Necesito ayuda para configurar VPN

#5
pokoyo, veo que eres bastante activo por aquí y yo me acabo de dar de alta pues estoy bastante perdido en este tema de Vpn y necesito montar lo siguiente. A ver si es lo mismo o parecido a lo que necesita Natán el usuario que creó el hilo.
Es una VPN sencilla, me vale la PPTP, y es para conectar un puesto externo (donde van a tener fibra con router de Movistar) a una oficina donde voy a tener un Router Mikrotik RB2011.
Ví un par de videos por internet para configurar con el Winbox, ya tengo el Wan el Lan y el Nat. Consigo tener internet en los puestos a través del Mikrotik y a partir de ahí me pierdo un poco. Monto un pool de direcciones (pero ya no se si van bien), creo el profile, el secret, las filter rules de puerto 6 y 47 - gree, pero ahí me quedo, luego no consigo entrar desde fuera y conectar la Vpn.
Algún video tutorial o consejo a seguir?Gracias.
 
#6
Para pptp prácticamente no tienes que hacer nada. Si lo quieres hacer todo en modo automático, entra en el webfig y marca la pestaña de “vpn”. Le pones una contraseña y listo. Eso te dará de alta al menos tres servidores vpn: uno pptp, otro l2tp/IPSec y otro SSTP. Luego, dependiendo de con qué cliente te vayas a conectar, ya eliges tú el que mejor te venga. Con esa configuración automática se crean las reglas de firewall necesarias para cada servicio, el pool, el secreto, el profile, el dominio que te regala mikrotik... vamos, todo lo que necesitas.

Si lo quieres en manual, te dejo un enlace con la configuración y los pasos: https://www.raulprietofernandez.net/blog/mikrotik/como-crear-una-vpn-pptp-con-mikrotik-y-routeros

Nota: del tutorial, creo que lo del proxy-arp nunca me hizo falta, ahora trabajando con bridges.

Si ves que no te sale, te metes en la terminal, me haces un export de la configuración, y me lo mandas por privado. A ver si lo dejamos niquelado ;)
 
#7
Vale, seguí los pasos del manual de raulprieto que me enviaste, y me parece que ahora consigo acceder.
Lo estoy probando en local desde dos pc´s y ahora veré desde casa si me va.
Como me surgirán dudas, nos mantendremos en contacto.
Gracias.
 
#8
Una consulta sobre la VPN y sus rangos.
El Router Adsl Movistar me da un rango de ips tipo 192.168.1.X y por dhcp tengo conectada toda mi red de pc´s e impresoras.
Ahora sabéis si puedo intercalar o conectar mi router Mikrotik en ese mismo rango de Ips para no tener que cambiar todos los direccionamientos de la vieja red, una vez que lo conecto al router de movistar y monto la VPN?
 
#9
No te entiendo. ¿porqué necesitarías hacer eso?
Cuando tus clientes detrás del router de movistar (el de casa) se conecten al mirkrotik, independientemente del pool de direcciones que tengan, tendrán acceso a la red que monta el mikrotik, y por tanto a sus equipos. No hace falta intercalar ninguna IP.

Saludos.
 
#10
No te entiendo. ¿porqué necesitarías hacer eso?
Cuando tus clientes detrás del router de movistar (el de casa) se conecten al mirkrotik, independientemente del pool de direcciones que tengan, tendrán acceso a la red que monta el mikrotik, y por tanto a sus equipos. No hace falta intercalar ninguna IP.

Saludos.
No no, la parte del cliente que se conecta a la red que crea el Mikrotik la voy entendiendo. Con el pool de direcciones que creé ya pasan a estar en la misma red y pueden ver mis equipos. Pero todo esto lo estoy montando en una especie de banco de pruebas aquí en mi red, y ahora quiero montar esa VPN en la oficina de mi cliente.
Ahí ya está todo montado, servidor, pc´s e impresoras, nas... todo en el rango 192.168.1.1 que genera el Movistar.
El problema que creo que tengo o me voy a encontrar es tratar de mantener el mismo rango de ip´s que ya tiene esa oficina generado y proporcionadas por el router Movistar (en el rango 192.168.1.1) al conectar el Mikrotik. Pues como el MK en la Wan tiene el rango 192.168.1.1 yo le generé una Lan con el rango 192.168.10.X, no se si puedo poner el mismo rango en la wan y en la lan para colocar el Mikrotik y todo el trafico pase por el pero sin modificar nada.
No se si me explico bien.
 
