¿QUÉ ES UNA VPN?
Una red privada virtual, en inglés: Virtual Private Network (VPN) es una tecnología de red de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.
Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.
La conexión VPN a través de Internet es técnicamente una unión wide area network (WAN) entre los sitios pero al usuario le parece como si fuera un enlace privado— de allí la designación "virtual private network".
¿Y PPTP?
PPTP (Point to Point Tunneling Protocol), es un protocolo de comunicaciones obsoleto que permite implementar redes privadas virtuales o VPN. Una VPN es una red privada de computadoras que usa Internet para conectar sus nodos.
1.- REQUERIMIENTOS
Los requerimientos para seguir este tutorial son los siguientes:
- 1 equipo con RouterOS ( Puede ser un router Mikrotik/RouterBoard ó un x86 ).
- Conexión a Internet
- Un equipo fuera de la red (en Internet) y otro dentro de la Red Local LAN (por si queremos hacer pruebas)
2.- ESQUEMA DE RED
En este ejemplo vamos a simular una oficina normal con 1,2,3...N equipos dentro de la red local (LAN), un router Mikrotik y un equipo externo que será el equipo remoto que acceda desde cualquier lugar del mundo a la LAN a través del túnel VPN PPTP.
El direccionamiento a usar será el siguiente:
- Equipo remoto: IP (Asignada de forma automática por la VPN PPTP) y otra IP de Internet (da igual la que sea)
- Router Mikrotik: WAN (192.168.80.1/24) LAN(10.1.101.1/24)
- Equipos LAN: (10.1.101.0/24)
En la siguiente imagen se puede ver un pequeño esquema de como será la red de ejemplo:
Breve diagrama de red
3.- CONFIGURACIÓN DEL TÚNEL VPN PPTP
Si estáis leyendo este tutorial "avanzado", asumo que sabéis como configurar las IPs de las interfaces de red de un router Mikrotik, así como conceptos básicos de Networking:
Direcciones IP Mikrotik
Las dos interfaces de red que tendrá el router Mikrotik son WAN y LAN-INTERNET:
Interfaces de red
El siguiente paso será crear un Pool de direcciones desde el menú principal IP->IP Pool para asignar a los clientes de la VPN. Este Pool de direcciones tiene que estar en la misma red que los equipos de la LAN 10.1.101.0/24. Asignaremos un rango de IPS desde la 10.1.101.200-10.1.101.250, por tanto tendremos un total de 50 IPs disponibles para asignar a los usuarios de la VPN:
Pool de direcciones VPN
Ahora crearemos un nuevo Profile para nuestra conexión VPN, para ello desde el menú principal -> PPP en la pestaña Profile, añadiremos un nuevo profile. En la pestaña General introduciremos un nombre: VPN-PROFILE, en local address pondremos la IP LAN del router Mikrotik 10.1.101.1 y en remote address seleccionaremos el Pool creado en el paso anterior. Si queremos asignar servidores de DNS, pondremos los que necesitemos. En este ejemplo se usarán los 2 de Google para ver si efectivamente los DNS son configurados en el equipo cliente:
Perfil general VPN Oficina
En la pestaña Protocols dejaremos todo como está, pero deberemos marcar Use Encryption a "yes":
Perfil protocolos VPN Oficina
Si queremos limitar por tiempo las conexiones o asignar un ancho de banda a la conexión, podremos hacerlo desde la pestaña Limits. En este ejemplo se ve como limitamos la conexión a 30 minutos. Transcurridos los 30 minutos, la conexión se desconectará y será necesario volver a conectar la VPN desde el lado del cliente:
Perfil limitaciones VPN Oficina
El siguiente paso será crear las cuentas de usuario con permisos para establecer una conexión VPN con nuestro router Mikrotik. Desde el menú principal -> PPP -> Secrets crearemos nuestro usuario rellenando los siguientes campos: Name=user1 , Password=contraseña del usuario, en Service seleccionaremos pptp y en Profile debemos seleccionar el profile creado en pasos anteriores, en este ejemplo VPN-PROFILE. Podremos crear tantas cuentas de usuario como necesitemos:
