Mi Blog

No te olvides seguirme en Facebook.

Tan solo tienes que hacer click en Me Gusta

 

 

x

➥ Cómo conectar dos oficinas por VPN con MikroTik y RouterOS

➥ Cómo conectar dos oficinas por VPN con MikroTik y RouterOS

Unir en una misma red 2 oficinas, casas (ó lo que sea) ubicados en diferentes ubicaciones geográficas, es sumamente sencillo y algo que se usa en el 100% de las empresas que tienen sedes en diferentes ubicaciones.

Aunque existen varias formas de hacerlo, en este tutorial os voy a enseñar como unir 2 oficinas con Mikrotik y RouterOS utilizando IPSEC. De esta forma las 2 oficinas estarán conectadas y serán visibles entre ellas como si estuvieran en la misma ubicación geográfica.

Si queréis aprender como hacerlo, seguid leyendo este tutorial...

¿QUÉ ES UNA VPN?

Una red privada virtual, en inglés: Virtual Private Network (VPN) es una tecnología de red de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.​ Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.

Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

La conexión VPN a través de Internet es técnicamente una unión wide area network (WAN) entre los sitios pero al usuario le parece como si fuera un enlace privado— de allí la designación "virtual private network".

1.- REQUERIMIENTOS

Los requerimientos para seguir este tutorial son los siguientes:

  • 2 equipo con RouterOS ( Puede ser un router Mikrotik/RouterBoard ó un x86 ).
  • Conexión entre ellos a través de Internet
  • Al menos 1 equipo cliente para pruebas en cada extremo

2.- ESQUEMA DE RED

Este tutorial está enfocado a un público con algo de conocimiento de networking, por tanto, habrá algunos pasos que los pasaré por alto ya que son sumamente sencillos.

 

En este ejemplo, el direccionamiento de los 2 equipos de Mikrotik será el siguiente:

  • Mikrotik PARIS: WAN (10.10.0.1/30) LAN(192.168.1.1/24)
  • Mikrotik MADRID: WAN (10.10.0.2/30) LAN(192.168.2.1/24)

 

Por tanto, las redes locales de cada site serán: PARIS (192.168.1.0/24) y MADRID (192.168.2.0/24)

En la siguiente imagen se pude ver un pequeño esquema de como será la red de ejemplo:

VPN IPSec MikrotikBreve diagrama de red

4.- CONFIGURACIÓN DEL ROUTER DE PARIS

El primer router que vamos a configurar es el Mikrotik de PARIS. Podemos cambiar el nombre de las interfaces de red para ver claramente si es la interfaz LAN (red local) o la WAN (Internet). Para ver las IPs, debemos acceder desde el menú principal IP->Addresses. Éste router tendrá las siguientes direcciones IP:

VPN IPSec MikrotikDirecciones IP Mikrotik PARIS

 

 

Ahora llega el paso de configurar el Túnel IPSEC entre PARIS y MADRID. Para ello, desde el menú principal, iremos a IP->IPSEC y añadiremos un nuevo nodo (Peer). Como estamos en el nodo de Paris, los datos que debemos introducir son los datos del otro nodo, es decir, los datos de Madrid. Los datos principales son: Dirección IP, Secret ó contraseña (debe ser igual en los dos routers), debemos marcar "Send Initicial Contact" para que los routers conecten automáticamente y los algoritmos podemos dejar -a modo de prueba- los que vienen por defecto, aunque lo ideal es cambiar MD5 por SHA y el algoritmo de encriptación.

VPN IPSec MikrotikIPSEC Peer Madrid

 

 

En la pestaña de "Policy" debemos añadir una nueva política indicando la red de destino del otro "site". En este caso, la Src Address será la red local de PARIS (192.168.1.0/24) y la red Dst. Address será MADRID (192.168.2.0/24). En protocolos los marcamos todos (all):

VPN IPSec MikrotikIPSec política general

 

 

En la pestaña de "Action", debemos configurar los valores que vemos en la siguiente imagen, destacando que debemos meter las IPs de las WAN de los routers. En Src.Address será la WAN de PARIS y en Dst Address será la WAN de MADRID. Importante marcar la opción de Tunel:

VPN IPSec Mikrotik IPSec action

5.- CONFIGURACIÓN DEL ROUTER DE MADRID

El segundo router que vamos a configurar es el Mikrotik de MADRID. Podemos cambiar el nombre de las interfaces de red para ver claramente si es la interfaz LAN (red local) o la WAN (Internet). Para ver las IPs, debemos acceder desde el menú principal IP->Addresses. Éste router tendrá las siguientes direcciones IP:

