Upload
evladi16
View
271
Download
0
Embed Size (px)
DESCRIPTION
data red
Citation preview
© Index 2005© Index 2005
Tuneles y VPNTuneles y VPNConexiones VPN usando RouterOSConexiones VPN usando RouterOS
© Index 2005© Index 2005
Beneficios de VPN’sBeneficios de VPN’s
Comunicaciones seguras entre redes privadas Comunicaciones seguras entre redes privadas corporativas sobrecorporativas sobre Redes publicasRedes publicas Lineas rentadasLineas rentadas Enlaces inalambricosEnlaces inalambricos
Recursos corporativos (correo, servidores Recursos corporativos (correo, servidores corporativos, impresoras) pueden ser accedidas corporativos, impresoras) pueden ser accedidas de manera segura por usuarios que tengan los de manera segura por usuarios que tengan los permisos necesarios, desde el exterior permisos necesarios, desde el exterior (viajando, en casa, etc.)(viajando, en casa, etc.)
© Index 2005© Index 2005
Enlaces VPNEnlaces VPN
OficinaRegional
Corporativo Bodega
Ruteador RouterOS
© Index 2005© Index 2005
Tecnologías VPNTecnologías VPN
PPTP con encriptación de 128bit MPPEPPTP con encriptación de 128bit MPPE L2TPL2TP IPsecIPsec Aplicaciones:Aplicaciones:
Túneles permanentes entre ruteadoresTúneles permanentes entre ruteadores Concentrador de acceso PPTP para muchos Concentrador de acceso PPTP para muchos
clientes (estaciones de trabajo windows) y clientes (estaciones de trabajo windows) y clientes mobiles (trabajo desde casa o clientes mobiles (trabajo desde casa o viajando)viajando)
© Index 2005© Index 2005
Túneles IPIPTúneles IPIP
Protocolo simple para crear un tunel Protocolo simple para crear un tunel encapsulando paquetes de IP en encapsulando paquetes de IP en paquetes IP y mandándolos sobre la red a paquetes IP y mandándolos sobre la red a otro ruteador.otro ruteador.
RouterOS implementa tuneles IPIP de RouterOS implementa tuneles IPIP de acuerdo a la norma RFC 2003.acuerdo a la norma RFC 2003.
Usa protocolo 4 IPUsa protocolo 4 IP
© Index 2005© Index 2005
Ejemplo de Túnel IPIPEjemplo de Túnel IPIP
Ruteador A Ruteador B
RED 1 RED 2
192.168.1.1 192.168.20.1
WAN
© Index 2005© Index 2005
Adicionando una interface IPIPAdicionando una interface IPIP
© Index 2005© Index 2005
Adicionando direcciones IPAdicionando direcciones IP
Direcciones IP son añadidas a las interfaces del Direcciones IP son añadidas a las interfaces del tuneltunel
Use direcciones de 30 bits para ahorrar espacio Use direcciones de 30 bits para ahorrar espacio de direccionamiento, por ejemplo:de direccionamiento, por ejemplo: 10.1.6.1/30 y 10.1.6.2/30 desde la red 10.1.6.0/3010.1.6.1/30 y 10.1.6.2/30 desde la red 10.1.6.0/30
Es posible usar direccionamiento de punto a Es posible usar direccionamiento de punto a punto, por ejemplo:punto, por ejemplo: 10.1.6.1/32, red 10.1.7.110.1.6.1/32, red 10.1.7.1 10.1.7.1/32, red 10.1.6.110.1.7.1/32, red 10.1.6.1
© Index 2005© Index 2005
Direcciones IP en ruteador ADirecciones IP en ruteador A
© Index 2005© Index 2005
Túneles EoIPTúneles EoIP
Protocolo propietario MikroTik.Protocolo propietario MikroTik. Encapsula frames de ethernet dentro de Encapsula frames de ethernet dentro de
paquetes de IP protocolo 47.paquetes de IP protocolo 47. Interfase EoIP soporta todas las funcionalidades Interfase EoIP soporta todas las funcionalidades
de cualquier interfase Ethernet.de cualquier interfase Ethernet. Túnel EoIP puede correr sobre cualquier Túnel EoIP puede correr sobre cualquier
conexión que soporte IPconexión que soporte IP Numero máximo de túneles de EoIP es de Numero máximo de túneles de EoIP es de
6553565535
© Index 2005© Index 2005
Adicionando una interfase de Adicionando una interfase de túnel EoIPtúnel EoIP
© Index 2005© Index 2005
EoIP y “Bridging”EoIP y “Bridging”
LLaas Interfases Interfasess EoIP puede ser “bridgeada” con EoIP puede ser “bridgeada” con cualquier otra interfase EoIP o Interfase cualquier otra interfase EoIP o Interfase Ethernet.Ethernet.
