VPN soportado.
Remote Subnets: aqui se ingresa el ID de la sub-red a la que vamos a tener acceso a través de la VPN.
Server: aqui se ingresara la dirección IP Publica a la que nos vamos a conectar, o un Nombre de DDNS apartar de la versión 5.6.22
Username: Usuario del secret que se creo en el Servidor.
Password: Contraseña del secret que se creo en el Servidor.
MPPE: para enviar la información encriptada.
Por ultimo al dar clic en el botón “SAVE”, tendremos algo similar a la siguiente ventana:
De esta forma ya tenemos configurado el Túnel, pero esta configuración es solo para tener el enlace entre los Routers.
Accediendo a la Redes Remotas:
Para poder acceder a las redes remotas, se tienen que crear rutas estáticas a las redes remotas, y para esto se le tiene que decir que esas redes son alcanzables a través del túnel.
Para dar de alta las Rutas hay que acceder a “Routing & Firewall” y en la sección “STATIC ROUTES” daremos clic en el botón “+ CREATE NEW ROUTE” así como se muestra en la siguiente imagen:
Configuración de la Ruta Estática para llegar a la Red Remota:
Aqui es donde se especifican los datos para alcanzar la siguiente red a través de la IP que tiene el Túnel en el extremo al que queremos llegar:
Definición de los Parámetros a Configurar:
Name: identificador para la ruta.
Enable: que la ruta esta disponible para usarse.
Network: El ID de la red a la que se quiere alcanzar.
Static Route Type: cual es la forma de alcanzar la red, Next Hop (para poder indicar la IP del Túnel).
Next Hop: Dirección IP del extremo remoto del Túnel.
Por ultimo al dar clic en el botón “SAVE”, tendremos algo similar a la siguiente ventana:
De esta forma nuestra red Local en el USG podrá alcanzar y conectarse con equipos que están en la Red Remota del Servidor.
Configurar Firewall para aceptar conexiones Remotas:
Para que los equipos que se encuentran en la red remota puedan conectarse a los equipos de la Red LAN del USG se requiere permitir el trafico que tiene origen en el Servidor y que su destino sea la red LAN del USG. Para permitir este trafico hay que acceder a “Routing & Firewall” y posteriormente cambiarse a la opción “FIREWALL“, y aquí se crearan primero dos grupos, en la opción “Groups“.
Para crear los Grupos se da clic en el botón “+ CREATE NEW GROUP“
Primer Grupo la Red LAN Remota:
Segundo Grupo la Red LAN Local:
Definición de los Parámetros a Configurar:
Name: nombre como identificaremos el registro.
Address: el ID de la red que identificaremos en este grupo.
Al final de dar de alta los registros tendremos los registros como se muestra en la siguiente imagen:
Implementación de Nueva regla para permitir el acceso:
Ahora se tiene que implementar la regla donde indicamos que se puede acceder a la Red Local desde la Red Remota, para ello se tiene que cambiar a la opción de “Rules” en el Menú “Firewall“, y aquí se creara la nueva regla dando clic en el botón “+ CREATE NEW RULE”
La nueva regla lo que hará es permitir que el acceso que esta entrando a través del Túnel sea permitido.
Ubiquiti clasifica la conexión de la VPN como una Interface WAN por lo que la regla se da de alta en la Sección “WAN IN“.
Los parámetros para la nueva regla son los siguientes:
De esta forma le indicamos al Firewall que deje pasar el Trafico que venga de la Red Remota y que tenga como destino la Red Local.
Nota importante.- al manejar Ubiquiti el túnel como una interface WAN todo el trafico saliente por el Túnel lo enmascara para que salga un la Dirección IP del Túnel.