Configuracin Servidor y Clientes VPN

SILLANET 2012

1. Configuracin Servidor VPN PPTP RouterOS

En esta gua se detalla brevemente como configurar un Servidor VPN-PPTP sobre RouterOS en 3 pasos. Primeramente se muestra como configurarlo grficamente, y despus como configurarlo desde la consola de comandos, los pasos son los mismos. Si bien puede que a muchos les sea ms rpido y sencillo hacerlo mediante la consola de comandos, para quien no se aclare con ello, puede hacer exactamente lo mismo grficamente.

1.1. Configuracin Grfica

1.1.1. Crear un perfil PPP Lo primero, ser crear un nuevo perfil PPP, en la pestaa PPP del RouterOs.

El nuevo perfil se llamar profile-sillanet, pero se puede poner cualquier nombre.

1.1.2 Dar de alta a los usuarios

Nota: Cada usuario debe de tener una IP Remote Address distinta, pero todos pueden tener la misma Local Addres, la Local Address es la IP del servidor VPN, por tanto solo hace falta una para comunicarse con todos los clientes que tenga.

1.1.3 Activar el servicio

1.1.4. Abrir puertos

Si la routerboard donde estamos instalando el servidor VPN, tiene activado el firewall es necesario abrir el puerto TCP 1723 as como el protocolo GRE.

1.1.5. Utilizar VPN como GW a Internet.

Si el acceso via VPN se quiere utilizar para accceder a Internet, aparte de los pasos anteriores en necesario comprobar que la routerboard tiene acceso a Internet. Si no el cliente solo acceder a la LAN.

1.1.6. Solucin Problema supernodos.

Si realizamos la configuracin de servidor VPN PPTP que acabamos de indicar en un supernodo, es posible

que el cliente conecte pero no pueda comunicarse con el resto de equipos de la LAN ni salir a Internet por el Gateway. Para ello es necesario aadir en el firewall una regla src-nat para que todos los paquetes con origen en la IP del usuario VPN, se modifiquen para tener como ip origen la ip LAN del servidor VPN.

1.2. Configuracin desde Consola Comandos.

1.2.1. Crear un perfil PPP
El primer paso es crear un profile de seguridad PPP al que llamaremos profile-sillanet. Indicamos que el tunel VPN tiene que ir encriptado con use-encryption=required y change-tcp-mss=yes. Tambin indicamos el

servidor DNS de la LAN destino a utilizar (si es el caso).

[admin@MikroTik] > ppp profile add name=profile-sillanet dns-server=192.168.1.1 useencryption=required change-tcp-mss=yes

1.2.2. Dar de alta a los usuarios

Damos de alta un usuario y password:
[admin@MikroTik] > ppp secret add name=miusuario password=mipass service=pptp profile=profilesillanet local-address=192.168.1.1 remote-address=192.168.1.100

Donde local-address es la direccin local del servidor VPN, y remote-addres ser la direccin local que utilizar el usuario VPN al conectar.

1.2.3 Activar el servicio

Activamos el servicio PPTP:
[admin@MikroTik] > interface pptp-server server set enabled=yes default-profile=profile-sillanet

1.1.4. Abrir puertos

Si la routerboard donde estamos instalando el servidor VPN, tiene activado el firewall es necesario abrir el puerto TCP 1723 as como el protocolo GRE.

1.1.5. Utilizar VPN como GW a Internet.

Si el acceso via VPN se quiere utilizar para acceder a Internet, aparte de los pasos anteriores en necesario comprobar que la routerboard tiene acceso a Internet. Si no el cliente solo acceder a la LAN.

1.1.6. Solucin Problema supernodos.

Si realizamos la configuracin de servidor VPN PPTP que acabamos de indicar en un supernodo, es posible que el cliente conecte pero no pueda comunicarse con el resto de equipos de la LAN ni salir a Internet por el Gateway. Para ello es necesario aadir en el firewall una regla src-nat para que todos los paquetes con origen en la IP del usuario VPN, se modifiquen para tener como ip origen la ip LAN del servidor VPN.
[admin@MikroTik] > /ip firewall nat add chain=srcnat src-address=192.168.1.100 action=src-nat toaddresses=192.168.1.1 comment="VPN src-nat (usuario: misuario)"

1.3. Documentacin.
http://www.mikrotik.com/testdocs/ros/3.0/vpn/pptp_content.php http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Source_NAT

2. Configuracin Clientes VPN PPTP

2.1. Cliente Windows XP
Vamos a conexiones de red y creamos una nueva conexin

luego nos saldr el asistente de windows

Una vez terminado el asistente nos saldra la siguiente ventana donde tendremos que escribir nuestro usuario y contrasea, luego conectar.

