Páginas

lunes, 30 de marzo de 2020

Interfaz de Red NAT VMware GNS3 MacOS

Como crear interfaces de red en GNS3 usando VMware Fusion en MacOS con el fin de simular topologías de red en la que dos sitios separados geográficamente puedan conectar. Un recordatorio la versión de VM para GNS3 (archivo ova) debe ser la misma que la versión de GNS3 y se tiene que iniciar desde la terminal utilizando sudo (con privilegios de root). MacBook-Pro-de-Carlos:~ carlosc$ sudo /Applications/GNS3.app/Contents/MacOS/gns3 

Todas la releases

Release 2.1.9
Versión 2.1.9 GNS3 VM

GNS3 2.1.9
https://github.com/GNS3/gns3-gui/releases/tag/v2.1.9









OpenBSD es genial!.

domingo, 29 de marzo de 2020

Vincular dos sitios con VPN SSTP Mikrotik

Iniciar gns3 como root desde la terminal


SSTP utiliza el puerto 443 a menos que se cambie el número de puerto. Además de los algoritmos de autenticación (todos vulnerables), SSTP tiene la capacidad de añadir certificados de autenticación y cifrado. una vez que se establece la conexión VPN entre Cliente y Servidor de manera predeterminada, todo el tráfico de red del cliente se enrutará a través de la puerta de enlace de la VPN. 


El router 1 (R1) hará de Servidor SSTP y el router 2 R2 hará de cliente SSTP.
Lo primero que haremos es entrar al router R1 a través de Winbox y habilitar la conexión a través del puerto al puerto que utilizará nuestra VPN SSTP, ya nuestro Firewall impide todas las conexiones de tipo input a nuestro router por su configuración hardening o endurecimiento (proceso de asegurar un sistema reduciendo sus vulnerabilidades), denegando todo por defecto.

Solo tenemos habilitadas las consultas DNS desde la LAN y los puertos de administración del router. La regla es de tipo input - protocolo tcp - Src. Address - 10.200.1.2 - accept y la subimos para que esté antes del DROP.

Vamos a crear los tres certificados: Una autoridad certificadora CA, un certificado para el servidor SSTP y un certificado para nuestro cliente SSTP. 







El siguiente paso es firmar los certificados y el CA vamos a firmarlo por terminal.


Los certificados cliente servidor los firmaremos desde una ventana del Winbox. Seleccionamos el certificado y con el botón derecho del ratón elegimos sign.


Ahora tenemos que exportar los certificados CA y el certificado del cliente. Type PEM y al certificado del cliente le pondremos una contraseña. 





En este punto ya podemos habilitar el servidor SSTP utilizaremos el puerto 444:


Vamos a crear un Secret donde la dirección local será la 10.10.0.1 y la dirección remota 10.100.0.1.



Nos falta configurar el cliente.

Primero abrimos la carpeta Files desde el Winbox del Servidor (R1) y arrastramos cada uno de los tres certificados a la carpeta Files del Cliente (R2). 
cert_export_CA.crt
cert_export_CLIENTE-SITE-2.crt
cert_export_CLIENTE-SITE-2.key


Una vez tengamos los certificados en la carpeta Files, vamos a System Certificate y los exportamos de manera que aparezcan en Certificates para poder seleccionarlos. Seleccionamos el CA.


A continuación el certificado del cliente 


por último la key del cliente y aquí tenemos que poner la misma Passphrase que pusimos cuando la generamos.



Quedará así:


Llegados a este punto tenemos que crear el SSTP Cliente. Vamos a Interfaces y agregamos una SSTP Client. En Dial Out - Connect To ponemos la dirección IP de nuestro servidor que es la 10.200.1.1. El usuario MK-SITE2 que creamos en el servidor y la contraseña. 



Cuando hagamos clic en OK va a levantar la conexión.


En el servidor veremos que aparece un cliente conectado.


En la pestaña status del cliente veremos los datos de la conexión:


Si queremos hacer ping al servidor para comprobar la conectividad primero tendremos que crear una regla accept en el Firewall que lo permita icmp desde la ip de la VPN SSTP del cliente 10.100.0.1 y subir la regla antes del DROP para que funcione.


Si ahora hacemos ping obtendremos respuesta:


Por último necesitamos crear las reglas de ruteo para que los equipos clientes PC-2 y PC-3 puedan verse entre sí. Con otras palabras para que el R1 conozca la subred 10.0.2.0/24 y R2 conozca la subred 10.0.1.0/24. Finalmente crearemos la regla de NAT que permitirá comunicar ambos equipos utilizando la VPN SSTP.

Lo haremos primero en el servidor IP Routes y creamos la regla. Cuando la red de destino sea la 10.0.2.0/24 - utilice el Gateway 10.100.0.1 que es la conexión de la VPN SSTP.


Haremos lo mismo en el Cliente.


Red 10.0.1.0/24 alcanzable por la sstp-out-site-1 10.10.0.1


Nos falta la regla NAT srcnat - cuando quiera ir a la red dst. Address 10.0.2.0/24 aplicar una regla accept de srcnat que utilice la 10.10.0.1 que es la IP de la VPN SSTP.



Esta regla debe estar por encima de la regla de masquerade porque el firewall utiliza la regla más específica.

Aplicamos la misma regla en el Cliente:




Hacemos ping desde el pc-2 al pc-3 y viceversa y tendremos comunicación entre las dos LAN.




Firewall servidor



OpenBSD es genial!.

miércoles, 25 de marzo de 2020

GNS3 Mikrotik Internet MacOS

La versiónes de GNS3 y GNS3 VM debe ser la misma. Las diferentes versiones de GNS3 VM se pueden descargar desde este enlace:

https://github.com/GNS3/gns3-gui/releases/

Versión 2.1.9 GNS3 VM

https://github.com/GNS3/gns3-gui/releases/tag/v2.1.9

Iniciar gns3 como root desde la terminal

MacBook-Pro-de-Carlos:~ carlosc$ MacBook-Pro-de-Carlos:~ carlosc$ sudo /Applications/GNS3.app/Contents/MacOS/gns3

Averiguar cual es la interfaz Ethernet a la que estoy conectado a través de la terminal con el comando ifconfig -a o utilizando el panel de preferencias de red, en mi caso es la en0.


MacBook-Pro-de-Carlos:~ carlosc$ ifconfig en0
en0: flags=8963 mtu 1500
options=10b
ether 40:6c:8f:4a:62:94 
inet6 fe80::de:4be9:b5bd:8d8f%en0 prefixlen 64 secured scopeid 0x7 
inet 192.168.88.211 netmask 0xffffff00 broadcast 192.168.88.255
nd6 options=201
media: autoselect (1000baseT )
status: active

La interfaz en0 es la que utilizaremos para conectar la topología de red del GNS3 a la misma red de mi portátil.

Clic derecho en Cloud1 y clic en Configure en0 es la que nos interesa, eliminamos las demás interfaces:

Conectar en0 a Cloud1 al Switch que está conectado al R1 de Mikrotik en el simulador GNS3.


Entramos en el R1 y obtenemos una IP por DHCP utilizando DHCP Client

[admin@R1] > /ip dhcp-client add interface=ether2 disabled=no

Realizamos la comprobación utilizando el comando ip dhcp-client print retail
              
[admin@R1] > ip dhcp-client print detail 
   
Flags: X - disabled, I - invalid, D - dynamic 
[admin@R1] > /ip dhcp-client add interface=ether2 disabled=no 
[admin@R1] > ip dhcp-client print detail                     
Flags: X - disabled, I - invalid, D - dynamic 
 0   interface=ether2 add-default-route=yes default-route-distance=
     use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid 
     status=bound address=192.168.88.210/24 gateway=192.168.88.1 
     dhcp-server=192.168.88.1 primary-dns=192.168.88.1 secondary-dns=1.1.1.1 
     primary-ntp=31.207.89.49 expires-after=10m 

Hacemos ping al router por defecto de la red:

[admin@R1] > ping 192.168.88.1
  SEQ HOST                                     SIZE TTL TIME  STATUS           
    0 192.168.88.1                               56   0 25ms 
    1 192.168.88.1                               56   0 10ms 
    sent=2 received=2 packet-loss=0% min-rtt=10ms avg-rtt=17ms max-rtt=25ms 

El comando ip route print nos permite ver la ruta por defecto desde R1 (Mikrotik gns3).

[admin@R1] > ip route print     
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          192.168.88.1              1

 1 ADC  192.168.88.0/24    192.168.88.210  ether2                    0

Crear en una interfaz personalizada vmnet2 10.10.10.0/24 NAT




En este punto solo nos falta configurar los routers e interfaces con sus respectivas direcciones IPs, dependiendo del laboratorio que vamos a montar. Por ejemplo agregando un segundo Cloud para simular una IP pública a través de una de las interfaces de red de VMware. Los Mikrotik están conectados por NAT a nuestra red física.


Mikrotik es genial!.