Uso principal de túneles EoIP es para Uso principal de túneles EoIP es para transparentemente hacer bridge de redes transparentemente hacer bridge de redes remotas.remotas.
Protocolo EoIP no provee encriptación de datos, Protocolo EoIP no provee encriptación de datos, por tal manera debe correr sobre un túnel por tal manera debe correr sobre un túnel encriptado, ejemplo PPTP, L2TP o PPPoE, si es encriptado, ejemplo PPTP, L2TP o PPPoE, si es requerida seguridad.requerida seguridad.
© Index 2005© Index 2005
Configuración de túnel PPPConfiguración de túnel PPP
El paquete PPP debe estar instaladoEl paquete PPP debe estar instalado Cheque con “/system package print”Cheque con “/system package print” Si no esta instalado, suba la misma versión del Si no esta instalado, suba la misma versión del
paquete ppp-2.x.x.npk y repaquete ppp-2.x.x.npk y reinicieinicie el r el ruteadoruteador
Todas las configuraciones de túneles PPP son Todas las configuraciones de túneles PPP son similares e involucran un setup:similares e involucran un setup: Concentradores de Acceso (Server PPTP o PPPoE)Concentradores de Acceso (Server PPTP o PPPoE) Cliente PPTP o PPPoECliente PPTP o PPPoE
© Index 2005© Index 2005
Concentrador de Acceso PPTPConcentrador de Acceso PPTP Concentrador de acceso PPTP es usado para Concentrador de acceso PPTP es usado para
permitir a usuarios remotos establecer permitir a usuarios remotos establecer conexiones de túneles encriptados al ruteador y conexiones de túneles encriptados al ruteador y recibir información de configuración del host:recibir información de configuración del host: Dirección IP, dirección de red, puerta de enlaceDirección IP, dirección de red, puerta de enlace Direcciones del servidor de nombres DNSDirecciones del servidor de nombres DNS
Setup incluye configurar:Setup incluye configurar: [IP DNS] (Opcional)[IP DNS] (Opcional) [pool de IP] (Opcional)[pool de IP] (Opcional) Profile PPPProfile PPP Interface del Server PPTPInterface del Server PPTP PPP (logins y passwords)PPP (logins y passwords)
© Index 2005© Index 2005
Planeando el direccionamiento Planeando el direccionamiento IPIP
Conexiones PPTP son típicamente conexiones Conexiones PPTP son típicamente conexiones punto a punto, las cuales usan direcciones de punto a punto, las cuales usan direcciones de 32 bits para la dirección IP. La dirección de red 32 bits para la dirección IP. La dirección de red es la dirección en el peer remoto.es la dirección en el peer remoto.
Si se desea , el cliente puede ser asignado con Si se desea , el cliente puede ser asignado con una IP real (ruteable)una IP real (ruteable)
Ejemplo:Ejemplo: Interfase del Server=pptp-in1, address=10.1.0.1/32, Interfase del Server=pptp-in1, address=10.1.0.1/32,
network=10.2.0.1network=10.2.0.1 Interfase del Cliente=pptp-out1, address=10.2.0.1/32, Interfase del Cliente=pptp-out1, address=10.2.0.1/32,
network=10.1.0.1network=10.1.0.1
© Index 2005© Index 2005
Configuración del Pool de IPConfiguración del Pool de IP
Pool de IP Pool es usado para especificar un Pool de IP Pool es usado para especificar un rango de direcciones IP las cuales seran rango de direcciones IP las cuales seran entregadas a los clientes de PPTP, PPPoE, entregadas a los clientes de PPTP, PPPoE, DHCP, etc.DHCP, etc.
Ejemplo:Ejemplo: /ip pool add name ppp-hosts address=10.2.0.1-/ip pool add name ppp-hosts address=10.2.0.1-
10.2.0.10010.2.0.100
Tienes la facilidad de asignar direcciones IP Tienes la facilidad de asignar direcciones IP especificas a ciertos clientes si tu lo especificas especificas a ciertos clientes si tu lo especificas bajo /ppp secret, o en un RADIUS server.bajo /ppp secret, o en un RADIUS server.
