Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • VPN Mikrotik SSTP

    Cargado por

    Juan Cruz
    13 vistas12 páginas

    Título original

    VPN MIKROTIK SSTP

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    13 vistas12 páginas

    VPN Mikrotik SSTP

    Cargado por

    Juan Cruz

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 12

    USO DE RED PRIVADA VIRTUAL SSTP CON CRIPTOGRAFÍA DE CLAVE PÚBLICA

    Preliminar: Creación de perfil y de contraseña PPP.


    1. Perfil para los clientes SSTP
    Requiere limitar el tamaño de los segmentos TCP (Maximum Segmen Size), ya que deben caber dentro
    de paquetes IP encriptados.

    Requiere limitar el tamaño de los segmentos MPLS (Multi Protocol Label Swithching). Sirve para
    identificar y canalizar el tráfico entre distintos nodos a nivel de enlace.
    La encriptación es obligatoria.
    Usuario PPP:
    Debe elegirse cualquier servicio: “any” y el perfil compatible con dicho servicio:

    1: Creación de infraestructura de certificados. (Con OpenSSL desde LINUX)


    a. Generación de certificado de autoridad. Los parámetros sirven para identificar la
    misma:

    openssl genrsa -des3 -out ca.key 4096

    openssl req -new -x509 -extensions v3_ca -days 3650 -key ca.key -out
    ca.crt

    Los parámetros utilizados más comunes:

    Common Name (CN, Organization, State or province .. etc).


    Created CA certificate/key pair will be valid for 10 years (3650 days).

    b. Generación de certificado de servidor:


    El “common name“ del certificado del servidor debe ser la dirección ip o el nombre DNS de la ip
    pública del router.
    Generación de certificado de servidor. (por ejemplo en el “common name”=192.168.1.137):

    openssl genrsa -des3 -out server.key 4096

    openssl req -new -key server.key -out server.csr

    Firma de certificado de servidor por la autoridad:

    openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -
    set_serial 01 -out server.crt
    c. Generación de certificado de cliente :
    (los certificado de cliente solo se utilizan si el cliente es un router):
    openssl genrsa -des3 -out client.key 4096
    openssl req -new -key client.key -out client.csr

    openssl x509 -req -days 36500 -in client.csr -CA ca.crt -CAkey ca.key
    -set_serial 01 -out client.crt

    Comprobación del certificado:


    openssl x509 -noout -text -in server.crt -purpose

    d. Verificación de certificados de cliente y servidor, si no da OK no están generados


    correctamente:

    openssl verify -CAfile ca.crt server.crt


    server.crt: OK
    openssl verify -CAfile ca.crt client.crt
    client.crt: OK

    Debe coincidir el “common name” del certificado de servidor con la IP public del Router.
    2. Importar certificados en el MIKROTIK
    Se deben importar desde la aplicación

    Se pueden importar los archivos subidos desde WINBOX a través del menu System  Certificates
    En rojo está el nombre del archivo y la clave, en verde el nombre del archivo que se había subido.
    Se importa la clave. Si la clave tiene “passphrase” hay que introducirlo. La de la autoridad es opcional

    Una vez importada la clave se debe observer que se ha importado certificado y clave: KT
    Opción con la línea de comandos:

    Desde una terminal, con el comando /certificate se pueden incorporar al router. Los nombres deben
    coincidir con los de los archivos importados.

    Importación completa:

    /certificate:
    [admin@test_host] /certificate> import file-name=ca.crt
    passphrase:
    certificates-imported: 1
    private-keys-imported: 0
    files-imported: 1
    decryption-failures: 0
    keys-with-no-certificate: 0
    [admin@test_host] /certificate> import file-name=ca.key
    passphrase:
    certificates-imported: 0
    private-keys-imported: 1
    files-imported: 1
    decryption-failures: 0
    keys-with-no-certificate: 0
    [admin@test_host] /certificate> import file-name=server.crt
    passphrase:
    certificates-imported: 1
    private-keys-imported: 0
    files-imported: 1
    decryption-failures: 0
    keys-with-no-certificate: 0
    [admin@test_host] /certificate> import file-name=server.key
    passphrase:
    certificates-imported: 0
    private-keys-imported: 1
    files-imported: 1
    decryption-failures: 0
    keys-with-no-certificate: 0

    Resultado :
     K: Significa que la clave se ha incorporado.
     T: El certificado es de confianza.

    Desde el menu “System”, se pueden ver los certificados:


    3. Configuración del servidor PPP:
     En el cortafuegos debe estar permitida la entrada por el Puerto 443 (o cualquier
    Puerto elegido)
     Debe tener un perfil PPP con usuarios asignados
     Se elige el certificado de servidor que hemos importado.

    En el menu “PPP”:

    Menú del cortafuegos: Poner ACCEPT en “ACTION”


    4. Configuración de un cliente Windows

    a. Importar certificado de autoridad (No puede funcionar sin él porque el certificado de servidor
    no se podría comprobar)
    El certificado de autoridad se debe importar en el cliente. Por lo que hay que realizar la importación del
    certificado de autoridad.
    Importación en Windows desde la consola “MMC”: Cuenta de Equipo

    b. Cuadro de conexión VPN en Windows: Usuario y contraseña son los del “secreto PPP”
    asignados al perfil. (Si se cambia el Puerto y no es el 443, es IP:puerto)
    Configuración de un router cliente MIKROTIK

    1. Subir certificados y clave de cliente hacia el MIKROTIK


    En este caso deben ser los generados en el apartado de los certificados de clave publica y
    el certificado de autoridad (aunque éste es opcional)
    Ejemplo: client.key,client.crt y ca.crt

    2. Importar certificados
    Se debe importar el certificado y la clave de cliente por el procedimiento anterior.
    Se debe importar el certificado de autoridad (sin clave)
    La importación debe quedar de la siguiente forma:

    Desde una terminal de MIKROTIK:

    [admin@MikroTik]> /certificate
    [admin@MikroTik] /certificate> import file-name=client.crt
    passphrase: **********
    certificates-imported: 1
    private-keys-imported: 0
    files-imported: 1
    decryption-failures: 0
    keys-with-no-certificate: 0

    [admin@MikroTik] /certificate> import file-name=client.key


    passphrase: **********
    certificates-imported: 0
    private-keys-imported: 1
    files-imported: 1
    decryption-failures: 0
    keys-with-no-certificate: 0
    2. Cliente SSTP: En el menú PPP +  SSTP Client, con la opciones:
     IP o nombre del servidor: Debe ser la dirección que está en el common name del certificado
    de servidor.
     Puerto
     Certificado importado. Debe crearlo la misma autoridad que el del servidor.
     Usuario y Password (creados en el servidor)
     Perfil “Default Encription”
     Si se ha importado el certificado de autoridad, se puede marcar la casilla “verify server
    certificate”
     No añadir ruta por defecto

    Caso en el que se ha importado el certificado de autoridad (en el ejemplo “ca.crt”):

    Si las opciones son correctas, debe poner “connected” en el ”status”


    3. Ruta para la otra red:

    Menú: IP  Route
    Hay que añadir la ruta con los siguientes parámetros:
     Dirección de red y mascara: No puede ser igual que la red local
     Interfaz: la que se creó anteriormente

    4. Enmascaramiento de la otra red:


    Menú: IP  Firewall  NAT +

    La nueva regla debe tener:


     La interfaz de salida la que hemos dado de alta
     Debe pertenecer a la cadena “scrnat”
    Acción de enmascaramiento:

    Pruebas, desde el cliente: se debe ver la red del servidor:

    También podría gustarte