- Luis O P Carvalho
- IT Analyst; Bel. Computer Science, Bel. in Theology, Esp. Biblical Theology, Esp. in New Testament Theology, Esp. in Systematic Theology and Esp. Computer network.
Mikrotik VPN IPSec – Site to Site
A Virtual Private Network nada mais é do que um túnel criptografado privado entre dois locais geograficamente distantes. Ou seja, por meio da internet é possível criar uma rede virtual para conectar lugares diferentes, como por exemplo, um filial com sua matriz, ou ainda um simples computador à sua rede corporativa. Abaixo é possível ilustrar como é essa conectividade acontece.
Figura 1 – Visão geral VPN
Nessa imagem é possível ver de forma geral como se configura a conectividade entre matriz e filiais de uma empresa. Observe que o elo de ligação é a Internet que por esta razão devemos levar muito em consideração, pois por se tratar de uma zona “livre” é preciso ter bastante cuidado com a segurança dos dados que trafegam nesse túnel. Basicamente, quando uma rede quer enviar dados para a outra rede através da VPN, um protocolo, exemplo IPSec que será tratado nesse post, faz o encapsulamento do quadro normal com o cabeçalho IP da rede local e adiciona o cabeçalho IP da Internet atribuída ao roteador, um cabeçalho AH, que é o cabeçalho de autenticação e o cabeçalho ESP, que é o cabeçalho que provê integridade, autenticidade e criptografia à área de dados do pacote. Quando esses dados encapsulados chegarem à outra extremidade, é feito o desencapsulamento do IPSec e os dados são encaminhados ao referido destino da rede local.
Para esse post iremos exemplificar uma conexão VPN entre a filial Recife e matriz Fortaleza da figura 1. Onde ambas tem um IP valido e MikroTik em suas bordas.
Primeira coisa que iremos fazer é mapear e desenhar a rede, veja abaixo cenário que iremos utilizar:
Figura 2 – Topologia entre os sites
Matriz:
- Rede externa (WAN): 1.1.1.1/30
- Rede interna (LAN): 192.168.0.0/24
Filial:
- Rede externa (WAN): 1.1.1.2/30
- Rede interna (LAN): 192.168.1.0/24
Agora iremos partir para pratica. Estou partindo do pressuposto que você já saiba como configurar o MK, como os endereço IP, NAT, DNS e gateway default. Para essa configuração iremos usar um método de inserir as configurações via linha de comando, que nada mais é do que inserir os códigos abaixo dentro da prompt do MK.
Vamos dividir por etapas essa configuração:
1 – IPsec: Peers, Policies e Proposals:
Peer: é o ponto remoto onde iremos conectar.
Matriz:
/ip ipsec peer add address=1.1.1.2/30 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret=“SuaSenha@Segura” generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=md5 enc-algorithm=3des,aes-128 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5
Filial:
/ip ipsec peer add address=1.1.1.1/30 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret=“SuaSenha@Segura” generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=md5 enc-algorithm=3des,aes-128 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5
Policies: a tabela é utilizada para determinar se as definições de segurança deverá ser aplicado a um pacote.
Matriz:
/ip ipsec policy add src-address=192.168.0.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=1.1.1.1 sa-dst-address=1.1.1.2 proposal=default priority=0
Filial:
/ip ipsec policy add src-address=192.168.1.0/24 src-port=any dst-address=192.168.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=1.1.1.2 sa-dst-address=1.1.1.1 proposal=default priority=0
Proposal: informações proposta que será enviada por IKE daemon para estabelecerSAs para está política.
Figura 3 – IPsec Proposal
Na tela acima iremos marcar apenas o item “md5” da opção Auth. Algorithms.
Observação: essas configurações aplicam-se a ambos os sites (Matriz e Filial). Lembrando sempre de mudar os endereços IP’s. Acima estão as configuração para o site Matriz. No site Filial mude apenas os IP’s.
2 – Firewall e NAT:
Na tabela Filter iremos adicionar a seguinte regra:
Matriz:
/ip firewall filter add chain=input action=accept src-address=1.1.1.1
dst-address=1.1.1.2 log=no log-prefix=“”
dst-address=1.1.1.2 log=no log-prefix=“”
Filial:
/ip firewall filter add chain=input action=accept src-address=1.1.1.2
dst-address=1.1.1.1 log=no log-prefix=“”
dst-address=1.1.1.1 log=no log-prefix=“”
E na tabela NAT iremos adicionar um regra também, conforme abaixo:
Matriz:
/ip firewall nat add chain=srcnat action=accept src-address=192.168.0.0/24
dst-address=192.168.1.0/24 log=no log-prefix=“”
dst-address=192.168.1.0/24 log=no log-prefix=“”
Filial:
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24
dst-address=192.168.0.0/24 log=no log-prefix=“”
dst-address=192.168.0.0/24 log=no log-prefix=“”
3 – Route:
Para esse conectividade VPN não se faz necessário a criação de rota estática, pois na criação do túnel VPN no item 1 acima descrito já informamos as redes que terão permissão de trafegar pelo túnel.
4 – Reboot
Após concluida toda a operação faça o reboot em ambas as pontas, e a partir dai o sistema estará apto para testes.
Conclusão:
Por fim, após concluir as configurações em ambos MK, observe nas abas “Remote Peers” e “Installed SAs” se existe alguma conexão. Caso tenha, então tudo o que você fez está correto e a conexão VPN foi estabelecida. Para validar a conectividade entre as unidades faço um teste de “ping” entre os sites e tentar realizar conexões remotas.
Social