MikroTik RouterOS - VPN

Redes virtuales Privadas

EoIP
PPTP,L2TP
PPPoE
 Beneficios
Habilitar comunicaciones entre redes privadas
corporativas a traves de
Redes Publicas
Redes rentadas
Enlaces Inalambricos
Los recursos corporativos (e-mail, servers,
impresoras) pueden ser accedidos de manera
segura por usuarios que tengan los suficientes
derechos desde fuera (casa, viajando, etc)

2
 EoIP

Ethernet sobre IP
 Tunel EOIP (Ethernet Over IP)
Protocolo propietario.
Muy sencillo para configurar
No tiene autentificacion ni capacidades de
encriptacion
Encapsula paquetes de Ethernet dentro de
paquetes de IP protocolo 47/gre, asi, EOIP es
capaz de transportar direcciones MAC
EOIP es solamente un tunel con capacidades
de bridge

4
Creando el tunel EoIP

5
 Creando el tunel EoIP
Verifica que puedes hacer ping al equipo
remoto donde el tunel va a terminar, antes de
crearlo.
Asegurate que la direccion MAC de ambos
tuneles es diferente, deberia utilizarse este
rango(no indispensable usarlo)
EF:xx:xx:xx:xx:xx
El ID del tunel en ambos lados DEBE ser el
mismo – esto ayuda a separar un tunel de otro

6
 Direcciones IP /32
Direcciones IP son añadidas a las interfaces del
tunel
Use una red /30 para ahorrar espacio en el
direccionamiento, por ejemplo:
10.1.6.1/30 y 10.1.6.2/30 de la red 10.1.6.0/30
Es posible usar direccionamiento punto-a-
punto, por ejemplo:
10.1.6.1/32, red 10.1.7.1
10.1.7.1/32, red 10.1.6.1

7
 EoIP y Ruteo /30
EOIP2: 2.2.2.2/30 EOIP3: 3.3.3.2/30

Cualquier red
IP
(LAN, WAN, Internet) EOIP1: 1.1.1.1/30
EOIP2: 2.2.2.1/30
EOIP3: 3.3.3.1/30
EOIP1: 1.1.1.2/30

8
 EoIP y Ruteo /32
EOIP2: 2.2.2.2/32
Network: 1.1.1.1 EOIP3: 3.3.3.2/32
Network: 1.1.1.1

Cualquier red EOIP1: 1.1.1.1/32

Network: 1.1.1.2
IP EOIP2: 1.1.1.1/32
(LAN, WAN, Internet) Network: 2.2.2.2
EOIP1: 1.1.1.2/32 EOIP3: 1.1.1.1/32
Network: 1.1.1.1 Network: 3.3.3.2

9
 EoIP y Bridge
EoIP Puede ser añadida dentro de un bridge,
como cualquier interface tipo-ethernet.
El uso principal de estos tuneles es para que de
manera transparente se haga bridging de redes
remotas.
No nos provee encriptacion, por lo mismo, es
muy recomendable configurar estos tuneles
para que se comuniquen sobre una red segura.
(pptp, l2tp,ovpn,pppoe)

10
 EOIP y Bridging

Cualquier red IP
(LAN, WAN, Internet)

Bridge Bridge

Red Local Red Local

192.168.0.1/24 - 192.168.0.100/24 192.168.0.101/24 - 192.168.0.255/24

11
 Laboratorio de EoIP
Restaure su configuracion base
Crea un tunel EoIP con alguno de tus vecinos
Rutea las redes privadas usando /32
Verifica la configuracion!
Cambia tu direccionamiento en la laptop a
mascara /22, asi estaras en la misma red que tu
vecino y las ips locales de las laptops seran las
mismas
Mete las redes a un bridge y verifica que estan
dentro del mismo dominio de broadcast
12
Base de Datos de Usuarios Locales

PPP Profile, PPP Secret

 Tuneles Punto-Punto
Un poco mas sofisticados en su configuracion
Capaces de autenticacion y encriptar datos
Tales tuneles son:
PPPoE (Punto a punto sobre Ethernet)
PPTP (Protocolo de tunel punto a punto)
L2TP (Protocolo de tune de capa 2)
Debes de crear informacion de los usuarios
antes de crear cualquier tunel de este tipo

14
 PPP Secret
PPP secret guarda la informacion de acceso de
los usuarios
Toma en cuenta que los passwords son
desplegados en texto plano, asi que cualquiera
que tenga acceso al ruteador, puede verlos
Es posible asignar direcciones de tipo /32 para
ambos lados del tunel para cualquier usuario.
Lo que este configurado en /ppp secret
sobreescribe lo que este en /ppp profile

