Páginas

domingo, 29 de marzo de 2020

Vincular dos sitios con VPN SSTP Mikrotik

Iniciar gns3 como root desde la terminal


SSTP utiliza el puerto 443 a menos que se cambie el número de puerto. Además de los algoritmos de autenticación (todos vulnerables), SSTP tiene la capacidad de añadir certificados de autenticación y cifrado. una vez que se establece la conexión VPN entre Cliente y Servidor de manera predeterminada, todo el tráfico de red del cliente se enrutará a través de la puerta de enlace de la VPN. 


El router 1 (R1) hará de Servidor SSTP y el router 2 R2 hará de cliente SSTP.
Lo primero que haremos es entrar al router R1 a través de Winbox y habilitar la conexión a través del puerto al puerto que utilizará nuestra VPN SSTP, ya nuestro Firewall impide todas las conexiones de tipo input a nuestro router por su configuración hardening o endurecimiento (proceso de asegurar un sistema reduciendo sus vulnerabilidades), denegando todo por defecto.

Solo tenemos habilitadas las consultas DNS desde la LAN y los puertos de administración del router. La regla es de tipo input - protocolo tcp - Src. Address - 10.200.1.2 - accept y la subimos para que esté antes del DROP.

Vamos a crear los tres certificados: Una autoridad certificadora CA, un certificado para el servidor SSTP y un certificado para nuestro cliente SSTP. 







El siguiente paso es firmar los certificados y el CA vamos a firmarlo por terminal.


Los certificados cliente servidor los firmaremos desde una ventana del Winbox. Seleccionamos el certificado y con el botón derecho del ratón elegimos sign.


Ahora tenemos que exportar los certificados CA y el certificado del cliente. Type PEM y al certificado del cliente le pondremos una contraseña. 





En este punto ya podemos habilitar el servidor SSTP utilizaremos el puerto 444:


Vamos a crear un Secret donde la dirección local será la 10.10.0.1 y la dirección remota 10.100.0.1.



Nos falta configurar el cliente.

Primero abrimos la carpeta Files desde el Winbox del Servidor (R1) y arrastramos cada uno de los tres certificados a la carpeta Files del Cliente (R2). 
cert_export_CA.crt
cert_export_CLIENTE-SITE-2.crt
cert_export_CLIENTE-SITE-2.key


Una vez tengamos los certificados en la carpeta Files, vamos a System Certificate y los exportamos de manera que aparezcan en Certificates para poder seleccionarlos. Seleccionamos el CA.


A continuación el certificado del cliente 


por último la key del cliente y aquí tenemos que poner la misma Passphrase que pusimos cuando la generamos.



Quedará así:


Llegados a este punto tenemos que crear el SSTP Cliente. Vamos a Interfaces y agregamos una SSTP Client. En Dial Out - Connect To ponemos la dirección IP de nuestro servidor que es la 10.200.1.1. El usuario MK-SITE2 que creamos en el servidor y la contraseña. 



Cuando hagamos clic en OK va a levantar la conexión.


En el servidor veremos que aparece un cliente conectado.


En la pestaña status del cliente veremos los datos de la conexión:


Si queremos hacer ping al servidor para comprobar la conectividad primero tendremos que crear una regla accept en el Firewall que lo permita icmp desde la ip de la VPN SSTP del cliente 10.100.0.1 y subir la regla antes del DROP para que funcione.


Si ahora hacemos ping obtendremos respuesta:


Por último necesitamos crear las reglas de ruteo para que los equipos clientes PC-2 y PC-3 puedan verse entre sí. Con otras palabras para que el R1 conozca la subred 10.0.2.0/24 y R2 conozca la subred 10.0.1.0/24. Finalmente crearemos la regla de NAT que permitirá comunicar ambos equipos utilizando la VPN SSTP.

Lo haremos primero en el servidor IP Routes y creamos la regla. Cuando la red de destino sea la 10.0.2.0/24 - utilice el Gateway 10.100.0.1 que es la conexión de la VPN SSTP.


Haremos lo mismo en el Cliente.


Red 10.0.1.0/24 alcanzable por la sstp-out-site-1 10.10.0.1


Nos falta la regla NAT srcnat - cuando quiera ir a la red dst. Address 10.0.2.0/24 aplicar una regla accept de srcnat que utilice la 10.10.0.1 que es la IP de la VPN SSTP.



Esta regla debe estar por encima de la regla de masquerade porque el firewall utiliza la regla más específica.

Aplicamos la misma regla en el Cliente:




Hacemos ping desde el pc-2 al pc-3 y viceversa y tendremos comunicación entre las dos LAN.




Firewall servidor



OpenBSD es genial!.

No hay comentarios:

Publicar un comentario