http://www.juanmnogueira.

es/mikrotik-ipsec-vpn/

En este artículo vamos a unir dos sedes remotas utilizando Mikrotik ipsec VPN. Ésta solución
nos servirá para interconectar dos sedes remotas de manera segura a través de internet. Para
nuestra configuración seguiremos este diagrama:

Configuración Mikrotik ipsec VPN.

Antes de comenzar debemos de tener en cuenta algunas consideraciones, la primera es que

las redes LAN en cada oficina deben ser diferentes, en caso contrario, aunque se establezca
el túnel, los paquetes no se transmitirán al otro extremo. Por otro lado, hay que verificar que
las ips públicas de cada sede se ven a través de un ping. Finalmente debes de tener cuidado
si estás detrás de un router adsl o similar que utilice NAT ya que tendrías que configurar ipsec
en modo ESP y no AH además de abrir el puerto 500 en udp para que el intercambio de
claves pueda llevarse a cabo.

Lo primero que debemos hacer es configurar los interfaces. Configuraremos primeramente el

interface LAN de la primera sede siguiendo nuestro esquema:
A continuación configuraremos el interface WAN.

Luego crearemos una política ipsec que nos permita levantar un tunnel.
Para terminar la configuración en el apartado ipsec tenemos que añadir la configuración del
extremo opuesto del túnel, así como la forma en la que vamos a validarnos contra dicho
extremo.
Por último, sólo nos quedaría configurar una política NAT que convierta las direcciones ips de
la LAN local en direcciones válidas en la red remota.
Con esto habremos configurado el primer equipo Mikrotik, si has llegado hasta este punto la
configuración del otro peer no te resultará complicada ya que sólo tienes que realizar la
configuración en el sentido inverso.
Hola a todos!!! Bueno, este es mi primer post así que espero que les guste. Les voy a explicar
como unir 2 redes LAN remotas mediante dos routers Mikrotik de una manera sencilla y sin tener
que saber mucho acerca de configuración avanzada.

Una VPN es un "tunel" por donde pueden ser transportada información de manera segura (Los
paquetes viajan encriptados) usando como medio de transporte Internet. Este tipo de conexión
vamos a usar en este ejemplo.
En mi trabajo, nos vimos con la necesidad de unir dos LAN por pedido de un cliente, ya que este
quería lograr conectividad transparente para los usuarios al intentar conectarse desde la sucursal
hacia algún recurso de casa central y viceversa. También puede servir en el caso que ustedes y
algún amigo tengan Mikrotik y quieran compartir archivos o jugar mediante una conexión segura
entre sus redes.

Inicialmente configuramos básicamente dos Mikrotik en los dos lugares y armamos una VPN IPSEC
para que cree un túnel seguro y como este protocolo enruta de manera nativa, en pocos minutos
teniamos conexión entre las dos oficinas.

Este cliente en su sucursal tenía una conexión a Internet muy inestable y eso nos trajo problemas
con IPSEC. Se desconectaba solo y a veces no volvía a conectarse hasta no reiniciar los dos routers.
Luego de buscar una solución a este problema, dimos con que configurando una VPN PPTP
gateway-to-gateway, esta era menos proclive a desconectarse ante fallas de la conexión a Internet
y ademas soportaba reconexión automática.

Las direcciones IP que muestro a continuación son solo de ejemplo, si las reemplazan por las que
ustedes tengan funcionaría de igual manera. Pueden copiar los comandos, reemplazar los
nombres de las interfaces y las IP con el Bloc de notas, mediante Winbox abren "New Terminal",
pegan ahí lo copiado y listo!
Cabe aclarar que para que se establezca la comunicación entre las dos redes, estas tienen que
tener diferentes rango de IP.

Configurando la VPN PPTP gateway-to-gateway

Router1 (Casa central):

Configuramos las IP en las interfaces:

LAN:

/ip address
add address=10.0.0.254/24 broadcast=10.0.0.255 comment="" disabled=no
interface=lan network=10.0.0.0

En este caso la conexión a Internet es por cablemodem así que la interfaz de "WAN" obtiene IP
mediante el "dhcp-client".
Muy importante en este es que queden las opciones "add-default-route=yes" y "use-peer-
dns=yes". La primera setea la ruta por defecto y la segunda permite que se usen los DNS del ISP.

