¿QUÉ ES UNA VPN?
Una red privada virtual, en inglés: Virtual Private Network (VPN) es una tecnología de red de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.
Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.
La conexión VPN a través de Internet es técnicamente una unión wide area network (WAN) entre los sitios pero al usuario le parece como si fuera un enlace privado— de allí la designación "virtual private network".
¿Y PPTP?
PPTP (Point to Point Tunneling Protocol), es un protocolo de comunicaciones obsoleto que permite implementar redes privadas virtuales o VPN. Una VPN es una red privada de computadoras que usa Internet para conectar sus nodos.
1.- REQUERIMIENTOS
Los requerimientos para seguir este tutorial son los siguientes:
- 1 equipo con RouterOS ( Puede ser un router Mikrotik/RouterBoard ó un x86 ).
- Conexión a Internet
- Un equipo fuera de la red (en Internet) y otro dentro de la Red Local LAN (por si queremos hacer pruebas)
2.- ESQUEMA DE RED
En este ejemplo vamos a simular una oficina normal con 1,2,3...N equipos dentro de la red local (LAN), un router Mikrotik y un equipo externo que será el equipo remoto que acceda desde cualquier lugar del mundo a la LAN a través del túnel VPN PPTP.
El direccionamiento a usar será el siguiente:
- Equipo remoto: IP (Asignada de forma automática por la VPN PPTP) y otra IP de Internet (da igual la que sea)
- Router Mikrotik: WAN (192.168.80.1/24) LAN(10.1.101.1/24)
- Equipos LAN: (10.1.101.0/24)
En la siguiente imagen se puede ver un pequeño esquema de como será la red de ejemplo:
Breve diagrama de red
3.- CONFIGURACIÓN DEL TÚNEL VPN PPTP
Si estáis leyendo este tutorial "avanzado", asumo que sabéis como configurar las IPs de las interfaces de red de un router Mikrotik, así como conceptos básicos de Networking:
Direcciones IP Mikrotik
Las dos interfaces de red que tendrá el router Mikrotik son WAN y LAN-INTERNET:
Interfaces de red
El siguiente paso será crear un Pool de direcciones desde el menú principal IP->IP Pool para asignar a los clientes de la VPN. Este Pool de direcciones tiene que estar en la misma red que los equipos de la LAN 10.1.101.0/24. Asignaremos un rango de IPS desde la 10.1.101.200-10.1.101.250, por tanto tendremos un total de 50 IPs disponibles para asignar a los usuarios de la VPN:
Pool de direcciones VPN
Ahora crearemos un nuevo Profile para nuestra conexión VPN, para ello desde el menú principal -> PPP en la pestaña Profile, añadiremos un nuevo profile. En la pestaña General introduciremos un nombre: VPN-PROFILE, en local address pondremos la IP LAN del router Mikrotik 10.1.101.1 y en remote address seleccionaremos el Pool creado en el paso anterior. Si queremos asignar servidores de DNS, pondremos los que necesitemos. En este ejemplo se usarán los 2 de Google para ver si efectivamente los DNS son configurados en el equipo cliente:
Perfil general VPN Oficina
En la pestaña Protocols dejaremos todo como está, pero deberemos marcar Use Encryption a "yes":
Perfil protocolos VPN Oficina
Si queremos limitar por tiempo las conexiones o asignar un ancho de banda a la conexión, podremos hacerlo desde la pestaña Limits. En este ejemplo se ve como limitamos la conexión a 30 minutos. Transcurridos los 30 minutos, la conexión se desconectará y será necesario volver a conectar la VPN desde el lado del cliente:
Perfil limitaciones VPN Oficina
El siguiente paso será crear las cuentas de usuario con permisos para establecer una conexión VPN con nuestro router Mikrotik. Desde el menú principal -> PPP -> Secrets crearemos nuestro usuario rellenando los siguientes campos: Name=user1 , Password=contraseña del usuario, en Service seleccionaremos pptp y en Profile debemos seleccionar el profile creado en pasos anteriores, en este ejemplo VPN-PROFILE. Podremos crear tantas cuentas de usuario como necesitemos:
Cuenta de usuario para VPN
Ahora debemos crear la interfaz de VPN, desde menú pricipal -> PPP -> Pestaña Interface crearemos una nueva interfaz de tipo VPN PPTP y le asignaremos un nombre, por ejemplo VPN:
Crear interfaz VPN
Lo siguiente será activar el servidor PPTP, ya que por defecto está apagado. Desde menú Principal -> PPP -> Interface, haciendo click en PPTP Server activaremos el servidor, asignaremos el Default Profile a VPN-PROFILE y marcaremos la Authentication como se ve en la imagen:
Activar servidor PPTP
Un punto MUY IMPORTANTE es Activar Proxy-ARP en la interfaz de red de la LAN. Si no se activa esta configuración, aunque la conexión VPN esté activada y el túnel esté levantado, no podremos establecer comunicación entre los equipos remotos de la VPN y la red local LAN. Por tanto, es obligatorio activarlo:
Proxy ARP interfaz LAN
