MIKROTIK - CONFIGURACIÓN DE VPN CON

TUNNEL IPSEC
Nivel: Intermedio
Información Importante:
Esta configuración solo se puede realizar teniendo como máximo la versión de RouterOS:
6.43.12(stable)
6.43.16(Long-term)
Para una versión a partir de la 6.44 seguir el siguiente manual: (publicación en proceso)
En este articulo se vera la manera de realizar una configuración de VPN con el Tunnel IPSEC el cual es
considerado el Tunnel mas seguro hasta el momento para realizar una conexión entre dos o mas redes
LAN remotas.
Requisitos:
 Contar con IP Publica estática en ambos sitios.
 Los ID de las subredes tienen que ser de diferente segmento.
 Los dos Routers MikroTik tienen que tener la misma version de RouterOS.
 Es recomendable tener el mismo servidor NTP en los dos Routers MikroTik.
Antes de configurar la VPN requiere realizar las configuración previas en los routers:
 Articulo: “MikroTik – Configurar puerto WAN”.
 Articulo: “MikroTik – Configurar Red LAN”.
Diagrama general de una red VPN:

Como se aprecia en el diagrama los routers tiene una dirección IP Publica, ademas cada uno de los
routers tienen su propia red LAN.
Con la configuración que se describe en este articulo sera para que los equipos que están en la Red
192.168.2.0/24 puedan acceder al servidor que tiene la dirección IP 192.168.1.10, o a cualquier otro
equipo que este en la Red 192.168.1.0/24 y viceversa.
En este articulo se muestra la forma de configurar los Routers ya sea a travez de Terminal o mediante las
ventanas de Winbox.
Nota:
La configuración que se muestra es valida hasta la versión RouterOS 6.43.12
Código de configuración:

#Configuración del Site "A"

/ip ipsec peer
add address=34.195.171.188 secret=“ipsec-pass” port=500
auth-method=pre-shared-key

/ip ipsec proposal

add name="ipsec" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024

/ip ipsec policy

add proposal="ipsec" src-address=192.168.1.0/24
dst-address=192.168.2.0/24 sa-src-address=107.161.185.30
sa-dst-address=34.195.171.188 tunnel=yes

/ip firewall nat

add action=accept chain=srcnat src-address=192.168.1.0/24
dst-address=192.168.2.0/24 place-before=0
#Configuración del Site "B"
/ip ipsec peer
add address=107.161.185.30 secret=“ipsec-pass” port=500
auth-method=pre-shared-key

/ip ipsec proposal

add name="ipsec" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024

/ip ipsec policy

add proposal="ipsec" src-address=192.168.2.0/24
dst-address=192.168.1.0/24 sa-src-address=34.195.171.188
sa-dst-address=107.161.185.30 tunnel=yes

/ip firewall nat

add action=accept chain=srcnat src-address=192.168.2.0/24
dst-address=192.168.1.0/24 place-before=0

Por cada red que se tenga en un Site se requiere generarle un "proposal" en el Router.
Configuración Via Winbox:
Para configurar el router a travez de winbox hay que seguir los siguientes pasos:
 Configuración Site "A"
1.- Primero acceder en el menu principal a "IP" posteriormente elegir la sub-opcion "IPsec":

2.1.- Ahora en la ventana de IPsec seleccionaremos la pestaña "Peers", y daremos clic en la opción de
agregar nuevo registro (+):

2.2.- En la ventana de "New IPsec Peer" configuraremos los parametros correspondientes, al finalizar
daremos clic en el botón (OK):
Address: hace referencia a la dirección IP publica que esta en el otro "Sitio".
Port: es el puerto que se utilizara para la comunicacion del Tunnel.
Secret: es el secreto compartido que se utilizara por los equipos para enlazarce.

Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente

manera:

3.1.- Ahora nos cambiaremos a la pestaña "Proposals", y daremos clic en la opción de agregar nuevo
registro (+):
3.2.- En la ventana de "New IPsec Proposal" configuraremos los siguientes parametros:
Name: Es el nombre que le daremos al Proposal para identificarlo en otras secciones, el nombre es
totalmente opcional el que le pongan.
Auth. Algorithms: El algoritmo permitudo para la autentificacion: SHA (Secure Hash Algorithm) es el mas
fuerte.
Encr. Algoruthms: Es el algoritmo permitido a utilizar en las asociaciones de seguridad.
PFS Group: es usado para Confidencialidad directa perfecta su valor por defecto es: modp1024.

Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente

manera:
4.1.- Ahora nos cambiaremos a la pestaña "Policies", y daremos clic en la opción de agregar nuevo
registro (+):

4.2.- En la ventana de "New IPsec Policy" configuraremos los parametros correspondientes a la pestaña
"General", (Sin dar clic en los botones "OK" o "Apply"):
Src. Address: Es el Id de la red LAN local que esta en el Sitio "A".
Dst. Address: Es el Id de la red LAN remota a la que se quiere acceder que esta en el Sitio "B".
Después nos cambiaremos a la pestaña "Action" y se configuran los siguientes parámetros, al finalizar
daremos clic en el botón (OK):
Tunnel: Especifica si se debe de usar el modo Túnel
SA Src. Address: Dirección IP fuente, la dirección IP publica que tiene el Router Local.
SA Dst. Address: Dirección IP destino, la dirección IP publica que tiene el Router Remoto
Proposal: La plantilla que se genero con anterioridad en la pestaña Proposal.

Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente

manera:
  Configuracion Site "B"
1.- Primero acceder en el menu principal a "IP" posteriormente elegir la sub-opcion "IPsec":
2.1.- Ahora en la ventana de IPsec seleccionaremos la pestaña "Peers", y daremos clic en la opción de
agregar nuevo registro (+):

2.2.- En la ventana de "New IPsec Peer" configuraremos los parametros correspondientes, al finalizar
daremos clic en el botón (OK):
Address: hace referencia a la dirección IP publica que esta en el otro "Sitio".
Port: es el puerto que se utilizara para la comunicacion del Tunnel.
Secret: es el secreto compartido que se utilizara por los equipos para enlazarce.
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente
manera:

3.1.- Ahora nos cambiaremos a la pestaña "Proposals", y daremos clic en la opción de agregar nuevo
registro (+):

3.2.- En la ventana de "New IPsec Proposal" configuraremos los siguientes parametros:

Name: Es el nombre que le daremos al Proposal para identificarlo en otras secciones, el nombre es
totalmente opcional el que le pongan.
Auth. Algorithms: El algoritmo permitudo para la autentificacion: SHA (Secure Hash Algorithm) es el mas
fuerte.
Encr. Algoruthms: Es el algoritmo permitido a utilizar en las asociaciones de seguridad.
PFS Group: es usado para Confidencialidad directa perfecta su valor por defecto es: modp1024.
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente
manera:

4.1.- Ahora nos cambiaremos a la pestaña "Policies", y daremos clic en la opción de agregar nuevo
registro (+):
4.2.- En la ventana de "New IPsec Policy" configuraremos los parametros correspondientes a la pestaña
"General", (Sin dar clic en los botones "OK" o "Apply"):
Src. Address: Es el Id de la red LAN local que esta en el Sitio "A".
Dst. Address: Es el Id de la red LAN remota a la que se quiere acceder que esta en el Sitio "B".

Después nos cambiaremos a la pestaña "Action" y se configuran los siguientes parámetros, al finalizar
daremos clic en el botón (OK):
Tunnel: Especifica si se debe de usar el modo Túnel.
SA Src. Address: Dirección IP fuente, la dirección IP publica que tiene el Router Local.
SA Dst. Address: Dirección IP destino, la dirección IP publica que tiene el Router Remoto.
Proposal: La plantilla que se genero con anterioridad en la pestaña Proposal.
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente
manera:

Verificación de que el Túnel se a realizado exitosamente.

Si nuestros parámetros están corretos veremos que en la Policy en el parametro "PH2 State" cambiara de
"no phase2" a "established", asi como se muestra en las imágenes siguientes:
5.- Configuración del NAT
Devido a que la comunicación a travez del "IPsec" es entre las redes especificadas en las reglas de
"Policies", para esto tenemos que evitar que el trafico entre las redes se vea afectado por el
enmascaramiento del NAT. Para esto se generan las siguientes excepciones.
Esto se tiene que hacer tanto en el Site "A" y el Site "B" con las redes LAN correspondientes.
Primer accedemos a la opción del menu princial "IP" posteriormente a la sub-opcion "Firewall", y nos
vamos a la pestaña "NAT" en la ventana Firewall y damos clic en el botón de Agregar (+).

5.1 Nueva regla de NAT para que el trafico del Site "A" no se vea afectado por el NAT.
Src. Address: Id de la Red LAN local que esta en el sitio "A"
Dst. Address: Id de la Red LAN remota que esta en el sitio "B"
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente
manera:
5.2 Para que el trafico entre la red origen y la red destino no se vea afectado por el NAT hay que cambiar
de posición la regla que generamos, por lo que es necesario seleccionar la regla y moverla a la parte
superior del listado:

5.3.- tambien tenemos que generar una regla similar en el Sitio "B" con los parametros propios del Sitio:

Src. Address: Id de la Red LAN local que esta en el sitio "B"

Dst. Address: Id de la Red LAN remota que esta en el sitio "A"
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente
manera:
5.2 Para que el trafico entre la red origen y la red destino no se vea afectado por el NAT hay que cambiar
de posición la regla que generamos, por lo que es necesario seleccionar la regla y moverla a la parte
superior del listado: