VPN SSTP Entre dos Mikrotik Utilizando Certificados

Crear certificados en el Servidor cloud chr que creamos en Hetzner. 

System -> Certificates. En primer lugar creamos el certificado CA con las siguientes características

Ahora tenemos que crear el certificado del servidor, similar al anterior pero en Common Name pondremos la dirección IP Pública del servidor 195.201.40.65 de manera que los equipos tengan la certeza que la comunicación se establece con el equipo correcto.

A continuación creamos el certificado del cliente.

Firmar los certificados:

Certificado CA:

El certificado CA está firmado (KAT) K - private-key, A - authority, T - trusted.

Firmar certificado del cliente:

Firmar certificado del servidor

Vamos a configurar la VPN clicando en PPP SSTP Server. Primero creamos un PPP Profile con dirección IP local 10.254.254.1 y dirección IP remota 10.254.254.2 o en su defecto si las direcciones IP se entregarán por DHCP, en Remote Address pondremos el pool de direcciones IP del DHCP Server. En la pestaña Protocols la entrada Use Encryption en required (obligatorio).

Ya podemos crear la VPN. PPP -> SSTP Server, TLS Version only--1.2 y tildando Force AES para obligar la encriptación, el puerto será el 443.

Exportar certificados CA y CLIENTE. El certificado cliente lo exportamos con una clave (Export Passphase:

Nos vamos a Files y descargamos los certificados a una carpeta que llamaremos cert-hetzner

En el segundo dispositivo Mikrotik (AdminRouter) es donde vamos a subir los certificados, Upload en la carpeta Files.

Luego los importamos. System -> Certificates -> Import. El CA, el crt (con la clave que utilizamos para crearlo), y la llave pública.

El siguiente paso es crear el SSTP cliente. Abrimos PPP y en la pestaña + elegimos SSTP Client e introducimos los datos correspondientes al servidor cloud SSTP. Tildamos Add Default Router si vamos a navegar a través del cloud, si no lo dejamos por defecto. Por último comprobamos que el túnel se ha establecido. 

Si nos conectamos al cloud chr y vamos a PPP Interface veremos el túnel, DR dynamic y running.

Habilitar conectividad entre el chr y la LAN detrás del AdminRouter. Si hacemos ping hacia el chr tenemos conectividad pero, desde el chr cloud hacia la LAN no. Tenemos que crear la ruta en IP Route agregando en Dst. Address el segmento de la LAN y como Puerta de Enlace el túnel sstp.

Llegados a este punto, podemos establecer la conexión VPN SSTP con el cloud chr, a través de Winbox.

Mikrotik es genial!.

Clases de Direcciones IPv4

Direcciones IPv4:

Clase A: El primer octeto corresponde a la porción de Red y el resto a la porción de host.

Clase B: Los dos primeros bytes de la dirección corresponden a la parte de Red y los dos restantes a la parte de host.

Clase C: Los tres primeros octetos de la dirección corresponden a la parte de Red y los dos restantes a la parte de host.

Identificar a que clase pertenece una dirección IP:

Si el primer octeto empieza por 0 = Clase A
Si el primer octeto empieza por 10 = Clase B
Si el primer octeto empieza por 110 = Clase C
Si el primer octeto empieza por 1110 = Clase D
Si el primer octeto empieza por 11110 = Clase E

Rango de Direcciones de cada clase:

Clase A: 0.0.0.0 - 127.255.255.255 = 0-127 Número de redes = 2 elevado a la 8 - 1 (-1 por el bit inicial de clase A) = 2 a la 7 = 128-2 = 126 Redes. Número de hosts 2 a la 24 - 2 (-2 por ID de red y broadcast) = 16,777,216 - 2 = 16,777,216 Hosts/Red.

Clase B: 128.0.0.0 - 191.255.255.255 = 128-191 Número de redes 2 elevado a la 16 - 2 (-2 es por los bits iniciales de clase B) = 2 a la 14 = 16,384 Redes. Número de hosts 2 a la 16 - 2 (-2 es por ID de red y broadcas) = 65,536 - 2 = 65,534 Hosts/Red.

Clase C: 192.0.0.0 - 223.255.255.255 = 192-223 = Número de redes 2 elevado a 24-3 (-3 es por los bits iniciales de clase C) = 2 a la 21 = 2,097,152 Redes. Número de hosts 2 elevado a la 8 - 2 = 256 -2 = 254 Hosts/Red.

Clase D: 224.0.0.0 - 239.255.255.255 - Multicast - La utilizan algunos protocolos de enrutamiento para comunicarse entre ellos
Clase E: 240.0.0.0 - 255.255.255.255 - Experimental

A que clase pertenecen estas direcciones IPv4

5.126.30.2

000000101.01111110.00011110.00000010 = primer octeto empieza por 0 clase A

201.64.99.32

11001001.01000000.01100011.00100000 = primer octeto empieza por 110 clase C

190.224.255.9

10111110.11100000.11111111.000001001 = primer octeto empieza por 10 clase B

231.146.31.10

11100111.100010010.00011111.00010010 = primer octeto empieza por 1110 clase D

248.1.2.4

11111000.00000001.00000010.00000100 = 11110 primer octeto empieza por 11110 clase E

128.52.65.5

1000000.00110100.01000001.00000101 = 10
primer octeco empieza por 10 Clase B

30.56.48.101

000011110.00111000.00110000.01100101 = 0
primer octeto empieza por 0 Clase A

221.45.65.2

11011101.00101101.01000001.00000010 = 110
primer octeto empieza por 110 Clase C

198.56.84.4

11000110.00111000.01010100.00000100 = 110
primer octeto empieza por 110 Clase C

Máscara de Subred

Sirve para identificar la porción de red y la porción de host

Mascaras de subred por defecto:

Clase A: 255.0.0.0 = /8
Clase B: 255.255.0.0 = /16
Clase C: 255.255.255.0 = /24

192.168.10.2/ 17 (11111111.11111111.1 = 17)

11000000.10100100.00001010.00000010 IP
11111111.11111111.10000000.00000000 Mask

Direcciones IP Públicas

La IANA y los registros de direcciones IP regionales o por zonas (Regional Internet Register): ARIN (Norte América), lacnic (Latino América), RIPE NCC (Europa y Oriente Medio), APNIC (Asia), AFRINIC (Africa).

Los ISP son los que solicitan las direcciones IP públicas a los Registros de Internet Regional para poder acceder a Internet.

Direcciones IPs privadas

Las direcciones IPv4 privadas están definidas en el RFC 1918 (se encuentran las normas de un protocolo, administradas por IETF). Se utilizan solo para uso interno.

Clase A: 10.0.0.0 - 10.255.255.255
Clase B: 172.16.0.0 - 172.31.255.255
Clase C: 192.168.0.0 - 192.168.255.255

Direcciónes IP reservadas:

Dirección Default o Unknown = 0.0.0.0
Loopback = 127.x.x.x

APIPA (Automtic Private Internet Protocol Addressing) = 169.254.x.x

Subnetting IPv4

192.10.4.24 255.255.255.192 /26

Porción de Red Porción de Host
11000001.00001010.00000100.00|011000 = Dirección de host
11111111.11111111.11111111.11|000000 = Máscara de red =255.255.255.192
11000001.00001010.00000100.00|000000 = Dirección de Red = 192.10.4.0
11000001.00001010.00000100.00|111111 = Dirección de Broadcast = 1+2+4+8+16+32 = 193.10.4.63

Cuantos host tengo disponibles para la porción de host?
2 elevado a 6 que son los bits disponibles en la porción de host - 2
= 62 host

En resumen:

193.10.4.0/26 Dirección de Red
193.10.4.1 Primer host
193.10.4.62 Ultimo host
193.10.4.63/26 Dirección de Broadcast

Trazamos la línea divisiora en e bit 26 (máscara de red, de manera que así identificamos la porción de red y la porción de host). La dirección de red se obtiene desde la dirección de host manteniendo todos los bits de la porción de red y completamos la porción de host con ceros.

Para obtener la dirección de Broadcast mantenemos la porción de red y todos los bits de la porción de host con unos.

Que tipo de dirección es? = Dirección de Red

150.32.0.0 255.255.0.0
10010110.00100000.|00000000.00000000
11111111.11111111.|00000000.00000000
10010110.00100000.|00000000.00000000
10010110.00100000.|11111111.11111111

Que tipo de dirección es? = Dirección de Host

124.63.63.0 255.255.192.0
01111020.00111111.00|111111.00000000
11111111.11111111.11|000000.00000000 /18

01111020.00111111.00|000000.00000000
01111020.00111111.00|111111.11111111

OpenBSD es genial!.

Configurar VLAN Mikrotik SwOS RB260

Configuración válida para el switch RB260GS

Una VLAN (Red de área local virtual o virtual LAN), es un método para crear redes lógicas independientes dentro de una misma red física. Es una segmentación lógica para separar dominio de broadcast.


Utiliza el protocolo 802.1q no encapsula el frame original, sinó que añade un campo de 32 bits entre la dirección MAC de origen y el campo EtherType del frame original.


Para unir VLAN que están definidas en varios switches se puede crear un enlace especial llamado trunk, por el que fluye tráfico de varias VLAN. Los switches sabrán a qué VLAN pertenece cada trama observando la etiqueta VLAN (definida en la norma IEEE 802.1Q).


Hoy en día el uso de LAN virtuales lo habitual es utilizarlas para separar dominios de difusión (hosts que pueden ser alcanzados por una trama broadcast). División de las redes de capa 2, múltiples grupos lógicos de trabajo o dominios de broadcast, en consecuencia reduce el tráfico innecesario en la red y aumenta el rendimiento.

