Páginas

lunes, 6 de abril de 2020

VPN IPSec Modo Transporte con GRE en Mikrotik

VPN que conectará dos sitios con un túnel Gre cifrado con IPSec en modo transporte.

Nota: Versión CHR 6.43.13

 Versión CHR 6.46.13


Los estándares IPsec definen dos modos distintos de funcionamiento de IPsec, el modo transporte y el modo túnel. Dichos modos no afectan a la codificación de paquetes.

Vamos a levantar una conexión en ambos sitios utilizando el protocolo GRE y la seguridad la implementaremos con IPSec. Generamos un túnel GRE y el Secret en vez de implementarlo en el propio túnel, si no que la haremos desde IPSec.


En el túnel modo transporte, al contrario que el modo túnel, vamos a tener interfaces y también reglas de ruteo.
Implementar un túnel GRE entre ambos sitios utilizando las IPs públicas - 10.200.1.1 y 10.200.1.2

Sitio-1 (R1)


Sitio-2 (R2)


El túnel GRE ya está R - running



En IP IPSec vamos a generar la seguridad del sitio-1 sin olvidar el Secret:




Deshabilitamos el IPSec Policy por defecto y creamos el nuestro utilizando el número de protocolo gre que es 47. Al ser modo transporte no seleccionamos Tunnel:




En IP IPSec vamos a generar la seguridad del sitio-2 también el Secret:






En este punto la VPN ya esta indica Stablished


Las interfaces Gre cursan tráfico y conectan los sitios 1 y 2. Por dentro del túnel Gre estamos cifrando el tráfico con IPSec con algoritmo de cifrado fuerte aes256.



Ahora tenemos que asignar una IP a la interfaces Gre de los sitios 1 y 2. En este caso 172.16.0.1/30 y 172.16.0.2/30.



Para que los dos sitios tengan conectividad nos faltan crear las reglas de ruteo y el NAT.
Regla de routes sitio-1. Desde el sitio-1. Cuando desde el sitio-1 quiera ir a la subred del sitio-2 (10.0.2.0/24) utilice el Gateway 172.16.0.2, que es el túnel gre en la interfaz del sitio-2. Alcanzable por la interfaz gre del sitio-1. Esta interfaz está encriptada con IPSec.


Lo mismo para el sitio-2:


Nos falta crear el NAT del Sitio-1. Que cuando queramos ir a la subred del sitio-2 aplique un srcnat  con la dirección IP de la interfaz gre. Esta regla tiene que estar antes que cualquier otra porque la regla más específica tiene que estar por encima.




Y el NAT del Sitio-2. Que cuando queramos ir a la subred del sitio-1 aplique un srcnat  con la dirección IP de la interfaz gre:




Ahora vamos a comprobar conectividad entre los dos sitios:



Mikrotik es genial!.
Publicado por en
Etiquetas: , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)