Etiquetas

vpn pptp site to site Mikrotik

Enlace site to site  pptp

Una Vpn nos permite unir  dos o mas redes lans remotas ,usando tuneles mediante internet como medio de comunicacion  para poder compartir recursos ,el ancho de banda de la vpn esta limitada por el ancho de banda contratada que tiene cada sede, las vpn nos permiten acceso a  servidores corporativos (correo,impresoras,fileserver,centrales de monitoreo,etc)




Funcionamiento del tunel pptp

 Las vpn pptp incorpora  PPP y MPPE (Microsoft Point ToPoint Encriyption) para crear el cifrado  como medida de serguridad  para enlaces  entre router y susarios esta pensado para la mayoria de los sistemas operativos  incluido Windows , Linux ,Android ,etc  admite cifrado MPPE 128bit RC4.

Al hacer el enlace pptp se utiliza el puerto TCP 1723 con protoclo IP GRE (Encapsulacion de Enrrutamiento generico,ID  del protocolo IP 47) segun lo asignado por la IANA(Autoridad de numeros asigandos  de internet).

Para hacer una vpn  punto a punto o multipunto  es necesario  que el equipo que sirva como servidor pptp  tenga una ip publica estatica  solo se necesitara 1 ip publica para poder conectar todas nuetsras sucursales remotas , el cliente se  apunatara a la ip publica y todos clos cliente buscaran la ip publica que tendra nuestro servidor  los clientes siempre se conectaran al servidor pptp ,para hacer que se vean las 2 redes lan de  cada sucursal es neseario rutear  las redes lans de cada punto mediente  un ruteo estatico mediante el enlace vpn  pptp que se hara

comenzamos con nuestro ejercicio (en este ejercicio usaremos las ips  172.16.16.80 y la 172.16.16.85 como ips puiblicas porque no tengo otro router en la nube)

en nuestro caso nuestro el esquema seria el siguiente

 

Paso 1

Verificamos que  nuestros 2 routers tengan la configuracion basica y que contengan la ip publica

 

 Una ves identificado las  ips y redes en cada router elegimos que router sera nuestro servidor pptp es preferible que sea un router con una ip publica estatica

Paso 2

 Habilitamos el servicio pptp server   en este caso se elijio el router  172.16.16.80 como servidor  pptp
 

Nos dirijimos a la pestaña ppp/interfaces y hacemos clic en la pestaña PPTP Server palomiamos la opcion  enabled y con eso habilitamos  el servidor  pptp ,ahora en  el recuadro  hay algunos detalles  que  lo podemos dejar  como esta pero  en caso sea nesesario  podemos modificarlo deacuerdo a nuestras nesecidades
  • MTU : maximo tamaño del paquete de transmision
  • MRU : la capacidad  maxima de recepecion del paquete sin fracmentacion del paquete
  • Keepalive-timeout : establece  el timepo de espera de respuesta del servidor  en segundos
  • Default profile : perfil de emcriptacion elegido
  • PAP   : transmite  constraseñas  en ASSCII sin encriptacion  por lo que se  considera  inseguro  se suele  usar en otros casos  como  ultimo recurso cuando el servidor no soporta un protocolo mas fuerte
  • CHAP : verifica  validacion encriptada mediante  el uso de la funcion  HASH md5 en tiempo aleatorio  valida contraeña del servidor  con el usuario  en caso no sea valido  cerrara  la session  , esto se hace  en tiempo aleatorio
  • MSCHAP1 : valida usuaio y sontraseña  de forma insegura  compatibles con versiones antiguas  de Windows NT (versiones anteriores del windows 2000) 
  • MACHAP2 : valida usuario y contraseña de forma segura a clientes windows exepto  a versiones de windows NT (versiones anteriores del windows 2000) 

 Le damos appli y ok y con eso ya levantamos  nuestro servidor  pptp para unir nuetsras sursales.

/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=\
    default use-encryption=default use-mpls=default use-vj-compression=\
    default
set 1 change-tcp-mss=yes name=default-encryption only-one=default \
    use-compression=default use-encryption=yes use-mpls=default \
    use-vj-compression=default  
Paso 3

 Creamos  el usuario que loguearemos luego en nuetro router cliente
 

 

Para la creacion de creacion de usuarios  nos dirgimos   a la pestana secrets y presionamos el simbolo  + nos mostrara un recuadro  para agregar los datos del nuevo usuario que admitira una session   el servidor pptp  haemos la descripcion de los recuadros mas importantes   a tomar en cuenta
  • Name        : nombre del usuario
  • Password : contraseña del usuario
  • Service     : servicio que suara el cliente para conectarse en este caso es PPTP
  • Profile      : perfil del usuario
  • Local addess       : la ip  virtual que se mostrara en nuestro router
  • Remote Adrress : ip remota  que se le asiganara al cliente (esta ip puede ser cualquiera que no este en nuestra red  ya que son virtuales es simplemente para  enlasar el tunel pptp entre los dos router)