© Index 2005© Index 2005
Configuración de profiles PPPConfiguración de profiles PPP
Cambia el profile de default ppp:Cambia el profile de default ppp: /ppp profile set default /ppp profile set default use-encryption=yes use-encryption=yes
require-encryption=yesrequire-encryption=yes Alternativamente, se puede hacer un Alternativamente, se puede hacer un
profile especial para conexiones entrantes profile especial para conexiones entrantes de PPTP:de PPTP: /ppp profile add name=pptp use-/ppp profile add name=pptp use-
encryption=yes require-encryption=yes, local-encryption=yes require-encryption=yes, local-address=10.1.0.1 remote-address=pptp-hostsaddress=10.1.0.1 remote-address=pptp-hosts
© Index 2005© Index 2005
Configuración de logins y Configuración de logins y passwords PPPpasswords PPP
Adicione un registro ppp secret para usuarios Adicione un registro ppp secret para usuarios que requieren entrar vía pptp:que requieren entrar vía pptp: /ppp secret add name=jose password=jose3/ppp secret add name=jose password=jose3 /ppp secret add name=juan password=hola remote-/ppp secret add name=juan password=hola remote-
address=10.2.0.201address=10.2.0.201
Cuando ‘jose’ ingresa via pptp una dirección le Cuando ‘jose’ ingresa via pptp una dirección le será asignada ,desde el pool creadoserá asignada ,desde el pool creado
Cuando ‘juan’ ingresa via pptp , le será Cuando ‘juan’ ingresa via pptp , le será asignada la dirección 10.2.0.201asignada la dirección 10.2.0.201
© Index 2005© Index 2005
Configuración de PPTPConfiguración de PPTP
Habilite el server pptp:Habilite el server pptp:/interface pptp-server server set enabled=yes/interface pptp-server server set enabled=yes
/interface pptp-server server print/interface pptp-server server print Especifique un profile diferente , si es que Especifique un profile diferente , si es que
lo ha creadolo ha creado Active las conexiones pptp:Active las conexiones pptp:
/interface pptp-server print/interface pptp-server print
© Index 2005© Index 2005
Configuración del cliente pptpConfiguración del cliente pptp
Cambie el profile de default de ppp:Cambie el profile de default de ppp: /ppp profile set default /ppp profile set default use-encryption=yes use-encryption=yes
require-encryption=yesrequire-encryption=yes Adicione un cliente PPTP:Adicione un cliente PPTP:
/interface pptp-client add connect-/interface pptp-client add connect-to=192.168.1.1 user=jose password=jose3to=192.168.1.1 user=jose password=jose3
© Index 2005© Index 2005
Reparando PPTPReparando PPTP
Checa ruteo y firewall, porque el puerto 1723 de Checa ruteo y firewall, porque el puerto 1723 de TCP es usado para hacer las conexiones entre TCP es usado para hacer las conexiones entre cliente y servidorcliente y servidor
Asegúrate que el protocolo 47 (GRE) pasa a Asegúrate que el protocolo 47 (GRE) pasa a través del firewalltravés del firewall
Asegúrate que las direcciones IP están Asegúrate que las direcciones IP están especificadas para el lado server y cliente en los especificadas para el lado server y cliente en los profiles de PPP o en ppp secretsprofiles de PPP o en ppp secrets
Checa los logs;Checa los logs; /log print without-paging/log print without-paging
© Index 2005© Index 2005
Configuración de Server PPPoEConfiguración de Server PPPoE
Adiciona el servAdiciona el servidor idor pppoe:pppoe: /interface pppoe-server server add service-/interface pppoe-server server add service-
name=office_w interface=eth-local name=office_w interface=eth-local authentication=mschap2 one-session-per-authentication=mschap2 one-session-per-host=yeshost=yes
Activa las conexiones pppoe:Activa las conexiones pppoe:/interface pppoe-server print/interface pppoe-server print
© Index 2005© Index 2005
Configuración de cliente PPPoEConfiguración de cliente PPPoE
Adiciona una interfase cliente PPPoE:Adiciona una interfase cliente PPPoE: interface pppoe-client> add interface=ether1 interface pppoe-client> add interface=ether1
user=joe password=joe3 service-user=joe password=joe3 service-name=office_w allow=mschap2name=office_w allow=mschap2
Si conecta, la interfase pppoe esta en Si conecta, la interfase pppoe esta en Estado Activo (Running) y el comando Estado Activo (Running) y el comando monitor nos muestra el status de la monitor nos muestra el status de la interfase:interfase: interface pppoe-client> monitor pppoe-out1interface pppoe-client> monitor pppoe-out1
© Index 2005© Index 2005
Reparando PPPoEReparando PPPoE
Este seguro que el nombre del servicio Este seguro que el nombre del servicio esta especificado correctamente y esta especificado correctamente y concuerda con el del servconcuerda con el del servidoridor
Cheque los logs;Cheque los logs; /log print without-paging/log print without-paging