IPsec entre Mikrotik


Realizaré una conexión VPN IPsec entre Mikrotik virtualizando en VirtualBox la topología de la imagen que muestro a continuación.

 

Lo primero será instalar Mikrotik. Si no sabes como hacerlo, puedes revisar el siguiente link: IR AQUÍ.

También necesitaremos instalar un SO Windows. En mi caso un Windows 7.

Teniendo lo básico que es la instalación de Mikrotik y del Windows 7, procedemos a clonarlos para tener los 3 Mikrotik de la topología y los 2 Windows.

Si no sabes como clonar una máquina virtual en VirtualBox, te recomiendo que leas ESTE ENLACE.

Al terminar de clonar, deberíamos tener las siguientes máquinas virtuales:

Configurando tarjetas de red

Ahora comenzaremos a configurar las tarjetas de red. Primero seleccionamos la máquina ISP. Clic derecho Configuración.

Vamos al menú red y configuramos el primer adaptador  como adaptador puente. Esta interfaz será la que se conecte a internet.

Habilitamos el adaptador 2 y lo configuramos como red interna con el nombre valpo. Esto es importante, ya que este nombre debe ser igual al adaptador 1 del router VALPO.

Ahora el tercer adaptador como red interna y con el nombre stgo.

Aceptamos los cambios y continuamos con los routers VALPO, STGO y los 2 PC.

VALPO

STGO

PC VALPO y PC STGO

Básicamente lo que hacemos con esto es conectar todo por red interna, pero sólo a la red que comparta el mismo nombre.

Ahora podemos comenzar a configurar la red.

Configurando redes

ISP hacia VALPO tendrá la red 200.2.2.0/29 y hacia STGO tendrá la red 188.2.3.0/29.

VALPO tendrá la red lan 192.168.1.0/24 y STGO tendrá la red lan 192.168.2.0/24.

Router ISP

Primero configuraremos ISP. Iniciamos la máquina y entramos a la CLI de Mikrotik.

Login admin y pass en blanco.

Si el router tiene configuración anterior, deben eliminarla con el comando system reset-configurarion no-defaults=yes y confirmar con y. Se reiniciará el router.

Continuamos cambiando el nombre de las interfaces para un mejor control (no es necesario).

interface set ether1 name=WAN disabled=no
interface set ether2 name=VALPO disabled=no
interface set ether3 name=STGO disabled=no

Ahora configuraremos la interfaz WAN (la que va a internet) con dhcp.

ip dhcp-client add interface=WAN disabled=no

Ahora debemos configurar las interfaces que van a VALPO y a STGO según las redes de la topología.

ip address add interface=VALPO address=200.2.2.1/29 disabled=no
ip address add interface=STGO address=188.2.3.1/29 disabled=no

Comprobamos las direcciones IP con el comando ip address print.

Lo siguiente es configurar el dhcp server para ambas redes con el comando ip dhcp-server setup.

Por último aplicaremos nateo.

ip firewall nat add chain=srcnat out-interface=WAN action=masquerade disabled=no

Con esto ya tenemos configurado el router ISP.

Router VALPO

Para configurar el Router VALPO, lo haremos desde el PCVALPO con el programa Winbox.

Abrimos el programa y vamos a la pestaña neighbors para ubicar el router Mikrotik directamente conectado.

Seleccionamos el router y damos clic a Connect.

A menos que tengamos una licencia de Mikrotik, al mensaje del inicio le damos clic en OK.

Al igual que el router ISP, es mejor eliminar cualquier información contenida. Para eso vamos al menú System, Rset Configuration.

Seleccionamos la primera y tercera opción y damos clic en Reset Configuration.

Se abrirá un nuevo mensaje, le damos clic en Yes.

El router se reiniciará y se perderá la conexión.

Esperamos unos segundos hasta que reinicie el router y damos clic en Reconnect.

Ahora configuraremos el nombre de las interfaces. Vamos al menú Interfaces, doble clic en la interfaz y cambiamos el nombre. Clic en OK para terminar.

Y deberíamos tener ambas interfaces con sus nombres.

Configuramos el cliente DHCP. Vamos al menú IP, DHCP Client.

En la nueva ventana damos clic en el signo +, verificamos que la interfaz sea WAN y damos clic en OK.

Damos un IP estática a la LAN de la red VALPO. Vamos al menú IP, Address.

En la nueva ventana damos clic en el signo +, ingresamos el IP 192.168.1.1/24 y cambiamos la interfaz a LAN. Clic en OK.

Lo siguiente es crear el servidor DHCP para la LAN. Vamos al menú IP, DHCP Server. En la nueva ventana damos clic al botón DHCP Setup y cambiamos la interfaz a LAN.

Configuraremos todo por defecto con Next y daremos clic en OK al mensaje final.

Por último, vamos al menú IP, Firewall y configuraremos el NAT.

Seleccionamos la pestaña NAT y damos clic en el signo +. En la pestaña General configuraremos Src. Address con la red LAN 192.168.1.0/24 y Out Interface con la interfaz WAN.

En la pestaña Action, en Action seleccionamos masquerade y damos clic en OK.

Acá vemos el DHCP Server y el NAT creados.

 Router STGO

En router STGO hacemos lo mismo que en router VALPO, sólo cambiamos los IP correspondientes.

PC VALPO y PC STGO

Ahora veremos si los PC obtuvieron un IP dinámico con el DHCP y si tienen conexión a internet.

Hemos comprobado que ambos PC tienen acceso a internet. Ahora verificaremos que entre ellos no hay conexión.

Vemos que no hay conexión. Es hora de configurar el tunel IPSEC entre Mikrotik.


Tunel IPSEC

En el router VALPO vamos al menú IP, IPsec.

En la pestaña Polices damos clic al signo +. Se abrirá una ventana en la cual ingresaremos los siguientes datos en la pestaña General.

Src. Address 192.168.1.0/24
Dst. Address 192.168.2.0/24

Ahora en la pestaña Action ingresaremos lo siguiente.

Tunnel
SA Src. Address 200.2.2.6
SA Dst. Address 188.2.3.6

Damos clic a OK y vamos a la pestaña Peers. Clic en el signo + e ingresamos los siguientes datos. Clic en OK.

Address 188.2.3.6
Secret 12345

Por último configuramos NAT con la siguiente información.

Chain srcnat
Src. Address 192.168.1.0/24
Dst. Address 192.168.2.0/24

La pestaña action la dejamos por defecto (Accpet). Damos clic a OK.

Un paso importante es dejar esta configuración NAT al inicio como mostraré en las siguientes imágenes.

Antes:

Después:

Sólo debemos arrastrar el segundo al primer espacio.

En el router STGO debemos seguir los mismos pasos, cambiando los IP correspondientes.

Y ya tenemos el tunel IPsec funcionando.

Comprobaremos si hay conectividad entre PCVALPO y PCSTGO (tal vez debamos deshabilitar el firewall de Windows o agregar una regla para aceptar el ping remoto).