15
PPP Secret

16
 Profile PPP y Pools de IP
Profiles de PPP define los valores de default
para los usuarios que accesaran (los que se
dieron de alta en /ppp secret)
Profiles de PPP son usados por mas de un
usuario, por lo tanto debe estar especificado un
pool de IP en la opcion “Remote address” si es
que no la indicamos fija en la configuracion
especifica del usuario
Valor “default” significa – si la opcion viene de
un server RADIUS esta no sera sobreescrita

17
Profile PPP

18
 Cambiar TCP MSS
Paquetes de 1500 bytes pueden tener
problemas pasando por los tuneles porque:
EL MTU estandard es de 1500 bytes
Tunel PPTP y L2TP es de 1460 bytes
Tunel PPPOE tiene un MTU de 1488 bytes
Habilitando la opcion “change TCP MSS option,
una regla de mangle dinamica sera creada por
cada usuario conectado para asegurar el
tamaño correcto de los paquetes TCP, asi
seran capaces de pasar a traves del tunel
19
 PPTP y L2TP

Protocolo de tunel punto-punto y protocolo de

tunel de capa 2
 Tuneles de PPTP
PPTP usa puerto TCP 1723 y protocolo IP
47/GRE
Se puede configurar como cliente o servidor
PPTP esta incluido en la mayoria de los
sistemas operativos
Debes usar PPTP y GRE “NAT helpers” para
conectarte a cualquier servidor de PPTP desde
tu red esmascarada

21
 Tuneles L2TP
PPTP y L2TP tienen en si la misma
funcionalidad
Trafico de L2TP usa puerto UDP 1701
solamente para el establecimiento del enlace y
el trafico usa cualquier puerto UDP disponible
L2TP no tiene problemas con clientes dentras
de NAT, por lo mismo, no es necesario el uso
de “NAT helpers”
La configuracion de ambos tuneles es identica
bajo RouterOS
22
Creando los clientes PPTP/L2TP

23
 Laboratorio de PPTP
Restaure a su configuracion base
Crea un cliente PPTP
Server Address:10.1.2.1
User: admin
Password: admin
Add default route = yes
Haga los ajustes necesarios para salir a Internet

24
Creando el server de PPTP/L2TP

25
 Laboratorio de Servidor PPTP
Crea un server PPTP
Crea un usuario en PPP Secret
Configura tu laptop para entrar al server PPTP
Haz los ajustes necesarios para salir a Internet
via el tunel
Crea un perfil en PPP para que se use
encriptacion
Configura el cliente PPTP de la laptop de
manera acorde a este cambio

26
Opcional: Lab Avanzado de VPN
Restaura a la configuracion base
Crea un tunel seguro con tu vecino
Crea un tunel EoIP con tu vecino, sobre el tunel
L2TP
Verifica que ambas redes esten dentro del
mismo segmento de broadcast!

27
 Control de Acceso de Usuarios
Controlando el hardware
Direccion IP estatica y entradas de ARP
DHCP para asignacion de direcciones IP y manejo
de las entradas de ARP
Controlando los usuarios
PPPoE requiere configuracion de cliente PPPoE
HotSpot redirecciona la peticion del cliente a la
pagina de entrada
PPTP requiere configuracion de cliente PPTP

28
 PPPoE

Point-to-Point Protocol over Ethernet

 Tuneles PPPoE
PPPoE trabaja en capa 2 del modelo OSI (capa
de enlace de datos)
PPPoE es usado para entregar IP's a los
usuarios basado en que el usuario se
autentifique
PPPoE requiere un concentrador de acceso
dedicado (servidor) , al cual los clientes de
PPPoE se conectaran.
Muchos sistemas operativos ya tienen incluido
el cliente de PPPoE. Windows XP lo tiene por
default, Vista tambien 30
Cliente PPPoE

31
 Laboratorio de cliente PPPoE
Restaure a su configuracion base
Crea PPPoE cliente
Interface: wlan1
Service:pppoe
User: admin
Password: admin
Add default route = yes
Haz los ajustes necesarios para tener salida a
Internet

32
Creando el servicio PPPoE

33
 Laboratorio de PPPoE
Crea un server PPPoE
Crea un usuario en PPP secret
Configura tu laptop para conectarse a tu server
PPPoE
Haz los ajustes necesarios para tener salida a
Internet via el tunel
Crea un profile para ingresar usando
encriptacion
Configura el cliente de PPPoE de la laptop
acorde con lo que modificamos
34