Páginas

miércoles, 1 de abril de 2020

VPN IPIP IPSec Mikrotik GNS3 VMware

La implementación de túnel IPIP en MikroTik RouterOS es compatible con RFC 2003. El túnel IPIP es un protocolo simple que encapsula IP paquetes en IP para hacer un túnel entre dos enrutadores. La interfaz del túnel IPIP aparece como una interfaz en la lista de interfaces. Muchos enrutadores, incluidos Cisco y Linux, admiten este protocolo. Este protocolo hace posible múltiples esquemas de red.


Empezamos en el sitio 1. Este tipo de túnel no lo encontraremos en PPP es una Interfaz que crearemos en ambas subredes utilizando el menú interfaces, clic en el signo más (+) elegimos IP Tunnel he introducimos un nombre, la dirección IP local y la dirección IP remota. Más adelante configuraremos IPSec Secret para cifrar la conexión y convertirla en una VPN.


Hacemos lo mismo en el sitio 2.


Ya tenemos el túnel establecido con las dos interfaces activas sin necesidad de agregar ninguna regla en el Firewall.


No tenemos direccionamiento IP, por lo tanto vamos a agregar dirección IP a las interfaces. En este caso utilizaremos utilizando un direccionamiento IP /32 la IP de un sitio y como máscara la IP del otro sitio. También podemos utilizar el direccionamiento /30 y funcionará. Por ejemplo - 40.0.0.0/30 los hosts tendrán las IPs 40.0.0.1 - 40.0.0.2 Broadcast 40.0.0.3 Máscara de red 255.255.255.252. En realidad puede ser cualquier red. 80.0.0.1 y 80.0.0.2. etc.




Tenemos conexión entre ambas redes, sin cifrar:



Agregando rutas. Desde el site-2 quiero ir a la LAN del site-1.


Agregando rutas. Desde el site-1 quiero ir a la LAN del site-2


Hacemos NAT srcnat en ambos sitios:





Esta conexión ya funciona pero los datos no viajan cifrados. Vamos a cifrar añadiendo un Secret a IPSec:



Entramos en IP IPSec veremos que tenemos la conexión establecida, PH2 State (estado de la fase 2) en stablished quiere decir que la comunicación es cifrada. Los datos entre los extremos 10.200.1.1 y 10.200.1.2 son cifrados:






Mikrotik es genial!.

lunes, 30 de marzo de 2020

Interfaz de Red NAT VMware GNS3 MacOS

Como crear interfaces de red en GNS3 usando VMware Fusion en MacOS con el fin de simular topologías de red en la que dos sitios separados geográficamente puedan conectar. Un recordatorio la versión de VM para GNS3 (archivo ova) debe ser la misma que la versión de GNS3 y se tiene que iniciar desde la terminal utilizando sudo (con privilegios de root). MacBook-Pro-de-Carlos:~ carlosc$ sudo /Applications/GNS3.app/Contents/MacOS/gns3 

Todas la releases

Release 2.1.9
Versión 2.1.9 GNS3 VM

GNS3 2.1.9
https://github.com/GNS3/gns3-gui/releases/tag/v2.1.9









OpenBSD es genial!.

domingo, 29 de marzo de 2020

Vincular dos sitios con VPN SSTP Mikrotik

Iniciar gns3 como root desde la terminal


SSTP utiliza el puerto 443 a menos que se cambie el número de puerto. Además de los algoritmos de autenticación (todos vulnerables), SSTP tiene la capacidad de añadir certificados de autenticación y cifrado. una vez que se establece la conexión VPN entre Cliente y Servidor de manera predeterminada, todo el tráfico de red del cliente se enrutará a través de la puerta de enlace de la VPN. 


