TALER VPN+LABs v6 P

1
TALLER VPN
www.mikrotikxperts.cl
Alejandro Teixeira G.
Francisco Mendez
ateixeira@mkx.cl
fmendez@mkx.cl
MikroTik Certified Trainer
Alejandro Teixeira / Francisco Mendez

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve
Instructor
2
Telecommunications Engineer
Venezuela
CCNA/CCAI/CCNA Security
Shareholder of Widuitcorp
Shareholder of Mikrotik Xperts Colombia
Specialist
Networking
Wireless
Security
Routing

Instructor
3
Telecommunications Engineer
Venezuela
Master in Business Engineering (MBE)
Chile
Shareholder of Austro Internet S.A.
Shareholder of Mikrotik Xperts
Specialist
Networking
Wireless
Security
Virtualization

Tpicos (1/3)
4
Formas mas comunes de tneles

Site to site
Client to site
Tipos de VPN (PPP)

PPTP
L2TP
SSTP
OVPN
PPPoE
PPP

Tpicos (2/3)
5
Tipos de tneles
GRE
EoIP
IPIP
BCP (Bridge Control Protocol)

Usos mas comunes
Creacin y gestin de certificados SSL

Tpicos (3/3)
6
Ejemplos
Interconexin de oficinas + OSPF
Bonding sobre tneles/vpn
EoIP para asignacin de direcciones pblicas

sobre red privada (WISP)
Prcticas

Laboratorios
7
PPTP Server
Windows / Linux / Apple PPTP Client
Usar proxy-arp (mismo segmento de red)
Usar segmento de red distinto
Creacin de certificados
CA
Server / Client
OpenVPN Server
Usarcertificado server
Levantar cliente Windows / Linux / Apple
Laboratorios
8
Conectar sucursales (capa 3)

L2TP(ideal para VoIP)
SSTP (mecanismo seguro)
Usar certificado server
Conectar sucursales (capa 2)
EoIP
BCP con PPTP

9 Tipos de VPN

VPN
10

Tipos de VPN
VPN
Siteto Site
Client to Site
Tipos de VPN
PPP
Tneles

Tipos de VPN
12
PPP
PPPTP
PPPoE
L2TP
SSTP
OpenVPN
PPP (modem)
Tneles
EoIP
GRE
IPIP

Conceptos
13
MTU
Maximum Transmission Unit
MRU
Maximum Receive Unit
MSS
Maximum segment size

Conceptos
14
OVERHEAD

PPTP
15
PPTP: Point-to-Point Tunneling Protocol

Publicado en 1999
Desarrollado por Microsoft
RFC 2637
Puerto / Protocolo: 1723 / TCP
Protocolo GRE modificado
Encapsula paquetes PPP
Autenticacin
PAP, CHAP, MS-CHAP v1/v2
Protocolo inseguro

PPTP
16
SOLO ENCAPSULADO

PPTP
17
SOLO ENCAPSULADO

PPTP
18
SERVIDOR CLIENTE

PPTP: ventajas y desventajas

19
Ventajas
Cliente embebido en casi todos las plataformas
Fcil de configurar
Rpido
Desventajas
No es seguro ( la vulnerabilidad de autenticacin
MS CHAPv2 es todava la ms comun en uso)
Definifivamente comprometido por la NSA

L2TP
20
L2TP: Layer 2 Tunneling Protocol

Publicado en 1999
RFC 2661
Basado en dos protocolos
Cisco'sLayer 2 Forwarding Protocol (L2F)
Microsoft's Point-to-Point Tunneling Protocol (PPTP)
Puerto / Protocolo: 1701/ UDP
Autenticacin
PAP, CHAP, MS-CHAP v1/v2
Protocolo inseguro

L2TP
21
SERVIDOR CLIENTE

L2TP: ventajas y desventajas

22
Ventajas
Fcilde configurar
Disponible en todas las plataformas modernas
Desventajas
Probablemente comprometido por la NSA
Delicado con firewalls restrictivos
Ms lento que OPVPN

23 LAB
PPTP Server

LAB: PPTP Server- Cliente
24
Windows
1 3
2 4

LAB: PPTP Server

25

LAB: PPTP Server

26
Si el pool es del mismo segmento entonces

hay que configurar proxy-arp en la interfaz a
la que pertenece el segmento de red asignado

LAB: PPTP Server

27

LAB: PPTP Server

28

LAB: PPTP Server

29

SSTP
30
SSTP: Secure Socket Tunneling Protocol

Publicado en Windows Vista SP1
Desarrollado por Microsoft
Disponible en Linux y RouterOS pero sin soporte en
otros sistemas
Autenticacin: SSL v3
Validacin de certificados cliente y servidor
Puerto / Protocolo: 443 / TCP (Es posible cambiar
puerto)
Permite "saltar firewalls" (trfico https)
Protocolo seguro

SSTP
31

SSTP
32
CLIENTE
SERVIDOR

SSTP: ventajas y desventajas

33
Ventajas
Muy seguro (depende del cifrado, pero usualmente
muy fuerte con AES)
Completamente integrado en Windows (Vista SP1,
W7, W8)
Soporte completo de Microsoft
Puede baypasear la mayora de los firewalls.
Desventajas
Soporte limitado a Windows,Algunos Linux y
RouterOS
Estandard propietario de Microsoft por lo que no
puede ser auditado de forma independiente.