#11
A ver, más simple. ¿Ese router sólo va a servir como servidor VPN? Si es así, colocas el router en modo cliente (bridge) y le aplicas la configuración de VPN que quieras. Así sería como un PC más de los del rango 192.168.1.x, que ofrece un servidor de VPN (abre el puerto 1723 en el de movistar y se lo rediriges a la IP de dicho router).

Si por el contrario vas a montar el mikrotik como router principal, simplemente pon el de movistar en modo puente y "coge" prestado su rango de IP's 192.168.1.x para la LAN. Engancha al mikrotik el switch donde vayan conectados todos los equipos, y listo. El de movistar se quedaría como una ONT.

Saludos.
 
#12
Vale, interesante respuesta. Podría usar ambas, pues la función básica del MK es para hacer una Vpn pues mi cliente está empecinado con esa idea por tener algo más de seguridad y poder cerrar el 3389.
La primera opción: Colocar el router en modo cliente (bridge) te refieres al MK. Ya tengo abierto el 1723 a la IP del router, pero como hago lo del modo bridge?.
Lo de poner el de Movistar en modo puente igual es más lioso pues tiene voz Ip y no se yo si me puede afectar en algo, pero preferiría no tocar el de movistar.
 
#13
A ver, la opción buena es la segunda, por aprovechar al 2011 que es un pedazo de router, y dejar el de telefónica en modo monopuesto, para que sólo se quede con la voz.
No obstante, como quien paga manda, la primera es de largo mucho más simple. Al poner el router en modo bridge, lo conviertes en un switch con cosas. Es decir, un cliente más de la red, con una serie de servicios corriendo en él.
Puedes aprovechar sus puertos para conectar dispositivos por cable (aprovechando las funciones de switch) y poner a correr en él sl servidor ppp para la VPN. En este caso, no necesitas abrir ningún puerto en el mikrotik, ni configurar absolutamente nada. Te dejo un pantallazo del quick set, de cómo sería tu configuración (LA MAC ADDRESS NO LA BORRES)

Para conectarte a él, simplemente usa la dirección que te facilitan en el apartado VPN Address, es un nombre de dominio que te regala mikrotik por cada routerboard.

Lo único que tendrías que hacer en el router de movistar del cliente, es abrir el puerto 1723 y asignarlo a la IP 192.168.1.2 (o la que configures en tu caso en el apartado "IP Address"). Por seguridad, pon esa IP estática.

1581149718738.png


Saludos!
 
#14
A ver, la opción buena es la segunda, por aprovechar al 2011 que es un pedazo de router, y dejar el de telefónica en modo monopuesto, para que sólo se quede con la voz.
No obstante, como quien paga manda, la primera es de largo mucho más simple. Al poner el router en modo bridge, lo conviertes en un switch con cosas. Es decir, un cliente más de la red, con una serie de servicios corriendo en él.
Puedes aprovechar sus puertos para conectar dispositivos por cable (aprovechando las funciones de switch) y poner a correr en él sl servidor ppp para la VPN. En este caso, no necesitas abrir ningún puerto en el mikrotik, ni configurar absolutamente nada. Te dejo un pantallazo del quick set, de cómo sería tu configuración (LA MAC ADDRESS NO LA BORRES)

Para conectarte a él, simplemente usa la dirección que te facilitan en el apartado VPN Address, es un nombre de dominio que te regala mikrotik por cada routerboard.

Lo único que tendrías que hacer en el router de movistar del cliente, es abrir el puerto 1723 y asignarlo a la IP 192.168.1.2 (o la que configures en tu caso en el apartado "IP Address"). Por seguridad, pon esa IP estática.

Ver el adjunto 20976

Saludos!
Gracias pocoyo, lo he puesto en modo bridge y veo que la configuración para hacer la VPn es bastante sencilla, pero mi pregunta es la siguiente.
Ahora si quiero entrar desde dos lugares distintos, o dos usuarios diferentes ? debo crear dos usuarios diferentes o en modo bridge no es necesario crear usuarios?
 
#15
Claro, la configuración "base", la que crea el quick set, es muy sencillita, en plan usuario: vpn | contraseña: la que le pongas | tipos de servicio vpn levantados: pptp, l2tp/IPSec (mismo secreto que password), sstp. Ese usuario juraría que lo puedes usar desde varias localizaciones a la vez sin problemas, aunque lo más lógico es que tengas un usuario por cada tío que se va a conectar, así los identificas.