Cuenta de usuario para VPN
Ahora debemos crear la interfaz de VPN, desde menú pricipal -> PPP -> Pestaña Interface crearemos una nueva interfaz de tipo VPN PPTP y le asignaremos un nombre, por ejemplo VPN:
Crear interfaz VPN
Lo siguiente será activar el servidor PPTP, ya que por defecto está apagado. Desde menú Principal -> PPP -> Interface, haciendo click en PPTP Server activaremos el servidor, asignaremos el Default Profile a VPN-PROFILE y marcaremos la Authentication como se ve en la imagen:
Activar servidor PPTP
Un punto MUY IMPORTANTE es Activar Proxy-ARP en la interfaz de red de la LAN. Si no se activa esta configuración, aunque la conexión VPN esté activada y el túnel esté levantado, no podremos establecer comunicación entre los equipos remotos de la VPN y la red local LAN. Por tanto, es obligatorio activarlo:
Proxy ARP interfaz LAN
4.- CONECTAR VPN DESDE EQUIPO REMOTO
Desde el lado del cliente, debemos crear una nueva conexión de tipo VPN en la cual deberemos introducir únicamente la dirección IP o nombre de DNS de la IP pública del Mikrotik y asignarle un nombre. En nuestro ejemplo la IP pública es 192.168.80.1. La conexion podemos crearla desde "Conexiones de Red" en Windows:
Conectar VPN desde equipo remoto
Para conectar a la VPN, haremos doble click en el icono de nuestra nueva conexión, en este ejemplo se llama OFICINA, y nos aparecerá una ventana para introducir el nombre y usuario con el que queremos conectarnos a nuestro servidor. Este usuario debe estar creado en el Mikrotik y tener permisos de pptp:
Login en la VPN
Si todo ha ido bien, nuestra conexión se establecerá y podremos ver un nuevo icono de conexión de red en nuestra barra inferior. Si hacemos doble click podremos ver el estado de la conexión:
Estado de VPN
Cuando la conexión se establece correctamente, en el Mikrotik podremos ver todas las conexiones VPN que hay establecidas. Podemos verlas desde menú principal -> PPP -> pestaña Active Connections:
Conexiones establecidas PPTP VPN
5.- PROBANDO LA CONEXIÓN PPTP VPN
Ahora comprobaremos que efectivamente el direccionamiento que tenemos en los dos extremos es correcto. Para ver las direcciones IPs en el equipo remoto de la VPN, ejecutaremos desde línea de comandos el siguiente comando "ifconfig". Debemos tener una IP pública (en este caso 192.168.80.2) y una IP de VPN (en este caso la asignada ha sido 10.1.101.241):
Direcciones IP equipo remoto
Ejecutamos el mismo comando en el equipo de la LAN y vemos que tenemos solo una IP interna 10.1.101.2:
Dirección IP equipo local en LAN
Para probar la comunicación, ejecutaremos un simple PING desde el equipo de la VPN al equipo de la LAN. Si no está filtrado el ICMP, debería funcionar como se ve en la imagen siguiente:
Ping desde equipo remoto a equipo de la LAN
Para probar la comunicación al revés, ejecutaremos un simple PING desde el equipo de la LAN al equipo de la VPN. Si no está filtrado el ICMP, debería funcionar como se ve en la imagen siguiente:
Ping desde la LAN al equipo remoto
Si compartimos un recurso en el equipo de la LAN, por ejemplo una carpeta compartida, podremos acceder a ella desde el equipo remoto en la VPN desde cualquier lugar del mundo. En el equipo remoto ejecutaremos \\10.1.101.2 para ver las carpetas compartidas del equipo de la LAN:
Acceso a carpeta compartida desde equipo remoto a la LAN
Si queremos ver las características del túnel VPN, haremos click en el icono de la nueva conexión y en la pestaña Details podremos ver las características de la conexión PPTP VPN:
Características del túnel PPTP
ENJOY!