VPN

*Túneles y VPNs:
Una VPN (Virtual Private Network) es o establece un canal de datos privado, sobre una red o
infraestructura pública, típicamente Internet.
Se utiliza para unificar redes remotas, o para que usuarios remotos accedan a recursos de una
red, brindando, además ciertos recursos de seguridad, políticas de gestión de una red privada
y calidad de servicio o QoS. Es decir, un usuario de una red privada, puede enviar y recibir
datos a otra red privada a través de un túnel VPN, como si estuviera conectado directamente a
esta red.
De esto se desprenden que podemos hacer las siguientes grades clasificaciones:
VPN/Tunel Site-to-Site: Se genera canal entre dos redes. Ejemplo: conectividad entre
dos oficinas de una misma empresa, ubicadas geográficamente en locaciones distintas.
VPN/Túnel Client-to-Site: Se genera canal entre un cliente y una red. Ejemplo: Cliente
en notebook levanta conectividad entre su notebook y la red de una empresa.
*Tecnologías en VPN: (Pilares de la seguridad: Confidencialidad, Integridad, Disponibilidada,

No Repudio).
Tunneling
Identity Authentication
Data Authentication
Encryption
Key Management
Tunneling: es el core de la tecnología VPN. Se refiere al cnaal de daos que es creado sobre la
red pública, con encriptación de los datos entre ambos extremos. Sobre este canal de datos,
son enviados los paquetes.
El túnel que se genera, es conformado por protocolos de, justamente, tunelización, los cuales
pueden ser de Layer 2 o Layer3. Entre ellos:
Layer2:
L2F
PPTP
L2TP
Layer3:
GRE
IPSec
*L2TP
Protocolo de tunnelling seteado entre usuario y servidor mediante mensajes transparentes

PPP.
NOTA: PPP (Point-to-Point Protocol9, protocol de capa 2 (data link layer) usado para establecer
una conexión directa entre dos nodos. Provee autenticación y puede soportar encriptación o
mejor dicho, puede trabajar con Ipsec, pero nativamente no soporta o provee un mecanismo
de encriptación.
PPP es u protocolo que define la tecnología de encapsulamiento, el cual puede transmitir

paquetes de datos Point-to-Point en layer 2. Rigurosamente, L2TP se define como PPPoIP.
Tiene autenticación.
Soporta IPsec
*GRE
Protocolo que puede encapsular otros protocolos de Red.
Componentes principales: Source Address, Destination Address, Tipo de encapsulamiento,

Interface del tunel (lógica).
**EoIP
Muy buenas:
https://www.manitonetworks.com/mikrotik/2016/3/9/eoip-tunnel
http://systemzone.net/mikrotik-site-to-site-eoip-tunnel-with-ipsec/
El túnel de Ethernet sobre IP (EoIP), es un protocolo de Mikrotik RouterOS, el cual crea un

tunel Ethernet entre dos routers. (protocolo propietario)
Si se crea una interface Bridge con EoIP, todo el tráfico Ethernet se van a puentear como si
hubiera una interface Ethernet física y un cable entre los dos routers.
http://systemzone.net/mikrotik-site-to-site-eoip-tunnel-with-ipsec/
Es decir, EoIP, es u protocolo propietario de Mikrotik RouterOS, el cual permite crear un tunel
Ethernet entre dos routers Mikrotik, el cual es montado sobre una conexión IP.
EoIP agrega un encabezado al paquete IP, aunque el paquete de daos propiamente dicho no es
modificado.
Supuestamente, extiende el dominio de broadcast.
Layer 2
Bridgea dos redes.
No tiene autenticación.
EoIP encapsula paquetes, pero no provee autenticación y encriptación.
Se puede usar EoIP con Ipsec, aunque hace más lenta la comunicación.
Ejemplo Site to Site: http://systemzone.net/mikrotik-site-to-site-eoip-tunnel-with-ipsec/
Se crea escenario de ips e interfaces de red de cada extremos y oficina.
Se crea tunel EoIP.

