de terminal a mikrotik, PPTP.

Se resetan amos routers.

+Desde el windos del site 2 (cliente), a traves de su router nos vamos a conectar a la direccion 10.200.1.1 como si fuera una ip publica, entramos al servidor del site 1 y luego gracias a la VPN odemos acceder al windows del site 1. Lo contrario no se puede realizar, es decir del windos 1 no se puede acceder al windos 2


 Se configura el router del site 2 para darle salida a internet. Se enmascara la red.

ip>firewall>nat.

Puego vamos a ip>dns. y se selecciona allow remote request. para permitir consultas dns al MK desde la computadora.



El firewall se compone de las 6 reglas básicas.


Ya el site 2 tiene salida de internet.


Ahora vamos a tratar de llegar a la ip 10.200.1.1



Se trata esta ip (10.200.1.1) como una ip publica, se debe realizar el masquerade que se realizo anteriormente con la ether 1 esta vez será la ether 2.




Se configura el MK del Site 1 para acceder la entrada del windos 2. Por hardennig realizado en el MK 1 no se puede haceer ping desde el windos 2.

+Se realiza una regla de firewall para permitir la entrada solo de icmp por la ether 2



(es la interconexion entre MK), de esta forma.


Con esta regla ya se puede realizar el ping desde windos2.


+La siguiente regla que se realizara en el MK 1 es para activar el protocolo PPTP.







Se creara un pool de IP.
IP>Pool>+
Se creara el profile para los clientes.
PPP>Profile.








QUEDA ASI AL FINAL'!!!1



A continuacion se levantara el PPtp server.

Interface>PPtP server.

Se cambia el defaul encryption por el que se caba de crear. 

Por ultimo paso, se creara un secrets, para que los usuarios hagan uso de este tunel.

EN profile, se colooca el profile que se creo anteriorente.

En el apartado donde dice Routes, son las rutas que aprenderan el MK, no el cliente y estas rutas apareceran en ROUTES DEL mk.

Donde dice el limte de BYTES, no se trata de la velocidad de transferencia sino de carga limites de datos.

Con esto tenemos todos para comenzar la conexion del cliente.
La idea es hacerle ping del windos 2 al windows 1.


En el windows 2, se configura para tener una conexion de trabajo con VPN.


Antes de poder navegar, hay que colocar el Secrets para que el MK1 nos deje navegar
Se usa el Mschap2.

En este caso si activamos el default use remote gateway, la salida a internet sera por la ip 192.168.0.19  , es decir la ip gateway del MK 1 y no del MK 2. De esta forma SI podemos llegar al windows 1 por la Vpn. 




Si no queremos dejar tildada esta opción, para poder llegar al Windows 1 debemos hacer una ruta.



Es te acceso lo vamos a dejar con la opcion tildada, es decir dejamos que agarre el gatewasy del remoto, se coloca el usuarion y contrañea anteiormente creado. 


Este acceso se hará con la opción destildada del gateway, ahora no se conectara automaticamente al windows 1, se dbe agregar la ruta manualmente al window2.



Codigo para seguir la ruta de conexion. tracert -d 10.0.1.10.

























 


 

Se debe configurar la salida a internet del mikrotik del cliente.


Se vuleve a realizar un masquerade, pero esta vez para el ether 2. (con el fin  de tener salida a internet)

luego buscar la ip 10.200.1.1, si no es exitoso el ping se procede a verificar el hardennig del server VPN.


en el server vpn, se abre una regla que permita trafico icmp  por la ether 2 (10.200.1.1) *en firewall*, 

la segunda regla es para que entre exclusivamente el pptp por esa ether.

channel: INPUT

Protocol: TCP

Port: 1723

In. Interface: ether 2.



Se crea una pool de ips para que el PPTP trabaje de acuerdo a estas IP, el servidor va a asignar ip a los clientes y tambien asignaran usuarios y contraseñas (se puede hacer de forma manual o automatica.).

ip>pool

name:PPTP

address: 172.20.1.2 - 172.20.1.100




Comentarios

Publicar un comentario

Entradas populares de este blog

Tunel EOIP

Imagen
 Es propietario Mikrotik, puede correr sobre PPTP, IPIP ó cualquier tipo de tunel que corra en capa3 que pueda extenerdos epara correr en capa 2. S eva a usar el ejemplo anterior el TUNEL IPIP, para aplicar este modo de tunel. Se usara winbox en los servidores windows. Para que de esta forma cuando hayamos establecido el tunel EOIP, puede buscar las mac addres de los dispositivos conectados en la red, obviamente estara bsucando en capa 2), IP>>INTERFACE>>+>>EOPI TUNNEL. se usaran las direcciones ip del tunel IPIP. El EOIP se puede reforzar con IPsec, pero como ya la configuracion del tunel IPIP esta con Ipsec, no es necesario. EL TUNNEL ID, DEBE SER IGUAL EN AMBOS. Conf. EOIP del SITE-1. Conf. EOIP del SITE-2. EOIP debería funcionar                                                           ...
Leer más

Tunel GRE

Imagen
Levantamiento de dos sitios mediante un tunel GRE. SITE-1. INTERFACE>> GRE TUNNEL. Se le puede agregar mas seguridad con ipsec, por los momentos lo dejamos asi. SITE-2. .. Conexion establecida. AgregaR DIRECCIONES IP A LAS INTERFACES DE TUNEL GRE. SITE-2. SITE-1. --------------------------------------------- NEW ROUTE SITE-1. NEW ROUTE SITE 2. ------------------------------------------------------------------------------------------------------------ REGLAS DE NAT SITE-2. REGLAS DE NAT SITE 1. Probar conectividad con ping desde los equipos windos, y listo. El problema es que es inseguro porque no ctien. INTERFACE: Con solo editar la interface gree tunnel, y colocar las mismas frases en ambos mk, ya tenemos listo la seguridad ipsec Ahora vamos a verificar en IP>>IPSEC. Ver que los IPSEC esten establecidos y funcionando. Para verificar que el trafico este curssando encriptado vamos a la pestaña de, Installed SAs, debe tener trafico y cursar aun mas cuando este vaya obteniendo...
Leer más

de terminal a mikrotik, SSTP.

Imagen
 SSTP: Es muy buena porque es seguro, ya que nos obliga a usar certificado al igual que OVPN. Se creaun pool de direcciones nuevo. Se crea el profile . Antes de iniciar el servidor se crean los certificados. Systems>Certificate.>+. Certificado CA. Hay que estar pendiente en el common name lo que se va a colocar cuando es de MK a cliente. en este casose coloco site1. Certificado de Servidor. En el common name se le colocara la direccion IP con la que está oyendo (10.200.1.1). Certificado del Cliente. En el name se coloca cliente1. En el conmon name se coloca cliente1.site1 (se debe colocar el nombre del cliente como un subdominio del conmon name del CA (AUTORIDAD CERTIFICANTE)). Asi mismo en Secret se debe colocar el name del servidor del cliente es decir <cliente1>. Ahora se procede a firmar desde la terminal de MK. Primero la CA.  Comando: /certificate sign CA-TCP name =CA. Cuando aparece progress:done, es porque ya se firmo. Firma de certificado de servidor. clic...
Leer más