Con esta configuracin todo el trfico de red saldr por el tunel VPN, es decir tanto el trfico de internet como el trfico a la red guifi.net. Por lo tanto es muy importante aadir una ruta para indicar que para la red guifi.net el acceso lo haga directamente. route add 10.0.0.0 mask 255.0.0.0 IPGATEWAY

donde IPGATEWAY es la ip de vuestro router local, es decir la puerta de enlace a guifi.net (por ejemplo una antena RB411, una nanostation, etc). Que en el caso mas tpico tendr como direccin 192.168.1.1. Podemos comprobar que la salida a la red guifi.net esta bien configurada realizando un traceroute. Por ejemplo:

2.2. Cliente Linux

En el caso de Debian Linux, vamos a Sistema -> Conexiones de Red -> VPN -> Aadir. Seleccionamos el tipo de conexion VPN PPTP, y pulsamos Crear.

A continuacin tenemos que introducir los detalles de la configuracin: Pasarela: ipservidorvpn Dominio de la red: sillanet.org Usuario: miusuario Contrasea: *******

En configuracin avanzada, tenemos que seleccionar Usar cifrado punto a punto (MPPE).

Tras esto ya podemos guardar la configuracin. Para conectarnos pulsamos sobre el icono de la aplicacin gestor de red del taskbar y en Conexion VPN seleccionamos la conexin que acabamos de crear. Con esta configuracin todo el trfico de red saldr por el tunel VPN, es decir tanto el trfico de internet como el trfico a la red guifi.net. Por lo tanto es muy importante aadir una ruta para indicar que para la red guifi.net el acceso lo haga directamente. route add -net 10.0.0.0 netmask 255.0.0.0 gw IPGATEWAY donde IPGATEWAY es la ip de vuestro router local, es decir la puerta de enlace a guifi.net (por ejemplo una antena RB411, una nanostation, etc). Que en el caso mas tpico tendr como direccin 192.168.1.1. Podemos comprobar que la salida a la red guifi.net esta bien configurada realizando un traceroute. Por ejemplo: traceroute to 10.37.72.1 (10.37.72.1), 30 hops max, 60 byte packets 1 10.229.30.33 (10.229.30.33) 0.378 ms 0.428 ms 0.482 ms 2 172.16.155.18 (172.16.155.18) 2.034 ms 2.175 ms 2.535 ms 3 10.37.72.1 (10.37.72.1) 2.865 ms 3.288 ms 3.421 ms Como se puede ver, accedemos a la IP 10.37.72.1 a travs de los rangos de red de guifi.net, y no a travs de la red del tunel vpn.

2.3. Cliente MacOs X

Para configurar una nueva conexin VPN, vamos a Preferencias del Sistema -> Red. Y a continuacin pulsamos + para aadir un servicio nuevo. Seleccionamos como interfaz VPN de tipo PPTP.

Pulsamos crear y en la siguiente ventana indicamos la direccin del servidor y usuario. En Ajustes de autenticacin indicamos la contrasea.

En la opcin Avanzado ..., marcamos la opcin Enviar todo el trfico a travs de la conexin VPN.

Tras esto ya podemos guardar la configuracin. Para conectarnos pulsamos sobre el icono de la aplicacin gestor de red del taskbar y en Conexion VPN seleccionamos la conexin que acabamos de crear. Con esta configuracin todo el trfico de red saldr por el tunel VPN, es decir tanto el trfico de internet como el trfico a la red guifi.net. Por lo tanto es muy importante aadir una ruta para indicar que para la red guifi.net el acceso lo haga directamente. sudo route -n add 10.0.0.0/8 IPGATEWAY donde IPGATEWAY es la ip de vuestro router local, es decir la puerta de enlace a guifi.net (por ejemplo una antena RB411, una nanostation, etc). Que en el caso mas tpico tendr como direccin 192.168.1.1. Podemos comprobar que la salida a la red guifi.net esta bien configurada realizando un traceroute. Por ejemplo: traceroute to 10.37.72.1 (10.37.72.1), 30 hops max, 60 byte packets 1 10.229.30.33 (10.229.30.33) 0.378 ms 0.428 ms 0.482 ms 2 172.16.155.18 (172.16.155.18) 2.034 ms 2.175 ms 2.535 ms 3 10.37.72.1 (10.37.72.1) 2.865 ms 3.288 ms 3.421 ms Como se puede ver, accedemos a la IP 10.37.72.1 a travs de los rangos de red de guifi.net, y no a travs de la red del tunel vpn. Para comprobar la tabla de rutas en macos utilizar: netstat -r