Router o2 Modo Bridge PPPoE Client Mikrotik

Después de poner el router Mitrastar HGU GPT-2541GNAC de o2 en modo bridge siguiendo la guía de macjosan vamos a configurar el Mikrotik (RouterOS) como router principal. 

Los routers Mikrotik traen una configuración por defecto donde la interfaz ether1 es la WAN y el resto de interfaces en un bridge que será nuestra LAN, además incluye reglas de firewall que permiten empezar a utilizar al salir de la caja. 

Diagrama de bloques del Router hAP ac2

Este dispositivo ya tiene un bridge configurado y los Ports del mismo: ether2, ether3, ether4, ether5, wlan1 y wlan2,  una IP Address para la LAN (bridge_LAN) del rango 192.168.88.0/24, y un DHCP Server activo que provee de direcciones IP automáticas a los dispositivos de la red. La hora debe estar bien configurada.

Nuestro Mikrotik estará expuesto directamente a Internet por lo que lo más recomendable es que el firewall sea configurado en modo “denegar todo”, permitir solo lo que nos interesa, impedir escáners de puertos, conectar vía remota sólo utilizando una VPN, impedir ataques DoS y DDos, crear blacklist automáticas de intentos de conexión (si tuviéramos puertos expuestos a Internet), Implementar el envío de email automatizado con la configuración .src y .backup de nuestro router. Permitir el uso de Winbox solo desde nuestra LAN. Crear un usuario privilegiado con full permisos y luego (no al revés), deshabitar el usuario por defecto Admin. Utilizar contraseñas fuertes. Impedir el acceso via web a nuestro Mikrotik (puerto 80), desactivar (en IP Service List) el puerto 21, api-ssl (8728), api (8728) y el acceso por telnet (23).

Dicho esto y teniendo el router HGU de o2 en modo bridge empezamos con la configuración del PPPoE Client en nuestro router Mikortik. En el puerto ether1, que es el puerto WAN por defecto del Mikrotik, conectamos un cable desde la interfaz Eth1 del HGU.

Nos vamos al Mikrotik y abrimos el Winbox para crear la interfaz PPPoE Client en la interfaz ether1 (renombrada como ether1_WAN), En la pestaña Dial Out el nombre del 

Service (opcional), 

User: adslppp@telefonicanetpa

Password: adslpppa

Marcamos Use Peer DNS si queremos utilizar los DNS del proveedor

Marcamos Add Default Route para que nos cree automáticamente la ruta por defecto (todo lo que no sepas donde enviarlo envíalo por aquí), que podemos ver en Route list.

DAS - dinámica, activa estática

DAC - dinámica, activa conectada

Enmascaramiento NAT

En IP - Firewall - Nat la interfaz de salida a Internet (Out. Interface), es la pppoe-out1 y la pestaña Action debe quedar en masquerade y hacer NAT (Traducción de Direcciones de Red). De lo contrario no podremos salir a Internet.

En IP address poremos ver la IP Pública y la ip de la red LAN.

Comprobamos que tenemos conexión a Internet

Mikrotik es genial!.

L2TP IPsec y BCP Mikrotik

VPN Túnel

Puertos que tenemos que abrir en el router Mikrotik 4500, 500, 1701 (udp) y el protocolo ipsec-esp (50).

Utilizar estos protocolos para conseguir conectividad en capa 2 con altos niveles de seguridad. Un túnel o VPN es una conexión entre dos equipos remotos como si los equipos estuviesen conectados directamente. Como este es un túnel de capa 2 vamos a extender nuestro dominio de broadcast de un router hacia el otro y crear un solo dominio de broadcast con independencia de su ubicación. 

L2tp quiere decir Layer 2 Tunneling Protocol o protocolo de capa 2 y se utiliza con IPSec que proporciona  encriptación y autenticación con el fin de para proporcionar mayores niveles de seguridad para la transmisión de datos. BCP (Bridge Control Protocol) sirve para agregar la interfaz virtual creada (el túnel) a un bridge. BCP es una parte independiente de PPP.

Laboratorio con GNS3. Con equipos físicos la configuración será la misma. Lo único que cambia es la IP pública que evidentemente debe ser alcanzable.