OpenVPN
34
OpenVPN
Cdigo abierto
Puerto / Protocolo: 443 / TCP-UDP (configurable)
MikroTik no tiene soporte an para OPVPN UDP
Permite "saltar firewalls" (trfico https)
Auntenticacin
OpenSSL
Validacin de certificados cliente y servidor
Encriptacin
OpenSSL
AES, Blowfish, 3DES, CAST-128, Camellia y otros

OpenVPN
35

OpenVPN
36
CLIENTE
SERVIDOR

OpenVPN: ventajas y desventajas

37
Ventajas
Muy customizable
Muy seguro (probablemente en contra de la NSA)
Puede baypasear firewalls
Puede usar un rango amplio de algoritmos de
encriptaciones.
Cdigo libre (por lo tanto puede ser revisado fcilmente
para puertas traseras y otras manipulaciones estilo NSA)
Desventajas
Necesita de software de terceros.
Incmodo para configurar.
Tiene soporte para dispositivos mviles pero no es tan
bueno como el cliente de escritorio.

38 Creacin y gestin de certificados SSL

Secure Sockets Layer

39

Secure Sockets Layer

40

Certificate authority
41
Es una entidad que firma y otorga

certificados digitales
Certifica que el subject name indicado
pertenece a una entidad dada
Ejemplo: *.mkx.cl (wildcard)
Solo el propietario de la llave privada es quien
puede enciptar y desencriptar la comunicacin
Llave privada (Dueo del certificado) y llave
pblica (La conoce cliente y servidor)
Encriptan la comunicacin
Canal seguro
42
VeriSign
GeoTrust
Comodo
Digicert
Thawte
GoDaddy

43

OpenVPN / SSTP
44
Ambos tneles PPP emplean certificados

Servidor: requerido
Cliente opcional

Certificado cargado al MikroTik

45

Requisitos MikroTik
46
Servidor
Instalar certificado raiz (CA)
Instalar certificado server (se recomienda wildcard) +
llave privada
NTP cliente activo y sincronizado
Hora y fecha sincronizadas
Cliente
Instalar certificado raz (CA)
Instalar certificado cliente (solo si aplica) + llave
privada
NTP cliente activo y sincronizado
Hora y fecha sincronizadas

OpenSSL
47
Librera con funciones de criptografa

Crear certificados
Revocar certificados
Usar distintos tipos de encriptacin
Cdigo abierto
Los certificados creados NO son vlidos
por los CA de confianza
VeriSign

CACert
48
CAcert.org is a community-driven Certificate

Authority that issues certificates to the
public at large for free.

Aplicacin GenKey MikroTik Xperts

49
Cliente
Servidor
OPENSSL

50 LAB
OpenVPN Server

LAB: Creacin de certificados

51
Generar CA (raz)
Generar Server Key
Wildcard: *.xxxx.cl
Generar Cliente Key
Sub-dominio
Ejemplo:
Server key: *.mkx.cl
Client key: ateixeira.mkx.cl

LAB: OpenVPN Server

52
Cargar certificados
CA
Server + key
Crear PPP profile
Crear PPP secret
Levantar servicio OpenVPN
Usar Server + key

LAB: OpenVPN Server

53

LAB: OpenVPN Server

54

LAB: OpenVPN Server

55

56 Otros tipos de VPN

PPPoE
57
Point to Point Protocol over Ethernet

Protocolo AAA
Authentication, Authorization and Accounting
Solo funciona sobre redes bridge (capa 2)
Usado para control de usuarios
Asignacin de parmetros de red previa autenticacin
IP, Mscara de subred, gateway, DNS, etc
Comnmente utilizado por los WISP
Autorizacin en los CPE
Elevado overhead sobre red wireless
Asignacin de IP pblicas /32 sin desperdicio de
direcciones

PPPoE
58
CLIENTE
SERVIDOR

PPP
59
Protocolo de encapsulamiento
Transportar paquetes IP
Sobre enlaces punto a punto
Trabaja en capa de enlace (capa 2)

