de terminal a mikrotik, SSTP.

 SSTP: Es muy buena porque es seguro, ya que nos obliga a usar certificado al igual que OVPN.



Se creaun pool de direcciones nuevo.




Se crea el profile .




Antes de iniciar el servidor se crean los certificados.


Systems>Certificate.>+.

Certificado CA.
Hay que estar pendiente en el common name lo que se va a colocar cuando es de MK a cliente. en este casose coloco site1.




Certificado de Servidor.
En el common name se le colocara la direccion IP con la que está oyendo (10.200.1.1).






Certificado del Cliente.
En el name se coloca cliente1.
En el conmon name se coloca cliente1.site1 (se debe colocar el nombre del cliente como un subdominio del conmon name del CA (AUTORIDAD CERTIFICANTE)).
Asi mismo en Secret se debe colocar el name del servidor del cliente es decir <cliente1>.






Ahora se procede a firmar desde la terminal de MK.

Primero la CA. 

Comando: /certificate sign CA-TCP name =CA.


Cuando aparece progress:done, es porque ya se firmo.


Firma de certificado de servidor.
click derecho, sign.


En CA CRL HOST: Se coloca la direccion IP  por donde escucha el servidor.



Firma del certificado del CLIENTE:
.



Después que se firman  las certificaciones, se procede a exportarlos.

Exportamos el CA sin frase. 


Exportamos el Certificado del cliente sin frase, en formato PEM.


Luego lo podemos buscar en File.






Se procede a descargar los archivos de certificaciones en el cliente, mediante FTP.

activacion de FTP.
IP>SERVICES.
Activamos la opcion FTP.



Activando la conexion por FTP.


Activamos el Puerto del FTP en INPUT, Solo lo vamos hacer para hacer descargar los archivos de certificaciones por FTP en el cliente luego se borra esta regla, para no dejar el puerto abierto.







Ahora en el servidor windows se abre un CMD. 
y se compila >>ftp 10.200.1.1
el usuario es admin
la contraseña se deja en blanco.
y cuando salga la palabra FTP, es porque ya estamos conectados al MK.




Compilamos dir, para ver los archivos disponibles en el MK.


Se copia el nombre de los que creemos descargar,
y compilamos get (nombre del archivo).
ya se estaría descargando.

Se deshabilita el servicio de FTP.


Antes de iniciar eñ servidor SSTP, se debe activar una regla de Firewall para abrir el puerto del servidot SSTP que es el "443". lo comentamos como HTTPS.



Ahora vamos a habilitar el servidor SSTP server.



Creamos el Secret, recordemos que el nombre que se debe colocar es el de la certificacion que se le coloco en name al cliente. este caso, <cliente-sstp>.

Con esto finalizamos la configuracion en el MK.

Procedemos a configuar el server para activar la conexion SSTP.

EN la linea de comando se coloca el codigo "MMC". Al darle intro, nos abrira la consola de complementos.

vamos a file> add/remove file>.
le damos click en certifactes.

Seleccionamos computer account.


Dejamos tildado local computer.
dejamos seleccionados la opcion certifactes y le damos OK.





Le damos click derecho en personal, aqi vamos a instalar el servivodr del cliente, realizamos los pasos como dice en la imagen.
Importamos el certificado del cliente, buscándolo en browser.

al darle aceptar, ya estaria importado el certificado del cliente. 





Ahora vamos a instalar el certificado del CA. En la seccion Trusted Root Certification Authorities.

Buscaremos en brower el CA.

Vamos ahora al centro de redes.
Nueva conexion.
tipo VPN.

Crear una nueva.

usar internet, con la direccion IP del servidor MK 10.200.1.1 Y se le coloca el nombre> SSTP.
SE CREA.

Se cambia la configuración del adaptador. cllick derecho y properties. (No nos va a pedir certificado porque el lo obtiene automaticamente del que ya habiamos subiro al MMC)

En networking, destildamos IPV6.


Vamos a conectarnos por SSTP


Se realiza PING AL SERVIDOR WINDOWS DEL SITE 1 MK1.














































Comentarios

Publicar un comentario

Entradas populares de este blog

Tunel EOIP

Imagen
 Es propietario Mikrotik, puede correr sobre PPTP, IPIP ó cualquier tipo de tunel que corra en capa3 que pueda extenerdos epara correr en capa 2. S eva a usar el ejemplo anterior el TUNEL IPIP, para aplicar este modo de tunel. Se usara winbox en los servidores windows. Para que de esta forma cuando hayamos establecido el tunel EOIP, puede buscar las mac addres de los dispositivos conectados en la red, obviamente estara bsucando en capa 2), IP>>INTERFACE>>+>>EOPI TUNNEL. se usaran las direcciones ip del tunel IPIP. El EOIP se puede reforzar con IPsec, pero como ya la configuracion del tunel IPIP esta con Ipsec, no es necesario. EL TUNNEL ID, DEBE SER IGUAL EN AMBOS. Conf. EOIP del SITE-1. Conf. EOIP del SITE-2. EOIP debería funcionar                                                           ...
Leer más

Tunel GRE

Imagen
Levantamiento de dos sitios mediante un tunel GRE. SITE-1. INTERFACE>> GRE TUNNEL. Se le puede agregar mas seguridad con ipsec, por los momentos lo dejamos asi. SITE-2. .. Conexion establecida. AgregaR DIRECCIONES IP A LAS INTERFACES DE TUNEL GRE. SITE-2. SITE-1. --------------------------------------------- NEW ROUTE SITE-1. NEW ROUTE SITE 2. ------------------------------------------------------------------------------------------------------------ REGLAS DE NAT SITE-2. REGLAS DE NAT SITE 1. Probar conectividad con ping desde los equipos windos, y listo. El problema es que es inseguro porque no ctien. INTERFACE: Con solo editar la interface gree tunnel, y colocar las mismas frases en ambos mk, ya tenemos listo la seguridad ipsec Ahora vamos a verificar en IP>>IPSEC. Ver que los IPSEC esten establecidos y funcionando. Para verificar que el trafico este curssando encriptado vamos a la pestaña de, Installed SAs, debe tener trafico y cursar aun mas cuando este vaya obteniendo...
Leer más