Una vez tienes la configuración base, ya te lías tú a jugar con los perfiles que quieras y los usuarios que vayas a dar de alta. Tienes ambas cosas en el aparatado PPP. Ahí puedes tocar lo siguiente:
  • Profiles: perfiles de conexión. Ahí le puedes decir si vas a usar o no encriptación, los rangos de IP's que vas a tener cuando conectes, si quieres ejecutar algún script cuando se conecten o desconecten, si los vas a asociar a alguna lista de interfaces al conectar (para luego aplicarle reglas de firewall por listas), etc. Verás que el te crea dos pefiles, default y default-encryption. Este apartado tiene más sentido cuando usas la routerboard en modo router, en modo bridge, salvo por lo de poder ejecutar algún script al arranque, poco más se me ocurre que puedas hacer en modo cliente.
  • Secrets: aquí vas a definir los usuarios y contraseñas de conexión. Verás que ya hay un usuario "vnp" creado, que es el que crea por defecto el quick set cuando marcas la pestaña de VPN. Ahí añades tú todos los usuarios que quieras, y los enlazas con el perfil que quieres que usen cuando conecten, los restringes o no para un tipo de vpn concreta, etc.
Saludos!
 
#16
Claro, la configuración "base", la que crea el quick set, es muy sencillita, en plan usuario: vpn | contraseña: la que le pongas | tipos de servicio vpn levantados: pptp, l2tp/IPSec (mismo secreto que password), sstp. Ese usuario juraría que lo puedes usar desde varias localizaciones a la vez sin problemas, aunque lo más lógico es que tengas un usuario por cada tío que se va a conectar, así los identificas.

Una vez tienes la configuración base, ya te lías tú a jugar con los perfiles que quieras y los usuarios que vayas a dar de alta. Tienes ambas cosas en el aparatado PPP. Ahí puedes tocar lo siguiente:
  • Profiles: perfiles de conexión. Ahí le puedes decir si vas a usar o no encriptación, los rangos de IP's que vas a tener cuando conectes, si quieres ejecutar algún script cuando se conecten o desconecten, si los vas a asociar a alguna lista de interfaces al conectar (para luego aplicarle reglas de firewall por listas), etc. Verás que el te crea dos pefiles, default y default-encryption. Este apartado tiene más sentido cuando usas la routerboard en modo router, en modo bridge, salvo por lo de poder ejecutar algún script al arranque, poco más se me ocurre que puedas hacer en modo cliente.
  • Secrets: aquí vas a definir los usuarios y contraseñas de conexión. Verás que ya hay un usuario "vnp" creado, que es el que crea por defecto el quick set cuando marcas la pestaña de VPN. Ahí añades tú todos los usuarios que quieras, y los enlazas con el perfil que quieres que usen cuando conecten, los restringes o no para un tipo de vpn concreta, etc.
Saludos!
Perfecto !! me está quedando niquelado. Ya se que estoy infrautilizando el Router Mikrotik, pero con este simple Bridge montado ya puedo abrir comunicación para los dos usuarios externos que necesitaba hacia la red de la empresa. Al menos salgo del paso para darme tiempo a seguir formándome y aprendiendo sobre estos Router que veo son un mundo.
Muchas gracias por la ayuda.
 
#17
Si te puedo dar un último consejo: si vas a tratar con más clientes y con este tipo de routers como solución, cómprate un modelo de los baratos (tipo el hap lite) y trastea con él primero, para aprender y tener un chisme de pruebas, antes de montar una solución final a un cliente.
Lo bueno que tienen es que todos llevan el mismo software corriendo, RouterOS, así que puedes practicar y enredar lo que quieras, que la configuración "del de verdad" será muy similar. Lo que va a cambiar de uno a otro son principalmente las características del hardware.

Saludos.
 
#18
Para usos sencillos de ocultación y protección, no me voy a meter en configuraciones excesivamente técnicas, voy a lo sencillo. Navegador Opera, viene con servicio VPN de 4 puntos, totalmente gratuito y sin límite de datos redireccionados, te lo bajas activas VPN desde configuración y a funcionar, luego desde el icono a la izquierda de la URL pinchas y eliges el punto de conexión. Segunda opción por programa independiente, TunnelBear, tienes 1 giga y medio de límite en el modo gratuito. No es excesivamente caro si quieres datos ilimitados y tiene muchos más puntos de conexión que Opera.
 
Arriba