Unir en una misma red 2 oficinas, casas (ó lo que sea) ubicados en diferentes ubicaciones geográficas, es sumamente sencillo y algo que se usa en el 100% de las empresas que tienen sedes en diferentes ubicaciones.
Aunque existen varias formas de hacerlo, en este tutorial os voy a enseñar como unir 2 oficinas con Mikrotik y RouterOS utilizando IPSEC. De esta forma las 2 oficinas estarán conectadas y serán visibles entre ellas como si estuvieran en la misma ubicación geográfica.
Si queréis aprender como hacerlo, seguid leyendo este tutorial...
¿QUÉ ES UNA VPN?
Una red privada virtual, en inglés: Virtual Private Network (VPN) es una tecnología de red de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.
Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.
La conexión VPN a través de Internet es técnicamente una unión wide area network (WAN) entre los sitios pero al usuario le parece como si fuera un enlace privado— de allí la designación "virtual private network".
1.- REQUERIMIENTOS
Los requerimientos para seguir este tutorial son los siguientes:
- 2 equipo con RouterOS ( Puede ser un router Mikrotik/RouterBoard ó un x86 ).
- Conexión entre ellos a través de Internet
- Al menos 1 equipo cliente para pruebas en cada extremo
2.- ESQUEMA DE RED
Este tutorial está enfocado a un público con algo de conocimiento de networking, por tanto, habrá algunos pasos que los pasaré por alto ya que son sumamente sencillos.
En este ejemplo, el direccionamiento de los 2 equipos de Mikrotik será el siguiente:
- Mikrotik PARIS: WAN (10.10.0.1/30) LAN(192.168.1.1/24)
- Mikrotik MADRID: WAN (10.10.0.2/30) LAN(192.168.2.1/24)
Por tanto, las redes locales de cada site serán: PARIS (192.168.1.0/24) y MADRID (192.168.2.0/24)
En la siguiente imagen se pude ver un pequeño esquema de como será la red de ejemplo:
Breve diagrama de red
4.- CONFIGURACIÓN DEL ROUTER DE PARIS
El primer router que vamos a configurar es el Mikrotik de PARIS. Podemos cambiar el nombre de las interfaces de red para ver claramente si es la interfaz LAN (red local) o la WAN (Internet). Para ver las IPs, debemos acceder desde el menú principal IP->Addresses. Éste router tendrá las siguientes direcciones IP:
Direcciones IP Mikrotik PARIS
Ahora llega el paso de configurar el Túnel IPSEC entre PARIS y MADRID. Para ello, desde el menú principal, iremos a IP->IPSEC y añadiremos un nuevo nodo (Peer). Como estamos en el nodo de Paris, los datos que debemos introducir son los datos del otro nodo, es decir, los datos de Madrid. Los datos principales son: Dirección IP, Secret ó contraseña (debe ser igual en los dos routers), debemos marcar "Send Initicial Contact" para que los routers conecten automáticamente y los algoritmos podemos dejar -a modo de prueba- los que vienen por defecto, aunque lo ideal es cambiar MD5 por SHA y el algoritmo de encriptación.
IPSEC Peer Madrid
En la pestaña de "Policy" debemos añadir una nueva política indicando la red de destino del otro "site". En este caso, la Src Address será la red local de PARIS (192.168.1.0/24) y la red Dst. Address será MADRID (192.168.2.0/24). En protocolos los marcamos todos (all):
IPSec política general
En la pestaña de "Action", debemos configurar los valores que vemos en la siguiente imagen, destacando que debemos meter las IPs de las WAN de los routers. En Src.Address será la WAN de PARIS y en Dst Address será la WAN de MADRID. Importante marcar la opción de Tunel:
IPSec action
5.- CONFIGURACIÓN DEL ROUTER DE MADRID
El segundo router que vamos a configurar es el Mikrotik de MADRID. Podemos cambiar el nombre de las interfaces de red para ver claramente si es la interfaz LAN (red local) o la WAN (Internet). Para ver las IPs, debemos acceder desde el menú principal IP->Addresses. Éste router tendrá las siguientes direcciones IP:
Direcciones IP Mikrotik MADRID
Ahora llega el paso de configurar el Túnel IPSEC entre MADRID y PARIS. Para ello, desde el menú principal, iremos a IP->IPSEC y añadiremos un nuevo nodo (Peer). Como estamos en el nodo de Madrid, los datos que debemos introducir son los datos del otro nodo, es decir, los datos de Paris. Los datos principales son: Dirección IP, Secret ó contraseña (debe ser igual en los dos routers), debemos marcar "Send Initicial Contact" para que los routers conecten automáticamente y los algoritmos podemos dejar -a modo de prueba- los que vienen por defecto, aunque lo ideal es cambiar MD5 por SHA y el algoritmo de encriptación.