VPN IPSec MikrotikDirecciones IP Mikrotik MADRID

 

 

Ahora llega el paso de configurar el Túnel IPSEC entre MADRID y PARIS. Para ello, desde el menú principal, iremos a IP->IPSEC y añadiremos un nuevo nodo (Peer). Como estamos en el nodo de Madrid, los datos que debemos introducir son los datos del otro nodo, es decir, los datos de Paris. Los datos principales son: Dirección IP, Secret ó contraseña (debe ser igual en los dos routers), debemos marcar "Send Initicial Contact" para que los routers conecten automáticamente y los algoritmos podemos dejar -a modo de prueba- los que vienen por defecto, aunque lo ideal es cambiar MD5 por SHA y el algoritmo de encriptación.

VPN IPSec MikrotikIPSEC Peer Madrid

 

 

En la pestaña de "Policy" debemos añadir una nueva política indicando la red de destino del otro "site". En este caso, la Src Address será la red local de MADRID (192.168.2.0/24) y la red Dst. Address será PARIS (192.168.1.0/24). En protocolos los marcamos todos (all):

VPN IPSec MikrotikIPSec política general

 

 

En la pestaña de "Action", debemos configurar los valores que vemos en la siguiente imagen, destacando que debemos meter las IPs de las WAN de los routers. En Src.Address será la WAN de MADRID y en Dst Address será la WAN de PARIS. Importante marcar la opción de Tunel:

VPN IPSec Mikrotik IPSec action

6.- PRUEBA DE LAS COMUNICACIONES

En cada extremo, tenemos 1 pc para las pruebas. En PARIS tenemos un equipo con la IP 192.168.1.25 y en MADRID otro con la IP 192.168.2.25. Si hacemos PING desde un equipo al otro debe funcionar a través de la VPN IPSEC:

VPN IPSec MikrotikPing desde PARIS a MADRID

 

 

VPN IPSec MikrotikPing desde MADRID hasta PARIS

 

 

Cuando el Túnel es levantado automáticamente, se puede ver en la pestaña "Remote Peers" que la comunicación entre ambos routers se ha establecido:

VPN IPSec MikrotikTúnel levantado en PARIS

 

 

VPN IPSec MikrotikTúnel levantado en MADRID

7.- POSIBLES FALLOS

Si incluso con el Túnel levantado no funciona la comunicación, probad a crear una regla en el Firewall IP-Firewall-Pestaña NAT y tenemos que crear una regla nueva de tipo "srcnat" y origen la red LAN (en PARIS 192.168.1.0/24) y destino la red de MADRID (192.168.2.0/24).

En MADRID habría que hacer lo mismo pero al revés: crear una regla nueva de tipo "srcnat" y origen la red LAN (en MADRID 192.168.2.0/24) y destino la red de PARIS (192.168.1.0/24).

Hacemos click en Aceptar! y esta regla la ponemos la primera de todas las del firewall.

 

 

ENJOY!


Raúl Prieto Fernández

Sitio Web: raulprietofernandez.net

Si quieres ir rápido, ve solo. Si quieres llegar lejos, ve acompañado.

Comentarios  

Omar
# Omar 01-02-2019 19:15
Buen día Raul un gusto, gracias por tus excelentes aportes a la comunidad, necesito de tu valioso apoyo, tengo que comunicar por medio de un tunel VPN como el que explicas en este tutorial, con la finalidad de usar Voip, que cosas extras a lo que presentas en este tutorial tendría que contemplar para realizarlo, muchas gracias.
Responder
Raúl Prieto Fernández
# Raúl Prieto Fernández 10-02-2019 16:51
Hola Omar:

Pues nunca he realizado una cofiguración para VoIP entre 2 sites con Miktorik y una VPN, pero imagino que no haya mucho problema en conectar a través de VoIP , ya que al estar ambos sites unidos por la VPN , todo el tráfico de el site A puede llegar a B y el de B a A.

Habría que mirar el software a utilizar para la VopIP entre los sites y ver si es necesario algún tipo de configuración adicional en la parte de los Mikrotiks y la VPN.

Con la configuración que he puesto arriba, en principio, deberia funcionar absolulamente cualquier peticición desde un equipo del site A al B y viceversa.

Yo haría una prueba entre 2 equipos uno en A y otro en B y probaría a ver si se pueden llamar entre ellos, pero claro, no sé que vas a utilizar :D Asterisk, algún otro tipo de software ..... depende mucho :D

Saludos
Responder

Escribir un comentario

     

Código de seguridad
Refescar