/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0 disabled=no
interface=wan use-peer-dns=yes use-peer-ntp=yes

Los DNS. Tiene que estar la opción "allow-remote-requests=yes" para que el router actúe como
DNS cache y los equipos de la red puedan resolver nombres de dominio en IPs.

/ip dns
set allow-remote-requests=yes

Configuramos el "masquerade" para que haga NAT de las IP de la LAN por la IP publica hacia
Internet.

/ip firewall nat

add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan

Protegemos básicamente el router.

/ip firewall filter

add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp
add action=drop chain=input comment="" connection-state=invalid disabled=no

Router2 (Sucursal)

/ip address
add address=10.0.1.254/24 broadcast=10.0.1.255 comment="" disabled=no
interface=lan network=10.0.1.0
/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0 disabled=no
interface=wan use-peer-dns=yes use-peer-ntp=yes

/ip dns
set allow-remote-requests=yes

/ip firewall nat

add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan

/ip firewall filter

add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp
add action=drop chain=input comment="" connection-state=invalid disabled=no

Y lo mas importante...
OK, hasta acá tendriamos las dos oficinas con conexión a Internet pero nada mas. Para configurar
la VPN, en Router1:

En Winbox vamos al menú PPP > Secrets. Mediante el boton "+" agregamos una cuenta. En Name
ponemos "sucursal", en Password, por ej. 123456, en la lista desplegable Profile elegimos "default-
encryption", en Local Address la IP de LAN del router (10.0.0.254), en Remote Address 10.0.0.200 y
damos Apply.
En la solapa Interface en la lista desplegable del botón "+" elegimos PPTP Server. En la ventana
que se abre en User pondremos "sucursal" que era el usuario que anteriormente creamos. Damos
Apply.
Finalmente cliqueamos el botón "PPTP Server", marcamos "Enable" y nos aseguramos que en
Default Profile este seleccionado "default-encryption".
En el Router2 mediante Winbox vamos al menú PPP, desde el botón "+", elegimos PPTP Client, en
la ventana seleccionamos la solapa "Dial Out". En "Connect To" ingresamos la IP publica del
Router1, en este caso por ejemplo sería 192.168.10.164, en User ponemos "sucursal" y en
Password "123456". Nuevamente nos aseguramos que en Profile figure "default-encryption" y
damos Apply.
Si esta todo bien, automáticamente cuando den Apply en la lista de Interface el "PPTP Client" va
figurar como "Connected". Eso significa que ya esta conectado al otro router mediante la VPN. Lo
podemos comprobar fácilmente si desde el menu Tools le hacemos un ping a la IP de la LAN del
router de Casa central (10.0.0.254) y este responde.
Ahora tenemos respuesta del Router1 hacia el Router2, pero si prueban al revés no va a funcionar.
Lo que sucede en ese caso es que los paquetes IP no conocen "el camino de vuelta" por decirlo de
alguna manera, entonces nosotros se lo vamos a enseñar.

En el Router1 vamos a IP > Routes, con el "+" añadimos una ruta estática. En Destination ponemos
la red remota (10.0.1.0/24) y en Gateway ingresamos la IP que le otorga el PPTP Server al
"usuario" "sucursal" (10.0.0.200).
De la misma manera en el Router2 agregamos una ruta estática. En Destination ponemos la red
remota 10.0.0.0/24 y en Gateway la IP de LAN del Router1 (10.0.0.254). Aplicamos.
Finalizando...
Ahora, si hacemos ping entre los routers a sus IP de LAN van a responder los dos, igualmente si lo
hacemos entre dos equipos de las 2 redes.
Excelente tutorial

http://www.taringa.net/posts/info/10764837/Como-unir-2-redes-LAN-con-Mikrotik.html

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#NAT_Bypass

http://gregsowell.com/?p=787