Se asigna IP a cada extremo del tunel.
Se podría Aplicar Ipsec.
https://www.manitonetworks.com/mikrotik/2016/3/9/eoip-tunnel
Se puede entender la utilidad en el caso que se quiera integrar dos LAN de dos ubicaciones
diferentes, en donde estas LAN manejan la misma subnet, lo que, si bien estaría mal el diseño
en un principio, al necesitar comunicar un host de una de las ubicaciones con un host de otra
de las ubicaciones, compartiendo el mismo dominio de broadcast, podemos pensar en utiliza
EoIP. Aunque, finalmente, si en ambos extremos el Gateway de los hosts de la LAN es, por
ejemplo, 192.1681.1/24, en alguno de los extremos tendremos que modificarlo ya que allí si
habría duplicación de IP, y entraríamos en conflicto.
The tunnel ID numbers must match on each side. Additionally, an IPSEC

key has been added, which will encrypt the EoIP traffic between the two
sites. This is a good idea to have in place, but it is an optional step
depending on your security needs, and it only works between Mikrotik
devices. At this point you should see the tunnel come up and be active,
though there probably isn't any traffic going over it.
Lo que se suele hacer es crear un bridge entre la inteace que mira hacia la LAN y el Tunel EoIP
creado. Eso hace que ambas LAN se vean, sin la necesidad de crear rutas estáticas.
**IPIP
Links:
*http://packetlife.net/blog/2012/feb/27/gre-vs-ipip-tunneling/
IPIP en Mikrotik RouterOS cumple con la RFC 2003.
El tunel IPIP trabaja como un protocolo simple queq encapsula IP en PI para crear un tunel
entre dos routers.
Protocolo compatible con Cisco y Linux.
Layer 3
Default MTU: 1500
Protocolo de autenticación: NO
Protocolo de encriptación: NO
**http://systemzone.net/mikrotik-ipip-tunnel-with-ipsec-site-to-site-vpn/
Entonces, IPIP tunel es usado para crear na VPN site to site.
Es un protocolo simple que encapsula paquetes IP dentro de IP, para crear un tunel entre dos
routers.
Agrega un header al paquete IP, quedando el paquete original encapsulado.
No provee autenticación y encriptación.
Soporta trabajar con Ipsec.

**PPTP
Links:
VPN Client to Site con PPTP: https://www.youtube.com/watch?v=6l1sYGLrlz0
https://www.youtube.com/watch?v=5hNLkRt6jMI
https://www.youtube.com/watch?v=Xym6FmaSFVI
CAPA 3
TCP 1723
MTU 1450
PAP,CHAP, MSCHAP V1 V2…
PPPTP (Point to Point Tunnel Protocolo) es un tunel Seguro que transporta trafico PPP.
PPTP incorpota PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces cifrados.
Permite establecer conexiones seguras del tipo tunnel site to site y client to site. Estos clientes
PPTP esta disponibles y/o incluido en casi todos los sistemas operativos, incluído Windows).
Incluye autenticación. Se puede realizar una autenticación complete y contabiliación de

paquetes de cada conexión localmente o a través de un cliente RADIUS.
Corre sobre GRE???
Soporta PPTP Client y Server.

https://support.hidemyass.com/hc/en-us/articles/204558497-Mikrotik-Client-Setup
https://www.youtube.com/watch?v=7Uz1V9WqnL8
http://mikrotikroutersetup.blogspot.com.ar/2014/02/mikrotik-router-pptp-remote-access-
vpn-server.html
https://www.youtube.com/watch?v=Xym6FmaSFVI&t=309s
http://systemzone.net/mikrotik-vpn-configuration-with-site-to-site-pptp/
https://www.youtube.com/watch?v=6shI5xNqCTs
https://www.timigate.com/2017/11/how-to-configure-site-to-site-pptp-vpn.html
http://conocimiento.syscom.mx/article/mikrotik-configurar-tunnel-vpn/
http://www.inkalinux.com/foros/showthread.php?92-69-VPN-PPTP-Como-enlazar-Dos-
Puntos-Remotos-Usando-PPTP-Server-PPTP-Client
https://www.manitonetworks.com/mikrotik/2016/3/9/site-to-site-pptp
*PPTP: Esquema Client-to-Site:
IP para interface lógica (o Virtual) de PPTP Server 172.16.56.1/24
Pool PPTP-Client: 172.16.56.2 – 172.16.56.254
Configuración Oficina Central:
Paso 1: Se genera Bridge de ETH1, ETH2, ETH3, ETH4, para el caso de querer conectar mas de
un Cliente PPTP. Esta configuración es netamente para fines de la práctica.
Paso 2: Config. IPs
- IP WAN (Bridge): 192.168.1.1/24

- IP LAN: 10.11.12.1/24
- Config. Pool para clientes PPTP:
o Name: Pool-PPTP
o Addresses: 172.16.56.2-172.16.56.254
o Apply y OK
- IP GW de las conexiones PPTP:

Paso 3: Config. PPTP Server
- Opción PPP
- Agregar interface: PPTP Server Binding
- Configuramos descripción: pptp-Server.