Configuración del equipo que va a servir de Servidor de las conexiones L2TP: 

Tenemos una oficina remota con una IP pública 172.16.90.138 (es la IP con la que el equipo sale a Internet en este laboratorio) y una LAN con IP privada 10.1.101.0/24.  Este equipo tiene un bridge llamado bridge_LAN al que pertenecen los puertos ether1 al ether5 y es el que vamos a utilizar con BCP en los túneles.

Queremos tener conexión total en capa 2 entre los dos routers. Comprobamos que tenemos conexión a Internet con un ping. 

En el GNS3 desde la terminal, (botón derecho sobre el router clic en Console), cambiamos los nombres de los routers.

Abrimos el Winbox (los routers ya tienen IP asignadas por NAT desde mi red local:

nos conectamos al router L2TPServer y habilitamos desde PPP el L2TP Server haciendo clic en Enabled, elegimos default encryption, (es aquí donde habilitamos BCP o en su defecto en el perfil que nosotros generemos), como Default Profile, en Use IPsec elegimos required (esto obliga al cliente a utilizar IPSec). En Authentication solo dejamos habilitado mschap2. En IPsec Secret ponemos una contraseña fuerte para conseguir un buen nivel de seguridad (este Secret es para IPsec y puede ser diferente de la contraseña del usuario). También podemos habilitar una sesión por host habilitando One Session Per Host. 

En la pestaña Profiles veremos los perfiles por defecto implementados en RouterOS. Abrimos Default Encryption. En bridge seleccionamos el bridge de la LAN. En estos momentos ya estamos utilizando BCP.  Cuando se establezca el túnel, la interfaz del túnel se va a agregar a este bridge que se llama bridge_LAN guardamos los cambios.

Necesitamos crear un usuario y una clave, esto lo haremos en New PPP Secret. Este usuario es para establecer el túnel l2tp. Como usuario carles y una contraseña (, en Service l2tp y en Profile default encryption. El password anterior era para IPsec. En Local Address pondremos la IP 10.100.100.1 y en Remote Address la 172.16.254.1 (esta es la IP que tomará el equipo cliente). Estas son las direcciones IP que va a tomar en sus extremos el túnel.

Llegados a este punto nuestro router está listo para recibir conexión y nuestro dominio de broadcast sea extendido hacia el cliente. 

Configuración del equipo Cliente:

Nos conectamos a través de Winbox

Equipo cliente desde el que vamos a conectarnos hacia la oficina. No es necesario que tenga una ip pública, algo imprescindible en el de la oficina, lo que si tiene que tener es conexión a Internet. Comprobamos conexión a Internet haciendo un ping. 

Vamos a agregar un L2TP Client y agregar los parámetros de conexión que debe coincidir con lo configurado en el Servidor. Donde pone Dial Out en la entrada Connect To tenemos que introducir la IP pública de la oficina que dijimos que, (a efectos del laboratorio), es la 172.16.90.138. En el usuario y la contraseña que habéis puesto antes.

En Profile seleccionamos default encryption y tildar Use IPsec e introducir el password de IPsec. No necesitamos utilizar las opciones Dial on Demand ni Add Default Route. Clic en Aplicar y OK. Ahora en Profiles agregamos el bridge. En este caso el router tiene un bridge creado entre los puertos 2 al 5 y la wlan1 que se llama LAN_bridge.

En el momento de establecer el túnel todos los puertos perteneciente al bridge tendrán conectividad en capa 2 con el router de la oficina.  Vamos a Interface y deshabitamos y habilitamos el túnel y vemos que el túnel se ha establecido. En status, Status connected. Las Local address (172.16.254.1) t Remote Address (10.100.100.1). Si hacemos un ping a la IP 10.100.100.1 veremos que hay respuesta. También podemos verificar que BCP está activo que entre los Ports del bridge LAN_bridge aparece el puerto l2tp dinámico que es el túnel L2TP. 

Ping a la IP 10.100.100.1

Si abro una nueva ventana New Winbox veré en la pestaña Neighbors el equipo del otro extremo (172.16.254.1.1). Si configuro mi portátil con una IP del mismo rango de la que se utiliza en la oficina que es la tendría que poder hacer ping hacia el otro router. 

Con un dhcp server habilitado mi portátil tomaría una IP automáticamente de esa LAN. Es como si estuviera conectado directamente al router de la oficina. Se pueden conectar clientes Mac, Windows, Linux, Android, etc.

Mikrotik es genial!.