Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TUNNEL IPSEC
Nivel: Intermedio
Información Importante:
Esta configuración solo se puede realizar teniendo como máximo la versión de RouterOS:
6.43.12(stable)
6.43.16(Long-term)
Para una versión a partir de la 6.44 seguir el siguiente manual: (publicación en proceso)
En este articulo se vera la manera de realizar una configuración de VPN con el Tunnel IPSEC el cual es
considerado el Tunnel mas seguro hasta el momento para realizar una conexión entre dos o mas redes
LAN remotas.
Requisitos:
Contar con IP Publica estática en ambos sitios.
Los ID de las subredes tienen que ser de diferente segmento.
Los dos Routers MikroTik tienen que tener la misma version de RouterOS.
Es recomendable tener el mismo servidor NTP en los dos Routers MikroTik.
Antes de configurar la VPN requiere realizar las configuración previas en los routers:
Articulo: “MikroTik – Configurar puerto WAN”.
Articulo: “MikroTik – Configurar Red LAN”.
Diagrama general de una red VPN:
Como se aprecia en el diagrama los routers tiene una dirección IP Publica, ademas cada uno de los
routers tienen su propia red LAN.
Con la configuración que se describe en este articulo sera para que los equipos que están en la Red
192.168.2.0/24 puedan acceder al servidor que tiene la dirección IP 192.168.1.10, o a cualquier otro
equipo que este en la Red 192.168.1.0/24 y viceversa.
En este articulo se muestra la forma de configurar los Routers ya sea a travez de Terminal o mediante las
ventanas de Winbox.
Nota:
La configuración que se muestra es valida hasta la versión RouterOS 6.43.12
Código de configuración:
Por cada red que se tenga en un Site se requiere generarle un "proposal" en el Router.
Configuración Via Winbox:
Para configurar el router a travez de winbox hay que seguir los siguientes pasos:
Configuración Site "A"
1.- Primero acceder en el menu principal a "IP" posteriormente elegir la sub-opcion "IPsec":
2.1.- Ahora en la ventana de IPsec seleccionaremos la pestaña "Peers", y daremos clic en la opción de
agregar nuevo registro (+):
2.2.- En la ventana de "New IPsec Peer" configuraremos los parametros correspondientes, al finalizar
daremos clic en el botón (OK):
Address: hace referencia a la dirección IP publica que esta en el otro "Sitio".
Port: es el puerto que se utilizara para la comunicacion del Tunnel.
Secret: es el secreto compartido que se utilizara por los equipos para enlazarce.
3.1.- Ahora nos cambiaremos a la pestaña "Proposals", y daremos clic en la opción de agregar nuevo
registro (+):
3.2.- En la ventana de "New IPsec Proposal" configuraremos los siguientes parametros:
Name: Es el nombre que le daremos al Proposal para identificarlo en otras secciones, el nombre es
totalmente opcional el que le pongan.
Auth. Algorithms: El algoritmo permitudo para la autentificacion: SHA (Secure Hash Algorithm) es el mas
fuerte.
Encr. Algoruthms: Es el algoritmo permitido a utilizar en las asociaciones de seguridad.
PFS Group: es usado para Confidencialidad directa perfecta su valor por defecto es: modp1024.
4.2.- En la ventana de "New IPsec Policy" configuraremos los parametros correspondientes a la pestaña
"General", (Sin dar clic en los botones "OK" o "Apply"):
Src. Address: Es el Id de la red LAN local que esta en el Sitio "A".
Dst. Address: Es el Id de la red LAN remota a la que se quiere acceder que esta en el Sitio "B".
Después nos cambiaremos a la pestaña "Action" y se configuran los siguientes parámetros, al finalizar
daremos clic en el botón (OK):
Tunnel: Especifica si se debe de usar el modo Túnel
SA Src. Address: Dirección IP fuente, la dirección IP publica que tiene el Router Local.
SA Dst. Address: Dirección IP destino, la dirección IP publica que tiene el Router Remoto
Proposal: La plantilla que se genero con anterioridad en la pestaña Proposal.
2.2.- En la ventana de "New IPsec Peer" configuraremos los parametros correspondientes, al finalizar
daremos clic en el botón (OK):
Address: hace referencia a la dirección IP publica que esta en el otro "Sitio".
Port: es el puerto que se utilizara para la comunicacion del Tunnel.
Secret: es el secreto compartido que se utilizara por los equipos para enlazarce.
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente
manera:
3.1.- Ahora nos cambiaremos a la pestaña "Proposals", y daremos clic en la opción de agregar nuevo
registro (+):
Name: Es el nombre que le daremos al Proposal para identificarlo en otras secciones, el nombre es
totalmente opcional el que le pongan.
Auth. Algorithms: El algoritmo permitudo para la autentificacion: SHA (Secure Hash Algorithm) es el mas
fuerte.
Encr. Algoruthms: Es el algoritmo permitido a utilizar en las asociaciones de seguridad.
PFS Group: es usado para Confidencialidad directa perfecta su valor por defecto es: modp1024.
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente
manera:
4.1.- Ahora nos cambiaremos a la pestaña "Policies", y daremos clic en la opción de agregar nuevo
registro (+):
4.2.- En la ventana de "New IPsec Policy" configuraremos los parametros correspondientes a la pestaña
"General", (Sin dar clic en los botones "OK" o "Apply"):
Src. Address: Es el Id de la red LAN local que esta en el Sitio "A".
Dst. Address: Es el Id de la red LAN remota a la que se quiere acceder que esta en el Sitio "B".
Después nos cambiaremos a la pestaña "Action" y se configuran los siguientes parámetros, al finalizar
daremos clic en el botón (OK):
Tunnel: Especifica si se debe de usar el modo Túnel.
SA Src. Address: Dirección IP fuente, la dirección IP publica que tiene el Router Local.
SA Dst. Address: Dirección IP destino, la dirección IP publica que tiene el Router Remoto.
Proposal: La plantilla que se genero con anterioridad en la pestaña Proposal.
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente
manera:
5.1 Nueva regla de NAT para que el trafico del Site "A" no se vea afectado por el NAT.
Src. Address: Id de la Red LAN local que esta en el sitio "A"
Dst. Address: Id de la Red LAN remota que esta en el sitio "B"
Al terminar se cerrara la ventana y entonces tendremos un registro como se muestra de la siguiente
manera:
5.2 Para que el trafico entre la red origen y la red destino no se vea afectado por el NAT hay que cambiar
de posición la regla que generamos, por lo que es necesario seleccionar la regla y moverla a la parte
superior del listado:
5.3.- tambien tenemos que generar una regla similar en el Sitio "B" con los parametros propios del Sitio: