Nivel: Intermedio
En este articulo se vera la manera de realizar una configuración de VPN con el Tunnel IPSEC el cual es considerado el Tunnel mas seguro hasta el momento para realizar una conexión entre dos o mas redes LAN remotas.
Requisitos:
Contar con IP Publica estática en ambos sitios.
Los ID de las subredes tienen que ser de diferente segmento.
Los dos Routers MikroTik tienen que tener la misma version de RouterOS.
Es recomendable tener el mismo servidor NTP en los dos Routers MikroTik.
Antes de configurar la VPN requiere realizar las configuración previas en los routers:
Articulo: “MikroTik – Configurar puerto WAN”.
Articulo: “MikroTik – Configurar Red LAN”.
Diagrama general de una red VPN:
Como se aprecia en el diagrama los routers tiene una dirección IP Publica, ademas cada uno de los routers tienen su propia red LAN.
Con la configuración que se describe en este articulo sera para que los equipos que están en la Red 192.168.2.0/24 puedan acceder al servidor que tiene la dirección IP 192.168.1.10, o a cualquier otro equipo que este en la Red 192.168.1.0/24 y viceversa.
En este articulo se muestra la forma de configurar los Routers ya sea a travez de Terminal o mediante las ventanas de Winbox.
Código de configuración:
Configuración del Site "A"
Si tiene RouterOS hasta v6.43.12
Si tiene RouterOS hasta v6.43.12
/ip ipsec peer
add address=34.195.171.188 secret=“ipsec-pass” port=500
auth-method=pre-shared-key
/ip ipsec policy
add proposal="ipsec" src-address=192.168.1.0/24
dst-address=192.168.2.0/24 sa-src-address=107.161.185.30
sa-dst-address=34.195.171.188 tunnel=yes
Si tiene RouterOS v6.44 o posteriores
Si tiene RouterOS v6.44 o posteriores
/ip ipsec peer
add address=34.195.171.188 name=to_Site-B
/ip ipsec identity
add peer=to_Site-B secret=ipsec-pass
/ip ipsec policy
add peer=to_Site-B proposal="ipsec" src-address=192.168.1.0/24
dst-address=192.168.2.0/24 sa-src-address=107.161.185.30
sa-dst-address=34.195.171.188 tunnel=yes
Continuación para todas las versiones
/ip ipsec proposal
add name="ipsec" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024
/ip firewall nat
add action=accept chain=srcnat src-address=192.168.1.0/24
dst-address=192.168.2.0/24 place-before=0
Configuración del Site "B"
Si tiene RouterOS hasta v6.43.12
Si tiene RouterOS hasta v6.43.12
/ip ipsec peer
add address=107.161.185.30 secret=“ipsec-pass” port=500
auth-method=pre-shared-key
/ip ipsec policy
add proposal="ipsec" src-address=192.168.2.0/24
dst-address=192.168.1.0/24 sa-src-address=34.195.171.188
sa-dst-address=107.161.185.30 tunnel=yes
Si tiene RouterOS v6.44 o posteriores
Si tiene RouterOS v6.44 o posteriores
/ip ipsec peer
add address=107.161.185.30 name=to_Site-A
/ip ipsec identity
add peer=to_Site-B secret=ipsec-pass
/ip ipsec policy
add peer=to_Site-A proposal="ipsec" src-address=192.168.2.0/24
dst-address=192.168.1.0/24 sa-src-address=34.195.171.188
sa-dst-address=107.161.185.30 tunnel=yes
Continuación para todas las versiones
/ip ipsec proposal
add name="ipsec" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024
/ip firewall nat
add action=accept chain=srcnat src-address=192.168.2.0/24
dst-address=192.168.1.0/24 place-before=0
Por cada red que se tenga en un Site se requiere generarle un "proposal" en el Router.
Configuración Via Winbox:
Para configurar el router a travez de winbox hay que seguir los siguientes pasos:
Configuración Site "A"
1.- Primero acceder en el menu principal a "IP" posteriormente elegir la sub-opcion "IPsec":
2.1.- Ahora en la ventana de IPsec seleccionaremos la pestaña "Peers", y daremos clic en la opción de agregar nuevo registro (+):
Si tiene RouterOS hasta v6.43.12
Si tiene RouterOS hasta v6.43.12
2.2.- En la ventana de "New IPsec Peer" configuraremos los parametros correspondientes, al finalizar daremos clic en el botón (OK):
Address: hace referencia a la dirección IP publica que esta en el otro "Sitio".
Port: es el puerto que se utilizara para la comunicación del Tunnel.
Secret: es el secreto compartido que se utilizara por los equipos para enlazar.
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente manera:
Si tiene RouterOS v6.44 o posteriores
Si tiene RouterOS v6.44 o posteriores
2.2.- En la ventana de "New IPsec Peer" configuraremos los parametros correspondientes, al finalizar daremos clic en el botón (OK):
Name: hace referencia a como se va a llamar nuestro peer "el otro Sitio"
Address: hace referencia a la dirección IP publica que esta en el otro "Sitio".
Port: es el puerto que se utilizara para la comunicación del Tunnel.
2.3.- En la ventana de IPsec nos cambiaremos a la Pestaña de "Identities", y daremos clic en la opción de agregar nuevo registro (+):
2.4.- En la ventana de "New IPsec Identity" configuraremos los parametros correspondientes, al finalizar daremos clic en el botón (OK):
Peer: hace referencia al Peer de Sitio al que nos conectaremos "paso anterior".
Secret: es el secreto compartido que se utilizara por los equipos para enlazar.
Continuación para todas las versiones
3.1.- Ahora nos cambiaremos a la pestaña "Proposals", y daremos clic en la opción de agregar nuevo registro (+):
3.2.- En la ventana de "New IPsec Proposal" configuraremos los siguientes parametros:
Name: Es el nombre que le daremos al Proposal para identificarlo en otras secciones, el nombre es totalmente opcional el que le pongan.
Auth. Algorithms: El algoritmo permitudo para la autentificacion: SHA (Secure Hash Algorithm) es el mas fuerte.
Encr. Algoruthms: Es el algoritmo permitido a utilizar en las asociaciones de seguridad.
PFS Group: es usado para Confidencialidad directa perfecta su valor por defecto es: modp1024.
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente manera:
4.1.- Ahora nos cambiaremos a la pestaña "Policies", y daremos clic en la opción de agregar nuevo registro (+):
4.2.- En la ventana de "New IPsec Policy" configuraremos los parametros correspondientes a la pestaña "General", (Sin dar clic en los botones "OK" o "Apply"):
Si tiene RouterOS hasta v6.43.12
Si tiene RouterOS hasta v6.43.12
Src. Address: Es el Id de la red LAN local que esta en el Sitio "A".
Dst. Address: Es el Id de la red LAN remota a la que se quiere acceder que esta en el Sitio "B".
Después nos cambiaremos a la pestaña "Action" y se configuran los siguientes parámetros, al finalizar daremos clic en el botón (OK):
Tunnel: Especifica si se debe de usar el modo Túnel
SA Src. Address: Dirección IP fuente, la dirección IP publica que tiene el Router Local.
SA Dst. Address: Dirección IP destino, la dirección IP publica que tiene el Router Remoto
Proposal: La plantilla que se genero con anterioridad en la pestaña Proposal.
Si tiene RouterOS v6.44 o posteriores
Si tiene RouterOS v6.44 o posteriores
Peer: Seleccionamos el nombre del Peer que se genero con anterioridad
Habilitar la opción "Tunnel"
Src. Address: Es el Id de la red LAN local que esta en el Sitio "A".
Dst. Address: Es el Id de la red LAN remota a la que se quiere acceder que esta en el Sitio "B".
Después nos cambiaremos a la pestaña "Action" y se configuran los siguientes parámetros, al finalizar daremos clic en el botón (OK):
Proposal: La plantilla que se genero con anterioridad en la pestaña Proposal.
Continuación para todas las versiones
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente manera:
Configuración Site "B"
1.- Primero acceder en el menu principal a "IP" posteriormente elegir la sub-opcion "IPsec":
2.1.- Ahora en la ventana de IPsec seleccionaremos la pestaña "Peers", y daremos clic en la opción de agregar nuevo registro (+):
Si tiene RouterOS hasta v6.43.12
Si tiene RouterOS hasta v6.43.12
2.2.- En la ventana de "New IPsec Peer" configuraremos los parametros correspondientes, al finalizar daremos clic en el botón (OK):
Address: hace referencia a la dirección IP publica que esta en el otro "Sitio".
Port: es el puerto que se utilizara para la comunicacion del Tunnel.
Secret: es el secreto compartido que se utilizara por los equipos para enlazarce.
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente manera:
Si tiene RouterOS v6.44 o posteriores
Si tiene RouterOS v6.44 o posteriores
2.2.- En la ventana de "New IPsec Peer" configuraremos los parametros correspondientes, al finalizar daremos clic en el botón (OK):
Name: hace referencia a como se va a llamar nuestro peer "el otro Sitio"
Address: hace referencia a la dirección IP publica que esta en el otro "Sitio".
Port: es el puerto que se utilizara para la comunicación del Tunnel.