Las VLAN permiten la aplicación de Calidad de Servicio (QoS), restricción de páginas, limitar el ancho de banda, etc.

Términos de VLAN

Tagged: Agrega la etiqueta VLAN a los frames.

Untagged: Elimina la etiqueta VLAN de los frames.

Trunk Port: Permite el paso de etiquetas VLAN a través del Switch.

Access Port: Recibe únicamente el frame con una etiqueta y la elimina antes que el frame deje el puerto para dispositivos que no soporten VLAN.

Tenemos un Router de Borde y un Switch CSS106-5G-1S. Las VLAN pasarán del Router de border al switch.

Configuración:

El puerto ether2 del Router de Borde lo conectamos con un cable ethernet, al puerto ether2 del Switch. El puerto ether2 del Router de Borde será mi puerto trunk o troncal. La interfaz ether2 del Switch será el puerto trunk.

Desde mi portátil conecto un cable ethernet al puerto ether3 del router para acceder vía Winbox.

Router de Borde

1.- Comprobar que tengo conexión a Internet.

1.- Creación de las VLAN en la interfaz ether2. VLAN200, VLAN300 y VLAN400.

2.- Asignar las direcciones IP 192.168.20.1/24, 192.168.30.1/24 y 192.168.30.1/24 a las VLAN200 y VLAN300 y VLAN400 respectivamente. 

3.- IP DHCP Server - crear un DHCP Server para cada una de las VLAN.

Configuración del Switch CSS106-5G-1S cinco puertos Gigabit y un puerto SFP (fibra optica).
Abro Winbox y accedo al switch vía explorador web.

En la pestaña VLAN asignamos al Port3 el Default VLAN ID 200, al Port4 el Default VLAN ID 300 y al Port5 el Default VLAN ID 400. Debe quedar así.

Pestaña VLANS 

n la pestaña VLANs clicamos en Append e introducimos los valores correspondinet a las 3 VLAN.
El Port1 lo dejamos como not a member
El Port2 es el puerto por donde recibiremos las VLAN (trunk), por lo que, lo marcamos como add if missing utilizado para tagged port.
El Port3 para la VLAN ID 200 lo marcamos como always strip propiedad para puertos untagged, el resto not a member.
El Port4 always strip para la VLAN ID 300 y not a member para el resto de puertos.
El Por5 always strip para la VLAN ID 400 y not a member para el resto de puertos.
El puerto SFP lo dejamos tal cual.

En este punto hacemos un backup de la configuarción del switch.

Volvemos a la pestaña VLAN y dependiendo de nuestra configuración, si hemos habilitado puerto de administración o no; habilitamos el filtrado estricto de VLAN para asegurarnos de que solo los VLAN permitidos puedan pasar a través de los puertos.

Dicho esto y suponiendo que no tiene habilitado ningún puerto de administración puede dejar el Port3 (interfaz 3 del switch) en VLAN Mode optional, que le sirvirá de puerto de administración.

Habilitando el filtrado estricto de VLAN.

Si conectamos un cable ethernet desde un PC o portátil, al puerto 5 del switch el DHCP Server que configuramos en el router de borde nos asignará una dirección correspondiente a ese rango y así sucesivamente para los puertos 3 y 4.

Si entramos al router y vamos a IP DHCP Server - leases veremos las IPs asignadas.

Fuente: Mikrotik wiki SwOS RB260

Mikrotik es genial!.

Configurar Router Mikrotik como Switch

Vamos a configurar un router Mikrotik para que funcione como un switch dentro de una red. 

Para este ejemplo utilizaré un router Mikrotik hAP lite.

Restablezca su dispositivo sin la configuración predeterminada.

A continuación, cree un Bridge y asocie al mismo todas las interfaces. Puede seleccionar puertos uno por uno o simplemente puede seleccionar "todos" elemento que agregará todos ellos a la vez (pero luego pierde la capacidad de controlarlos por separado).

Configure el DHCP Client - IP DHCP Client, seleccione su bridge como interfaz (bridge_SW), nunca debe seleccionar un puerto específico perteneciente al bridge porque la interfaz está en modo esclavo y la configuración no trabajaría correctamente. 

Obtendrá una IP del mismo rango que el resto de la red. Tendrá todos los dispositivos en la misma red, o sea, el mismo dominio de difusión (broadcast).

Estoy conectado a un router Mikrotik de Borde con reglas de firewall que impiden hacer ping desde internet, por lo tanto, desactivo momentáneamente esa regla para comprobar conectividad. 

Desde la terminal hacemos un ping.

IP Route

Conecto un cable de red ethernet desde mi portátil a uno de los puertos del router que acabamos de configurar como switch y tenemos conexión a Internet.

Fuente: Forum Mikrotik

Mikrotik es genial!.