Estas opciones  son alternativas pero es muy importante conocerlas en caso se quieran aplicar

  • Remote ipv6 prefix : se registra  el prefijo de la direccion  ipv6 en caso se este usando este protocolo
  • Route                       : se pone  la puerta de enlace  de nuestro  enrrutador
  • limit bytes in           :  hacer referencia a la limitacion de ancho de banda  de subida del usuario pptp 
  • limit bytes out         : hacer referencia a la limitacion de ancho de banda  de bajada del usuario pptp

/ppp secret
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 \
    local-address=60.60.60.1 name=rizolatti password=rizolatti123 \
    profile=default remote-address=60.60.60.2 routes="" service=pptp



Paso 4
Una ves creado el usuario vamos a nuestro router cliente en nuestra otra sucursal y lo añadimos nos vamos a ppp y seleccionamos el boton + en general lo dejamos com esta y en Dial Out hacemos la configuracion


  • Connect To : ip del servidor al que nos queremos conectar 
  • User : usuario 
  • Password : contrasena  
  • Dial On Demand : activa la ruta de salida de la vpn cuando se genera trafico hacia ella en caso no haya trafico la ruta se desabilita
  • Add Default Route : agrega automaticamente la ruta de salida de la vpn


le damos aplicar y nuestro usuario ya estaria conectado a nuestro servidor pptp 

/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=\
default use-encryption=default use-mpls=default use-vj-compression=\
default
set 1 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=yes use-mpls=default \
use-vj-compression=default 

 
Paso 5
Una ves  que hayamos registrado  nuestro usuarios  veremos que en nuestro servidor en la pestaña ppp/Active Connections ya tendra registrado el usuario rizolatti



 


En ip/address  veremos la ip que declaramos  al crear el usuario(que esta resaltado en rojo) que se añadira de forma dinamica  ,lo que esta resaltado seria la red lan que queremos unir ,por ahora ya hemos echo la vpn pero las redes lans de cada punto aun no  son visibles entre ellas  para ello tendremos que rutear  las redes.

 

Paso 6

 Nos dirigimos a ip/route  y veremos  las rutas que se nos agrego de forma dinamica con respecto a nuestra vpn punto a puntoesta regla dinamica quiere decir 

todo  loque salga  hacia la ip 60.60.60.2 que use como gateway la interface pptp

todo  loque salga  hacia la ip 60.60.60.1 que use como gateway la interface pptp

  

Agregamos la ruta para  la salida de las redes lan enre los dos routers le damos clic al simbolo +  y creamos   en  router  172.16.16.80  una regla que diga  que todo lo que baya  al a red  lan de nuestra otra sucursal la 20.20.20.0/24 use la interface vpn  para  llegar a ella
y en nuestro otro router  hacemos lo mismo pero pero colocando   la red lan del otro extremo siempre refiriendonos como gateway a la interface vpn  pptp que creamos




/ip route
 add disabled=no distance=1 dst-address=20.20.20.0/24 gateway=<pptp-rizolatti> scope=30 target-scope=10


/ip route
 add disabled=no distance=1 dst-address=10.10.10.0/24 gateway=pptp-out1 \
    scope=30 target-scope=10

aplicamos y guardamos loa cambios.

Una ves  creada las rutas  hacemos la comprobacion  haciendo ping de cada extremo a la red lan de la otra sucursal y nos deveria responder sin problemas

 

en   caso tengamos mas sucursales que queramos unir   solo  creamos mas cuentas de usuarios en nuestro router server pptp  y lo reguistramos , creamos  1 ruta en nuestro router cliente y otra en nuestro router  server pptp aqui les dejo el script de la configuracion para que lo analicen

                                                                 script

 Router server pptp

 /ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=\
    default use-encryption=default use-mpls=default use-vj-compression=\
    default
set 1 change-tcp-mss=yes name=default-encryption only-one=default \
    use-compression=default use-encryption=yes use-mpls=default \
    use-vj-compression=default
/ppp aaa
set accounting=yes interim-update=0s use-radius=no
/ppp secret
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 \
    local-address=60.60.60.1 name=rizolatti password=rizolatti123 \
    profile=default remote-address=60.60.60.2 routes="" service=pptp



/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.16.16.1 scope=30 target-scope=10
add disabled=no distance=1 dst-address=20.20.20.0/24 gateway=<pptp-rizolatti> scope=30 target-scope=10




Router cliente pptp


/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=\
    default use-encryption=default use-mpls=default use-vj-compression=\
    default
set 1 change-tcp-mss=yes name=default-encryption only-one=default \
    use-compression=default use-encryption=yes use-mpls=default \
    use-vj-compression=default
/ppp aaa
set accounting=yes interim-update=0s use-radius=no

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.16.16.1 \
    scope=30 target-scope=10
add disabled=no distance=1 dst-address=10.10.10.0/24 gateway=pptp-out1 \
    scope=30 target-scope=10

Etiquetas:

Comentarios

Publicar un comentario

Entradas populares