2.3.- En la ventana de IPsec nos cambiaremos a la Pestaña de "Identities", y daremos clic en la opción de agregar nuevo registro (+):
2.4.- En la ventana de "New IPsec Identity" configuraremos los parametros correspondientes, al finalizar daremos clic en el botón (OK):
Peer: hace referencia al Peer de Sitio al que nos conectaremos "paso anterior".
Secret: es el secreto compartido que se utilizara por los equipos para enlazar.
Continuación para todas las versiones
3.1.- Ahora nos cambiaremos a la pestaña "Proposals", y daremos clic en la opción de agregar nuevo registro (+):
3.2.- En la ventana de "New IPsec Proposal" configuraremos los siguientes parametros:
Name: Es el nombre que le daremos al Proposal para identificarlo en otras secciones, el nombre es totalmente opcional el que le pongan.
Auth. Algorithms: El algoritmo permitudo para la autentificacion: SHA (Secure Hash Algorithm) es el mas fuerte.
Encr. Algoruthms: Es el algoritmo permitido a utilizar en las asociaciones de seguridad.
PFS Group: es usado para Confidencialidad directa perfecta su valor por defecto es: modp1024.
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente manera:
4.1.- Ahora nos cambiaremos a la pestaña "Policies", y daremos clic en la opción de agregar nuevo registro (+):
4.2.- En la ventana de "New IPsec Policy" configuraremos los parametros correspondientes a la pestaña "General", (Sin dar clic en los botones "OK" o "Apply"):
Si tiene RouterOS hasta v6.43.12
Si tiene RouterOS hasta v6.43.12
Src. Address: Es el Id de la red LAN local que esta en el Sitio "A".
Dst. Address: Es el Id de la red LAN remota a la que se quiere acceder que esta en el Sitio "B".
Después nos cambiaremos a la pestaña "Action" y se configuran los siguientes parámetros, al finalizar daremos clic en el botón (OK):
Tunnel: Especifica si se debe de usar el modo Túnel.
SA Src. Address: Dirección IP fuente, la dirección IP publica que tiene el Router Local.
SA Dst. Address: Dirección IP destino, la dirección IP publica que tiene el Router Remoto.
Proposal: La plantilla que se genero con anterioridad en la pestaña Proposal.
Si tiene RouterOS v6.44 o posteriores
Si tiene RouterOS v6.44 o posteriores
Peer: Seleccionamos el nombre del Peer que se genero con anterioridad
Habilitar la opción "Tunnel"
Src. Address: Es el Id de la red LAN local que esta en el Sitio "B".
Dst. Address: Es el Id de la red LAN remota a la que se quiere acceder que esta en el Sitio "A".
Después nos cambiaremos a la pestaña "Action" y se configuran los siguientes parámetros, al finalizar daremos clic en el botón (OK):
Proposal: La plantilla que se genero con anterioridad en la pestaña Proposal.
Continuación para todas las versiones
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente manera:
Verificación de que el Túnel se a realizado exitosamente.
Si nuestros parámetros están correctos veremos que en la Policy en el parametro "PH2 State" cambiara de "no phase2" a "established", asi como se muestra en las imágenes siguientes:
Configuración del NAT
Debido a que la comunicación a travez del "IPsec" es entre las redes especificadas en las reglas de "Policies", para esto tenemos que evitar que el trafico entre las redes se vea afectado por el enmascaramiento del NAT. Para esto se generan las siguientes excepciones.
Esto se tiene que hacer tanto en el Site "A" y el Site "B" con las redes LAN correspondientes.
Primer accedemos a la opción del menu principal "IP" posteriormente a la sub-opcion "Firewall", y nos vamos a la pestaña "NAT" en la ventana Firewall y damos clic en el botón de Agregar (+).
5.1 Nueva regla de NAT para que el trafico del Site "A" no se vea afectado por el NAT.
Src. Address: Id de la Red LAN local que esta en el sitio "A"
Dst. Address: Id de la Red LAN remota que esta en el sitio "B"
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente manera:
5.2 Para que el trafico entre la red origen y la red destino no se vea afectado por el NAT hay que cambiar de posición la regla que generamos, por lo que es necesario seleccionar la regla y moverla a la parte superior del listado:
5.3.- También tenemos que generar una regla similar en el Sitio "B" con los parametros propios del Sitio:
Src. Address: Id de la Red LAN local que esta en el sitio "B"
Dst. Address: Id de la Red LAN remota que esta en el sitio "A"
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente manera:
5.2 Para que el trafico entre la red origen y la red destino no se vea afectado por el NAT hay que cambiar de posición la regla que generamos, por lo que es necesario seleccionar la regla y moverla a la parte superior del listado: