vpn pptp site to site Mikrotik
Enlace site to site pptp
Una Vpn nos permite unir dos o mas redes lans remotas ,usando tuneles mediante internet como medio de comunicacion para poder compartir recursos ,el ancho de banda de la vpn esta limitada por el ancho de banda contratada que tiene cada sede, las vpn nos permiten acceso a servidores corporativos (correo,impresoras,fileserver,centrales de monitoreo,etc)Funcionamiento del tunel pptp
Las vpn pptp incorpora PPP y MPPE (Microsoft Point ToPoint Encriyption) para crear el cifrado como medida de serguridad para enlaces entre router y susarios esta pensado para la mayoria de los sistemas operativos incluido Windows , Linux ,Android ,etc admite cifrado MPPE 128bit RC4.Al hacer el enlace pptp se utiliza el puerto TCP 1723 con protoclo IP GRE (Encapsulacion de Enrrutamiento generico,ID del protocolo IP 47) segun lo asignado por la IANA(Autoridad de numeros asigandos de internet).
Para hacer una vpn punto a punto o multipunto es necesario que el equipo que sirva como servidor pptp tenga una ip publica estatica solo se necesitara 1 ip publica para poder conectar todas nuetsras sucursales remotas , el cliente se apunatara a la ip publica y todos clos cliente buscaran la ip publica que tendra nuestro servidor los clientes siempre se conectaran al servidor pptp ,para hacer que se vean las 2 redes lan de cada sucursal es neseario rutear las redes lans de cada punto mediente un ruteo estatico mediante el enlace vpn pptp que se hara
comenzamos con nuestro ejercicio (en este ejercicio usaremos las ips 172.16.16.80 y la 172.16.16.85 como ips puiblicas porque no tengo otro router en la nube)
en nuestro caso nuestro el esquema seria el siguiente
Paso 1
Verificamos que nuestros 2 routers tengan la configuracion basica y que contengan la ip publica
Una ves identificado las ips y redes en cada router elegimos que router sera nuestro servidor pptp es preferible que sea un router con una ip publica estatica
Paso 2
Habilitamos el servicio pptp server en este caso se elijio el router 172.16.16.80 como servidor pptp
Nos dirijimos a la pestaña ppp/interfaces y hacemos clic en la pestaña PPTP Server palomiamos la opcion enabled y con eso habilitamos el servidor pptp ,ahora en el recuadro hay algunos detalles que lo podemos dejar como esta pero en caso sea nesesario podemos modificarlo deacuerdo a nuestras nesecidades
- MTU : maximo tamaño del paquete de transmision
- MRU : la capacidad maxima de recepecion del paquete sin fracmentacion del paquete
- Keepalive-timeout : establece el timepo de espera de respuesta del servidor en segundos
- Default profile : perfil de emcriptacion elegido
- PAP : transmite constraseñas en ASSCII sin encriptacion por lo que se considera inseguro se suele usar en otros casos como ultimo recurso cuando el servidor no soporta un protocolo mas fuerte
- CHAP : verifica validacion encriptada mediante el uso de la funcion HASH md5 en tiempo aleatorio valida contraeña del servidor con el usuario en caso no sea valido cerrara la session , esto se hace en tiempo aleatorio
- MSCHAP1 : valida usuaio y sontraseña de forma insegura compatibles con versiones antiguas de Windows NT (versiones anteriores del windows 2000)
- MACHAP2 : valida usuario y contraseña de forma segura a clientes windows exepto a versiones de windows NT (versiones anteriores del windows 2000)
Le damos appli y ok y con eso ya levantamos nuestro servidor pptp para unir nuetsras sursales.
