Túnel VPN Cliente a Servidor Mikrotik

VPN PPTP Mikrotik

Es parecido a un ambiente corporativo donde los clientes se conectan a la empresa a través de VPN PPTP utilizando, por ejemplo, su ordenador portátil.

En este escenario el R1 será el servidor VPN y la computadora detrás de R2 será el cliente. El cliente se conectará al servidor detrás del R1 utilizando la conexión VPN y la IP 10.200.1.1 que simula la IP pública del servidor VPN. Este es un esquema cliente servidor, de manera, que el cliente podrá conectar con el servidor pero no viceversa.

Ambos routers tienen salida a Internet respectivamente, por las interfaces vmnet2 y vmnet3 que hacen NAT a la interfaz del portátil MacBook Pro que está conectado por cable a un router Mikrotik. Los dispositivos detrás de los routers salen a Internet permitiendo enmascaramiento a la interfaz ether1 en R1 y ehter2 en R2.

Empezamos en el router2. 

En IP DNS vamos a permitir que la computadora le haga consultas DNS al router Mikrotik.

En el firewall tenemos habilitadas las reglas básicas, permitir conexiones establecidas y relacionadas. DROP a las conexiones inválidas.

En este momento en el R2 ya tenemos conexión a Internet.

Tenemos que comprobar si podemos llegar a la IP 10.200.1.1 a través de un ping

y vemos que no podemos llegar. Para llegar tenemos que hacer un NAT a la interfaz ether1 en el R2

Agregamos en el R1 la regla

en el Firewall que permita tráfico ICMP.

También agregamos una regla que permita tráfico PPTP

Hacemos la comprobación con un ping 

Vamos a crear un Pool de direcciones IP para que los clientes obtengan una dirección IP automáticamente.

En el menú PPP creamos el perfil para la conexión VPN

Vamos a crear un Secret

Por último creamos la conexión VPN PPTP en el cliente y nos conectamos al servidor.  PPTP se considera un protocolo inseguro.

Mikrotik es genial!.

VPN IPSec Modo Transporte con GRE en Mikrotik - 2

Version CHR 6.43.13

Versión CHR 6.46.3 nuevo menú

Configuración Sitio-1

Lo mismo en el Sitio-2

Mikrotik es genial!.

VPN IPSec Modo Transporte con GRE en Mikrotik

VPN que conectará dos sitios con un túnel Gre cifrado con IPSec en modo transporte.

Nota: Versión CHR 6.43.13

Versión CHR 6.46.13

Los estándares IPsec definen dos modos distintos de funcionamiento de IPsec, el modo transporte y el modo túnel. Dichos modos no afectan a la codificación de paquetes.

Vamos a levantar una conexión en ambos sitios utilizando el protocolo GRE y la seguridad la implementaremos con IPSec. Generamos un túnel GRE y el Secret en vez de implementarlo en el propio túnel, si no que la haremos desde IPSec.

En el túnel modo transporte, al contrario que el modo túnel, vamos a tener interfaces y también reglas de ruteo.
Implementar un túnel GRE entre ambos sitios utilizando las IPs públicas - 10.200.1.1 y 10.200.1.2

Sitio-1 (R1)

Sitio-2 (R2)

El túnel GRE ya está R - running

En IP IPSec vamos a generar la seguridad del sitio-1 sin olvidar el Secret:

Deshabilitamos el IPSec Policy por defecto y creamos el nuestro utilizando el número de protocolo gre que es 47. Al ser modo transporte no seleccionamos Tunnel:

En IP IPSec vamos a generar la seguridad del sitio-2 también el Secret:

En este punto la VPN ya esta indica Stablished

Las interfaces Gre cursan tráfico y conectan los sitios 1 y 2. Por dentro del túnel Gre estamos cifrando el tráfico con IPSec con algoritmo de cifrado fuerte aes256.

Ahora tenemos que asignar una IP a la interfaces Gre de los sitios 1 y 2. En este caso 172.16.0.1/30 y 172.16.0.2/30.

Para que los dos sitios tengan conectividad nos faltan crear las reglas de ruteo y el NAT.
Regla de routes sitio-1. Desde el sitio-1. Cuando desde el sitio-1 quiera ir a la subred del sitio-2 (10.0.2.0/24) utilice el Gateway 172.16.0.2, que es el túnel gre en la interfaz del sitio-2. Alcanzable por la interfaz gre del sitio-1. Esta interfaz está encriptada con IPSec.

Lo mismo para el sitio-2:

Nos falta crear el NAT del Sitio-1. Que cuando queramos ir a la subred del sitio-2 aplique un srcnat  con la dirección IP de la interfaz gre. Esta regla tiene que estar antes que cualquier otra porque la regla más específica tiene que estar por encima.

Y el NAT del Sitio-2. Que cuando queramos ir a la subred del sitio-1 aplique un srcnat  con la dirección IP de la interfaz gre:

Ahora vamos a comprobar conectividad entre los dos sitios:

Mikrotik es genial!.