4.- CONECTAR VPN DESDE EQUIPO REMOTO
Desde el lado del cliente, debemos crear una nueva conexión de tipo VPN en la cual deberemos introducir únicamente la dirección IP o nombre de DNS de la IP pública del Mikrotik y asignarle un nombre. En nuestro ejemplo la IP pública es 192.168.80.1. La conexion podemos crearla desde "Conexiones de Red" en Windows:
Conectar VPN desde equipo remoto
Para conectar a la VPN, haremos doble click en el icono de nuestra nueva conexión, en este ejemplo se llama OFICINA, y nos aparecerá una ventana para introducir el nombre y usuario con el que queremos conectarnos a nuestro servidor. Este usuario debe estar creado en el Mikrotik y tener permisos de pptp:
Login en la VPN
Si todo ha ido bien, nuestra conexión se establecerá y podremos ver un nuevo icono de conexión de red en nuestra barra inferior. Si hacemos doble click podremos ver el estado de la conexión:
Estado de VPN
Cuando la conexión se establece correctamente, en el Mikrotik podremos ver todas las conexiones VPN que hay establecidas. Podemos verlas desde menú principal -> PPP -> pestaña Active Connections:
Conexiones establecidas PPTP VPN
5.- PROBANDO LA CONEXIÓN PPTP VPN
Ahora comprobaremos que efectivamente el direccionamiento que tenemos en los dos extremos es correcto. Para ver las direcciones IPs en el equipo remoto de la VPN, ejecutaremos desde línea de comandos el siguiente comando "ifconfig". Debemos tener una IP pública (en este caso 192.168.80.2) y una IP de VPN (en este caso la asignada ha sido 10.1.101.241):
Direcciones IP equipo remoto
Ejecutamos el mismo comando en el equipo de la LAN y vemos que tenemos solo una IP interna 10.1.101.2:
Dirección IP equipo local en LAN
Para probar la comunicación, ejecutaremos un simple PING desde el equipo de la VPN al equipo de la LAN. Si no está filtrado el ICMP, debería funcionar como se ve en la imagen siguiente:
Ping desde equipo remoto a equipo de la LAN
Para probar la comunicación al revés, ejecutaremos un simple PING desde el equipo de la LAN al equipo de la VPN. Si no está filtrado el ICMP, debería funcionar como se ve en la imagen siguiente:
Ping desde la LAN al equipo remoto
Si compartimos un recurso en el equipo de la LAN, por ejemplo una carpeta compartida, podremos acceder a ella desde el equipo remoto e la VPN desde cualquier lugar del mundo. En el equipo remoto ejecutaremos \\10.1.101.2 para ver las carpetas compartidas del equipo de la LAN:
Acceso a carpeta compartida desde equipo remoto a la LAN
Si queremos ver las características del túnel VPN, haremos click en el icono de la nueva conexión y en la pestaña Details podremos ver las características de la conexión PPTP VPN:
Características del túnel PPTP
ENJOY!
Comentarios
Me alegra mucho que te gustase y te sirviese.
Saludos
Gracias por tu comentario y por visitar mi blog.
Un saludo !
Revisa la configuración que has realizado. En el tutorial se ve perfectamente como funciona la conexión y es la que llevo usando más de 10 años como conexión de VPN + Mikrotik y nunca he tenido esos problemas...
Suerte
El puerto que se usa para una conexión PPTP por defecto es el TCP 1723. Es posible que tu ISP esté filtrando esas conexiones. Lo primero que yo haría es mirar desde el exterior, un escaneo de ese puerto a ver si la conexión funciona. Hay scanners online que te pueden hacer el scan, o puedes recurrir a otras herramientas como nmap para escanear.
Si el puerto te da Closed/Filtered y tienes bien hecho el NAT en el router de Vodafone y el servicio de PPTP está corriendo en el MikroTik, posiblemente están filtrando ese puerto.
Puedes cambiar el puerto y utilizar uno >1024 y probar...
Es lo primero que hay que probar, que la conexión desde el exterior funciona.
Saludos
gracias por su ayuda, tengo hecho una vpn con una maquina que se encuentra en otra ciudad pero me da un error, el error hace referncia al bloque del firewall o algo asi.
probe con otra maquina en otra ciudad y no tengo el problema, asi que llame al provedor de internet para ver que pasa, ellos me dicen que los puertos estan bloqueados y que les diga que puertos quiero que abran. nose que puertos utiliza mikrotik para las vpn
graciaas por su oportuna ayuda
Pues para las VPN tipo PPTP se usa el puerto 1723 TCP.
Saludos
Pues debería funcionar todo sin problemas. Es mas, puedes crear una nueva VPN dentro de uno de los Mikrotiks destinada solo a los usuarios Móviles y así evitar interferir en la que ya tienes funcionando. No deberías tener muchos problemas para realizar esa configuración adicional si ya tienes otra VPN funcionando bien
Saludos
No entiendo muy bien la pregunta... ¿podrías explicármelo mejor? o ya conseguiste solucionar el problema...
Saludos
Te dejo una consulta: cómo puedo hacer para que los dispositivos conectados por pptp esten dentro del /24 de la oficina?. Se puede hacer eso con pptp o tengo que cambiar de protocolo?.
Muchisimas gracias!!!1
Pues me imagino que puedas crear 2 Pools de direcciones, una para los equipos de la LAN , por ejemplo Pool1 que va desde 192.168.1.2 hasta 192.168.1.125 y otro Pool para los equipos remotos que conecten a través de la VPN que obtendrán una IP del Pool2 que irá desde 192.168.1.126 hasta 192.168.1.254
Ojo, no lo he probado y no se si habrá algún tipo de problema :) pero es posible que funcione, aunque lógicamente hay que probarlo.
Si lo pruebas y funciona/no funciona, dímelo :) para saberlo mas que nada :)
Saludos
El usuario remoto tiene una conexion de 20 megas.
Del lado del servidor de la vpn son 200 megas.
Cuando el usuario remoto se conecta a la vpn, su velocidad baja a 10 megas aproximadamente.
Entiendo que debe haber una reduccion, pero, ¿tan drastica?
Pues PPTP una de las ventajas que ofrece es que es bastante rápido debido a que su cifrado es menor. ¿Has revisado la carga del Mikrotik durante una transferencia de datos grande?
Publiqué hace tiempo otro tutorial para montar una VPN entre 2 oficinas con IPSec mucho más seguro que PPTP pero que (en teoría) es mas lento que PPTP, pero quizás que vaya mejor en tu caso (hay que modificar la configuración para modo cliente-servidor)
https://www.raulprietofernandez.net/blog/mikrotik/como-conectar-dos-oficinas-por-vpn-con-mikrotik-y-routeros
Nunca he realizado pruebas de benchmark con diferentes VPNs asique no podría decirte a ciencia cierta que puede suceder, quizá la CPU del Mikrotik no pueda cifrar mas rápido ?
Revisa esta url: https://forum.mikrotik.com/viewtopic.php?t=125459, parece que podría ser algo del Fasttrack que dicen en ese hilo del foro.
Saludos y suerte!
Tengo una consulta, te pongo un poco en contexto. Necesito montar una VPN con un Mikrotik RB951G-2HnD. La idea es conectarme desde fuera con un equipo a la red domestica. Pero necesito que sea muy seguro, la unica forma de hacer la coenxion remota es mediante PPTP?
Gracias!
Tal y como ha respondido Rozwell a tu comentario, una forma muy similar de crear una VPN PPTP pero mas segura y de configuración similar es con SSTP. Existen muchos tutoriales en Internet para hacerlo. Cuando tenga tiempo, haré uno y lo colgaré en mi Blog. Existen mas formas como por ejemplo OpenVPN o IPSEC pero la configuración es totalmente diferente.
Saludos y gracias a Rozwell por comentar también.
Pues tienes 2 opciones:
1.- Montar un servidor de DNS local en el/los mikrotik
2.- Si tienes pocos equipos puedes jugar en el fichero "lmhosts" en Windows y /etc/hosts en GNU/Linux, para forzar un nombre de red a una IP concreta, así podrás poner \\miservidorftp\ por ejemplo.
Saludos
Pues en lugar de conectar los equipos entre si utilizando la IP pública, debes activar el DDNS en los routers de Fibra/Adsl que tengas de tu ISP.
Si no tienes estos routers, y son directamente los Mikrotik los encargados de conectar con tu ISP, deberás hacer lo mismo y activar el DDNS.
Cada equipo tendrá un DNS del tipo: 529c0491d41c.sn.mynetname.net
Aquí tienes toda la info: https://wiki.mikrotik.com/wiki/Manual:IP/Cloud
De esta forma, aunque te cambie la IP, la VPN coenctará usando el nombre dns.
Saludos
Pues no debería ser necesario. La verdad, hace ya bastante tiempo que no configuro una VPNde tipo PPTP, pero si mi cabeza no me falla, casi podría asegurarte al 100% que no es necesario añadir nada a las tablas arp.
Es mas, en el ejemplo anterior yo no las añado y funciona perfectamente.
Saludos
Mi consulta es la siguiente:
Tengo una VPN con Mik, pptp. donde es Cliente(Win10) - Servidor(Mkit).
La idea es tener un ping desde PC Cliente a Mikrotik conectado a la VPN(Ping es OK).
Pero necesito tambien una respuesta de Ping(Y otro servicio) Mikrotik y equipos dentro de la Lan del router a PC Cliente remoto VPN.
La idea es que no solo sea como esta en estos momentos, solo tengo acceso desde el PC a la VPN y todos sus Host, pero desde los Host (Internos) no alcanzo el ClienteVPN(Win10).
Mil Gracias
Me alegra mucho que te haya servido el tutorial. Gracias por compartir tu opinión.
Saludos!