IPSEC Peer Madrid
En la pestaña de "Policy" debemos añadir una nueva política indicando la red de destino del otro "site". En este caso, la Src Address será la red local de MADRID (192.168.2.0/24) y la red Dst. Address será PARIS (192.168.1.0/24). En protocolos los marcamos todos (all):
IPSec política general
En la pestaña de "Action", debemos configurar los valores que vemos en la siguiente imagen, destacando que debemos meter las IPs de las WAN de los routers. En Src.Address será la WAN de MADRID y en Dst Address será la WAN de PARIS. Importante marcar la opción de Tunel:
IPSec action
6.- PRUEBA DE LAS COMUNICACIONES
En cada extremo, tenemos 1 pc para las pruebas. En PARIS tenemos un equipo con la IP 192.168.1.25 y en MADRID otro con la IP 192.168.2.25. Si hacemos PING desde un equipo al otro debe funcionar a través de la VPN IPSEC:
Ping desde PARIS a MADRID
Ping desde MADRID hasta PARIS
Cuando el Túnel es levantado automáticamente, se puede ver en la pestaña "Remote Peers" que la comunicación entre ambos routers se ha establecido:
Túnel levantado en PARIS
Túnel levantado en MADRID
7.- POSIBLES FALLOS
Si incluso con el Túnel levantado no funciona la comunicación, probad a crear una regla en el Firewall IP-Firewall-Pestaña NAT y tenemos que crear una regla nueva de tipo "srcnat" y origen la red LAN (en PARIS 192.168.1.0/24) y destino la red de MADRID (192.168.2.0/24).
En MADRID habría que hacer lo mismo pero al revés: crear una regla nueva de tipo "srcnat" y origen la red LAN (en MADRID 192.168.2.0/24) y destino la red de PARIS (192.168.1.0/24).
Hacemos click en Aceptar! y esta regla la ponemos la primera de todas las del firewall.
ENJOY!
Comentarios
Pues nunca he realizado una cofiguración para VoIP entre 2 sites con Miktorik y una VPN, pero imagino que no haya mucho problema en conectar a través de VoIP , ya que al estar ambos sites unidos por la VPN , todo el tráfico de el site A puede llegar a B y el de B a A.
Habría que mirar el software a utilizar para la VopIP entre los sites y ver si es necesario algún tipo de configuración adicional en la parte de los Mikrotiks y la VPN.
Con la configuración que he puesto arriba, en principio, deberia funcionar absolulamente cualquier peticición desde un equipo del site A al B y viceversa.
Yo haría una prueba entre 2 equipos uno en A y otro en B y probaría a ver si se pueden llamar entre ellos, pero claro, no sé que vas a utilizar
Saludos
Tengo una central A , dos Sucursales B y C , Para conectar por VPN tengo que tener en A dos VPN o con una sola no tendria problemas
Tengo que conectar desde A a B y Desde A a C
Pues con una VPN podría ser suficiente, pero bajo mi punto de vista es mejor tener 2 VPNs ( VPN1: A-B y VPN2: A-C).
De esta forma puedes controlar mucho mejor el tráfico de red, restricciones, etc etc ... De esta forma diferencias bien cada una de las dos sucursales y evitas problemas entre ellas.
Yo sin duda, crearía 2 VPNs. EL trabajo es prácticamente el mismo :)
Saludos
Muchas gracias por tus aportaciones.
Mi problema es que quiero colocar el Mikrotik detrás de routers de Vodafone que no se pueden configurar como bridge (lo necesito por el teléfono) y no consigo poner en marcha los túneles ipsec
Tengo configurado:
INTERNET....VODAFONE(192.168.10.1)....(192.168.10.2)MIKROTIK(192.168.0.1).......lan(192.168.0.0)
(en la otra sede la configuración es parecida)
He probado de todo sin éxito.
Lo que tendrás que hacer en el Router de Internet , es hacer NAT de los puertos que se usen en la VPN, asi de esa forma las conexiones que lleguen a tu Router de VPN, se le enviarán al Mikrotik que tienes detrás de tu Router.
Creo que los puertos para IPsec son: UDP 500 y UDP 4500
Internet--->ROUTER[NAT Puertos a la IP del Mikrotik] --->Mikrotik
Saludos
En primer lugar quiero agradecer tus aportaciones, son lo mejor que he visto en este tema.
Pero a pesar de todo, no consigo arrancar los túneles ipsec
Tengo dos redes, ambas detrás de routers Vodafone que no puedo sustituir ni configurar en modo bridge.
en mi configuracion, la LAN de los vodafones es 192.168.XX.1 y la WAN de los Mokrotik 192.168.XX.2 las redes de las oficinas son 192.168.0.0 y 192.168.1.0
En ambas redes navego sin problemas pero no soy capaz de hacer funcionar los túneles.
Te agradeceria mucho si me pudieras orientar.
¿Consigues establecer el túnel de IPSEC entre los 2 equipos Mikrotik? Date cuenta que si los routers Mikrotik están DETRÁS de los Routers de Vodafone, deberás hacer NAT de los puertos necesarios para que se establezca la conexión entre ellos a través del túnel de IPSec.
Si tienes los routers de Vodafone en modo Bridge no sería necesario hacer NAT.
Mira el siguiente tutorial donde indican como hacer el túnel IPSEC, pero detrás de un router con NAT, posiblemente sea tu caso ;)
www.juanmnogueira.es/mikrotik-ipsec-nat/
Saludos
Pero...
Después de funcionar de maravilla durante 3 meses, ha dejado de funcionar misteriosamente.
Tras muchos intentos y reseteos de los dos equipos y vuelta a cargar la copia de la configuración que funcionaba sin éxito volvió a funcionar, pero solo durante 12 horas.
Voy a probar una instalar una versión anterior del del software del equipo a ver si se arregla. Si tengo éxito ya informaré. De momento me estoy volviendo loco.
Vaya, que cosa mas rara que deje de funcionar. Yo recuerdo que RouterOS tiene licencia gratuita de 24 y luego se pierde la configuración. ¿Podría ser algo de esto?
Es muy, muy , muy raro que te deje de funcionar de repente....
Saludos
Lo curioso es que tampoco funciona la re dirección de puertos (que en la instalación anterior si funcionaba)
(tengo unas reglas para acceder a determinados equipos)
He intercambiado los routers entre sedes, he reseteado ambos y a cada uno le he cargado la copia que les corresponde y funciona perfecto. A ver cuanto dura.
Pues si, sentido no tiene ninguno .... Espero que te dure tiempo la conexión.
Podría ser que estás usando IPs dinámicas y de vez en cuando la IP de uno de los extremos cambia y entonces la VPN se desconecta y ya no reconecta?
Saludos
Pues es muy raro que deje de funcionar de repente la verdad ....
Saludos
Ahora con el firewall mejor configurado todo va mucho mejor y no se me ha vuelto a colgar.
Gracias por el tutorial.
Me alegra que lo hayas solucionado.
Saludos
Pues lo único que se me ocurre ahora es que hagas un pequeño script, que compruebe cada X segundos si tiene conexión, si no tiene conexión entonces levantar la otra interfaz.
Hay un foro en mikrotik donde la gente comparte scripts y soluciones como la que tu necesitas, dale un vistazo aqui: https://forum.mikrotik.com/viewforum.php?f=9
Suerte
Si, pero tienes que tener en cuenta que tienes que hacer NAT de lso puertos necesarios para establecer el túnel IPsec, ya que los rbs estarán (supongo) detrás de los routers de adsl/fibra del ISP.
Te dejo una respuesta que he visto por serverfault.com
--------------------
Here are the ports and protocols:
Protocol: UDP, port 500 (for IKE, to manage encryption keys)
Protocol: UDP, port 4500 (for IPSEC NAT-Traversal mode)
Protocol: ESP, value 50 (for IPSEC)
Protocol: AH, value 51 (for IPSEC)
Also, Port 1701 is used by the L2TP Server, but connections should not be allowed inbound to it from out
-----------------------------------------
Saludos
Realice el tunel ipsec y trabajo sin problema unos dos meses, este momento al revisar ipsec -policies sale "ready to send"
he revisado las conexiones y aparentemente todo es normal
Cuidado con las actualizaciones de RouterOS/Mikrotik, parece que hay problemas con IPSec , mira este foro: https://forum.mikrotik.com/viewtopic.php?t=145963
Mira a ver si tu versión es esa o si has realizado alguna actualización en los equipos...
Parece que le pasa a mas gente.
Este lo he tratado de hacer varias veces, necesito conectar dos sedes con MikroTik y no he podido, voy a seguir los pasos de le explicación que has dado a ver si por fin lo puedo lograr.
Perfecto a ver si lo consigues.
Saludos
Una pregunta, donde configuras las ip's externas de los isp's?
Yo tengo una sede con un router movistar con ip externa 81.81.81.81.
Router tiene como ip interna la 192.168.1.1 y se conecta al Mikrotik que tiene como Wan la 192.168.1.2. Luego Mikrotik tiene como LAN la 192.168.70.1
Otra sede tiene un router orange con ip externa 82.82.82.82
Router tiene la ip interna 192.168.0.1 y se conecta al mikrotik que tiene como wan la 192.168.0.2. Mikrotik tiene como LAN la 192.168.60.1.
No entiendo donde tengo que poner las ip's externas 81.81.81.81 y la 82.82.82.82 en el mikrotik para que los routers establezcan conexión.
Muchas Gracias.
Tienes que meter las IPs en los campos SA. Dst Address y SA. Src Address.
Debes tener en cuenta que para que el "router 1" se puede conectar al "router 2" y viceversa, al estar detrás de un router tienes que hacer NAT para que todo lo que le llegue al puerto de IPSec de cada Mikrotik, sino no serán capaces de conectarse entre si al estar detrás de un router.
En resumen, en el (los) mikrotik tienes que meter la IP PUBLICA del router remoto.
Para hacer NAT en los routers es muy sencillo, busca el manual de tus router y viene, es muy sencillo.
IPSec / IKEv2: usa los puertos 500 y 1500 UDP (los dos)
También al parecer tienes que activar esto en ambos mikrotiks si estás detrás de un router (multipuesto) como es tu caso:
/ip ipsec peer set 1 nat-traversal=yes
Dale un vistazo a este link que ayudan a otro usuario con tu mismo problema: https://forum.mikrotik.com/viewtopic.php?t=174753
Saludos