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=\
default use-encryption=default use-mpls=default use-vj-compression=\
default
set 1 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=yes use-mpls=default \
use-vj-compression=default
Paso 3
Creamos el usuario que loguearemos luego en nuetro router cliente
Para la creacion de creacion de usuarios nos dirgimos a la pestana secrets y presionamos el simbolo + nos mostrara un recuadro para agregar los datos del nuevo usuario que admitira una session el servidor pptp haemos la descripcion de los recuadros mas importantes a tomar en cuenta
- Name : nombre del usuario
- Password : contraseña del usuario
- Service : servicio que suara el cliente para conectarse en este caso es PPTP
- Profile : perfil del usuario
- Local addess : la ip virtual que se mostrara en nuestro router
- Remote Adrress : ip remota que se le asiganara al cliente (esta ip puede ser cualquiera que no este en nuestra red ya que son virtuales es simplemente para enlasar el tunel pptp entre los dos router)
Estas opciones son alternativas pero es muy importante conocerlas en caso se quieran aplicar
- Remote ipv6 prefix : se registra el prefijo de la direccion ipv6 en caso se este usando este protocolo
- Route : se pone la puerta de enlace de nuestro enrrutador
- limit bytes in : hacer referencia a la limitacion de ancho de banda de subida del usuario pptp
- limit bytes out : hacer referencia a la limitacion de ancho de banda de bajada del usuario pptp
/ppp secret
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 \
local-address=60.60.60.1 name=rizolatti password=rizolatti123 \
profile=default remote-address=60.60.60.2 routes="" service=pptp
Paso 4
Una ves creado el usuario vamos a nuestro router cliente en nuestra otra sucursal y lo añadimos nos vamos a ppp y seleccionamos el boton + en general lo dejamos com esta y en Dial Out hacemos la configuracion
- Connect To : ip del servidor al que nos queremos conectar
- User : usuario
- Password : contrasena
- Dial On Demand : activa la ruta de salida de la vpn cuando se genera trafico hacia ella en caso no haya trafico la ruta se desabilita
- Add Default Route : agrega automaticamente la ruta de salida de la vpn
le damos aplicar y nuestro usuario ya estaria conectado a nuestro servidor pptp
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=\
default use-encryption=default use-mpls=default use-vj-compression=\
default
set 1 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=yes use-mpls=default \
use-vj-compression=default
Paso 5
Una ves que hayamos registrado nuestro usuarios veremos que en nuestro servidor en la pestaña ppp/Active Connections ya tendra registrado el usuario rizolatti
En ip/address veremos la ip que declaramos al crear el usuario(que esta resaltado en rojo) que se añadira de forma dinamica ,lo que esta resaltado seria la red lan que queremos unir ,por ahora ya hemos echo la vpn pero las redes lans de cada punto aun no son visibles entre ellas para ello tendremos que rutear las redes.
Paso 6
Nos dirigimos a ip/route y veremos las rutas que se nos agrego de forma dinamica con respecto a nuestra vpn punto a puntoesta regla dinamica quiere decir
todo loque salga hacia la ip 60.60.60.2 que use como gateway la interface pptp
todo loque salga hacia la ip 60.60.60.1 que use como gateway la interface pptp
Agregamos la ruta para la salida de las redes lan enre los dos routers le damos clic al simbolo + y creamos en router 172.16.16.80 una regla que diga que todo lo que baya al a red lan de nuestra otra sucursal la 20.20.20.0/24 use la interface vpn para llegar a ella
y en nuestro otro router hacemos lo mismo pero pero colocando la red lan del otro extremo siempre refiriendonos como gateway a la interface vpn pptp que creamos
/ip route
add disabled=no distance=1 dst-address=20.20.20.0/24 gateway=<pptp-rizolatti> scope=30 target-scope=10
/ip route
add disabled=no distance=1 dst-address=10.10.10.0/24 gateway=pptp-out1 \
scope=30 target-scope=10
aplicamos y guardamos loa cambios.
Una ves creada las rutas hacemos la comprobacion haciendo ping de cada extremo a la red lan de la otra sucursal y nos deveria responder sin problemas
en caso tengamos mas sucursales que queramos unir solo creamos mas cuentas de usuarios en nuestro router server pptp y lo reguistramos , creamos 1 ruta en nuestro router cliente y otra en nuestro router server pptp aqui les dejo el script de la configuracion para que lo analicen
script
Router server pptp
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=\
default use-encryption=default use-mpls=default use-vj-compression=\
default
set 1 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=yes use-mpls=default \
use-vj-compression=default
/ppp aaa
set accounting=yes interim-update=0s use-radius=no
/ppp secret
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 \
local-address=60.60.60.1 name=rizolatti password=rizolatti123 \
profile=default remote-address=60.60.60.2 routes="" service=pptp
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.16.16.1 scope=30 target-scope=10
add disabled=no distance=1 dst-address=20.20.20.0/24 gateway=<pptp-rizolatti> scope=30 target-scope=10
Router cliente pptp
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=\
default use-encryption=default use-mpls=default use-vj-compression=\
default
set 1 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=yes use-mpls=default \
use-vj-compression=default
/ppp aaa
set accounting=yes interim-update=0s use-radius=no
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.16.16.1 \
scope=30 target-scope=10
add disabled=no distance=1 dst-address=10.10.10.0/24 gateway=pptp-out1 \
scope=30 target-scope=10
Comentarios
Publicar un comentario