El router 1 (R1) hará de Servidor SSTP y el router 2 R2 hará de cliente SSTP.
Lo primero que haremos es entrar al router R1 a través de Winbox y habilitar la conexión a través del puerto al puerto que utilizará nuestra VPN SSTP, ya nuestro Firewall impide todas las conexiones de tipo input a nuestro router por su configuración hardening o endurecimiento (proceso de asegurar un sistema reduciendo sus vulnerabilidades), denegando todo por defecto.

Solo tenemos habilitadas las consultas DNS desde la LAN y los puertos de administración del router. La regla es de tipo input - protocolo tcp - Src. Address - 10.200.1.2 - accept y la subimos para que esté antes del DROP.

Vamos a crear los tres certificados: Una autoridad certificadora CA, un certificado para el servidor SSTP y un certificado para nuestro cliente SSTP. 







El siguiente paso es firmar los certificados y el CA vamos a firmarlo por terminal.


Los certificados cliente servidor los firmaremos desde una ventana del Winbox. Seleccionamos el certificado y con el botón derecho del ratón elegimos sign.


Ahora tenemos que exportar los certificados CA y el certificado del cliente. Type PEM y al certificado del cliente le pondremos una contraseña. 





En este punto ya podemos habilitar el servidor SSTP utilizaremos el puerto 444:


Vamos a crear un Secret donde la dirección local será la 10.10.0.1 y la dirección remota 10.100.0.1.



Nos falta configurar el cliente.

Primero abrimos la carpeta Files desde el Winbox del Servidor (R1) y arrastramos cada uno de los tres certificados a la carpeta Files del Cliente (R2). 
cert_export_CA.crt
cert_export_CLIENTE-SITE-2.crt
cert_export_CLIENTE-SITE-2.key


Una vez tengamos los certificados en la carpeta Files, vamos a System Certificate y los exportamos de manera que aparezcan en Certificates para poder seleccionarlos. Seleccionamos el CA.


A continuación el certificado del cliente 


por último la key del cliente y aquí tenemos que poner la misma Passphrase que pusimos cuando la generamos.



Quedará así:


Llegados a este punto tenemos que crear el SSTP Cliente. Vamos a Interfaces y agregamos una SSTP Client. En Dial Out - Connect To ponemos la dirección IP de nuestro servidor que es la 10.200.1.1. El usuario MK-SITE2 que creamos en el servidor y la contraseña. 



Cuando hagamos clic en OK va a levantar la conexión.


En el servidor veremos que aparece un cliente conectado.


En la pestaña status del cliente veremos los datos de la conexión:


Si queremos hacer ping al servidor para comprobar la conectividad primero tendremos que crear una regla accept en el Firewall que lo permita icmp desde la ip de la VPN SSTP del cliente 10.100.0.1 y subir la regla antes del DROP para que funcione.


Si ahora hacemos ping obtendremos respuesta:


Por último necesitamos crear las reglas de ruteo para que los equipos clientes PC-2 y PC-3 puedan verse entre sí. Con otras palabras para que el R1 conozca la subred 10.0.2.0/24 y R2 conozca la subred 10.0.1.0/24. Finalmente crearemos la regla de NAT que permitirá comunicar ambos equipos utilizando la VPN SSTP.

Lo haremos primero en el servidor IP Routes y creamos la regla. Cuando la red de destino sea la 10.0.2.0/24 - utilice el Gateway 10.100.0.1 que es la conexión de la VPN SSTP.


Haremos lo mismo en el Cliente.


Red 10.0.1.0/24 alcanzable por la sstp-out-site-1 10.10.0.1


Nos falta la regla NAT srcnat - cuando quiera ir a la red dst. Address 10.0.2.0/24 aplicar una regla accept de srcnat que utilice la 10.10.0.1 que es la IP de la VPN SSTP.



Esta regla debe estar por encima de la regla de masquerade porque el firewall utiliza la regla más específica.

Aplicamos la misma regla en el Cliente:




Hacemos ping desde el pc-2 al pc-3 y viceversa y tendremos comunicación entre las dos LAN.




Firewall servidor



OpenBSD es genial!.