- Click en botón Apply y OK.
- Seleccionamos opción PPTP Server

- Habilitamos Check “Enabled”
- Habilitamos Autenticación CHAP y PAP en la sección de autenticación.
- Click en botón Apply y OK.
Paso 4: Creación de credenciales de usuarios PPTP. Se deben crear credenciales e IP de

conexión local y remota.
- Creamos profile para los clientes PPTP
- PPP->Secrets: Creamos credenciales de clientes PPTP

o Name(User): sucursal10
o Password: sucursal10
o Service: pptp
o Profile: PPTP-Client
o Apply y OK.
Sobre Windows 10:
Proveedor de VPN: Windows (Cliente)
Nombre de Conexión: VPN-PPTP
Nombre de servidor o dirección: 192.168.1.1
Tipo de VPN: Protocolo de Túnel Punto a Punto (PPTP)
Tipo de información de inicio de sesión: Nombre de usuario y Contraseña

En esta captura se ve config. de la placa de red. Config. asignada por PPTP y ping a la LAN de la
oficina central.
Captura Site-to-Site
Lado Client: https://www.youtube.com/watch?v=6shI5xNqCTs
Configuramos ETH1 como WAN
Config. IP de ETH1. 192.168.1.x -> 192.168.1.10/24

Creamos interface PPTP CLient
Se Configura ruta para llegar a la LAN
Limito cantidad de conexiones por usuario con ppp profile ->Limits:Only one:yes
O por firewall
Set limit to 150 simulateonous PPTP sessions:
/ip firewall filter

add action=drop chain=input comment="" connection-state=invalid disabled=no
add action=reject chain=input comment="" connection-limit=150,0 disabled=no dst-
port=1723 protocol=tcp reject-with=tcp-reset
*IPsec
Tres componentes principales:
AH
ESP
IKE

VPN

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

VPN

Transféré par

Droits d'auteur :

Formats disponibles

*Túneles y VPNs:

De esto se desprenden que podemos hacer las siguientes grades clasificaciones:

*Tecnologías en VPN: (Pilares de la seguridad: Confidencialidad, Integridad, Disponibilidada,

Protocolo de tunnelling seteado entre usuario y servidor mediante mensajes transparentes

PPP es u protocolo que define la tecnología de encapsulamiento, el cual puede transmitir

Protocolo que puede encapsular otros protocolos de Red.

Componentes principales: Source Address, Destination Address, Tipo de encapsulamiento,

El túnel de Ethernet sobre IP (EoIP), es un protocolo de Mikrotik RouterOS, el cual crea un

Supuestamente, extiende el dominio de broadcast.

Bridgea dos redes.

EoIP encapsula paquetes, pero no provee autenticación y encriptación.

Ejemplo Site to Site: http://systemzone.net/mikrotik-site-to-site-eoip-tunnel-with-ipsec/

Se crea escenario de ips e interfaces de red de cada extremos y oficina.

Se crea tunel EoIP.

Se podría Aplicar Ipsec.

The tunnel ID numbers must match on each side. Additionally, an IPSEC

IPIP en Mikrotik RouterOS cumple con la RFC 2003.

Protocolo compatible con Cisco y Linux.

Default MTU: 1500

Entonces, IPIP tunel es usado para crear na VPN site to site.

Agrega un header al paquete IP, quedando el paquete original encapsulado.

No provee autenticación y encriptación.

Soporta trabajar con Ipsec.

VPN Client to Site con PPTP: https://www.youtube.com/watch?v=6l1sYGLrlz0

PAP,CHAP, MSCHAP V1 V2…

Incluye autenticación. Se puede realizar una autenticación complete y contabiliación de

Corre sobre GRE???

Soporta PPTP Client y Server.

IP para interface lógica (o Virtual) de PPTP Server 172.16.56.1/24

Pool PPTP-Client: 172.16.56.2 – 172.16.56.254

Configuración Oficina Central:

- IP WAN (Bridge): 192.168.1.1/24

- IP GW de las conexiones PPTP:

- Configuramos descripción: pptp-Server.

- Seleccionamos opción PPTP Server

Paso 4: Creación de credenciales de usuarios PPTP. Se deben crear credenciales e IP de

- Creamos profile para los clientes PPTP

- PPP->Secrets: Creamos credenciales de clientes PPTP

Proveedor de VPN: Windows (Cliente)

Nombre de Conexión: VPN-PPTP

Nombre de servidor o dirección: 192.168.1.1

Tipo de VPN: Protocolo de Túnel Punto a Punto (PPTP)

Tipo de información de inicio de sesión: Nombre de usuario y Contraseña

Lado Client: https://www.youtube.com/watch?v=6shI5xNqCTs

Configuramos ETH1 como WAN

Config. IP de ETH1. 192.168.1.x -> 192.168.1.10/24

/ip firewall filter

Tres componentes principales:

Vous aimerez peut-être aussi