Empleado para controlar modem
3G y 4G
Provee
Autenticacin
Encriptacin
Compresin

60 Tipos de tneles

EoIP
61
Ethernet Over IP
Protocolo propietario de MikroTik
Crea tneles Ethernet (capa 2) sobre un link capa
3
Usa el protocolo GRE
EoIP aade por lo menos 42 Bytes de overhead ( 8
Bytes GRE+ 14 Bytes Ethernet + 20 Bytes IP)
No provee autenticacin sin embargo se puede
usar en combinacin con tneles dinmicos
IPSEC

EoIP
62

EoIP
63

IPIP
64
Encapsula paquetes IP sobre IP

Entre dos router
Usado para transportar paquetes de la red
privada sobre la red publica (internet)
No provee autenticacin sin embargo se puede
usar en combinacin con tneles dinmicos IPSEC
Inseguro
Simple de usar

IPIP
65

IPIP
66
SITE 1 SITE 2

GRE
67
Desarrollado por Cisco

Puede encapsular mltiples tipos de
protocolos
El tunel GRE aade a 24 bytes de overhead
(4-bytes cabecera gre + 20 bytes cabecera IP)
No provee autenticacin
No provee compresin

GRE
68

GRE
69

70 BCP (Bridge Control Protocol)

BCP
71
MikroTik soporta BCP en

PPP
PPTP
L2TP
PPPoE
Permite hacer un "bridge" entre dos puntos PPP
Transportar paquetes en capa 2 (ethernet)
Misma red de broadcast
Funciona entre dos o mas MikroTik
Equivalente a
EoIP
Wireless WDS

Servidor BCP
72

Cliente BCP
73

74 Usos ms comunes

Usos mas comunes

75
Conectar un cliente final a un server VPN

PPTP: Windows, Linux, Apple, Android
OpenVPN: Windows, Linux, Apple, Android
SSTP: Windows
Conectar oficinas
L2TP: por ser UDP conviene para el uso de VoIP
SSTP o OpenVPN: por ofrecer mayor seguridad
Hacer bridge entre oficinas
EoIP
BCP con PPTP o L2TP
Recomendable hacer filtros en los bridge para eliminar
Broadcast no deseado

76 Ejemplos


77
Aadir las redes

especficas que
participaran en OSPF (LAN
e interfaces VPN)
A penas se coloca la
primera red es suficiente
para que la instancia OSPF
se encuentre en modo
running.


78
Aadir las interfaces que participarn en forma manual

Las interfaces VPN configurarlas como tipo punto a punto
Es altamente recomendable colocar la interfaz LAN en modo
pasivo por seguridad y desempeo.


79


80
Solucin Malla completa


81
Solucin Malla Parcial

82 LAB
Interconexin de sucursales (capa 3)
L2TP
SSTP + certificados

LAB: interconexin (capa 3)

83
Server


84
Cliente


85
2
1


86


87


88
Usando SSTP
Agregar certificados

89 LAB
Interconexin de sucursales (capa 2)
BCP
EoIP


90


91

92 Otros ejemplos

93
Balancear
Sumar ancho de banda
3 enlaces de 10 Mbps NACIONAL = 30 Mbps
1 enlace de 100 Mbps INTERNACIONAL
MikroTik ISP MikroTik

Punta Arenas Punta Arenas
10 Mbps
100 Mbps
LAN

94

EoIP para asignacin de direcciones
pblicas sobre redes privadas
95

EoIP para asignacin de direcciones
pblicas sobre redes privadas
96

TALER VPN+LABs v6 P

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

TALER VPN+LABs v6 P

Загружено:

Авторское право:

Доступные форматы

1

Alejandro Teixeira / Francisco Mendez

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

Formas mas comunes de tneles

Tipos de VPN (PPP)

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

BCP (Bridge Control Protocol)

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

EoIP para asignacin de direcciones pblicas

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

Usar segmento de red distinto

Conectar sucursales (capa 3)

BCP con PPTP

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

PPTP: Point-to-Point Tunneling Protocol

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

PPTP: ventajas y desventajas

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

L2TP: Layer 2 Tunneling Protocol

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

L2TP: ventajas y desventajas

Ms lento que OPVPN

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

LAB: PPTP Server

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

LAB: PPTP Server

Si el pool es del mismo segmento entonces

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

LAB: PPTP Server

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

LAB: PPTP Server

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

LAB: PPTP Server

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

SSTP: Secure Socket Tunneling Protocol

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

SSTP: ventajas y desventajas

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

OpenVPN: ventajas y desventajas

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

38 Creacin y gestin de certificados SSL

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

Secure Sockets Layer

MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve

Secure Sockets Layer