VPN com Mikrotik

Uma Rede Particular Virtual (Virtual Private Network – VPN)é uma rede de comunicações privada normalmente utilizada por umaempresa ou um conjunto de empresas e/ou instituições, construída emcima de uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros.

Criação de VPN entre matriz e filial de uma empresa usando servidores Mikrotik nas duas pontas.

Levando em consideração a seguinte estrutura:

Matriz:

* Rede Local: 192.168.0.X/24
* Ip local do Servidor: 192.168.0.1
* Ip Internet do Servidor: 201.200.200.200

Filial:

* Rede Local: 192.168.10.X/24
* Ip local do Servidor: 192.168.10.1
* Ip Internet do Servidor: 189.50.1.200

VPN:

* Faixa IPs: 10.0.0.X/24

Configurações
Partindo do ponto de que os dois servidores já estão devidamente configurados e navegando na Internet repassando a navegação para redeInterna e seus clientes via NAT, iremos configurar o Server VPN namatriz.

Antes de mais nada, devemos habilitar duas opções no menu Ip> firewall > Service Ports, clique com o botão direito eselecione enable em “GRE” e “PPTP”.

Abra o servidor Mikrotik pelo winbox, acesse o menu ppp. Naprimeira guia Interfaces clique na opção PPTP Server marque a opção enable.

Na segunda guia, “secrets”, crie um usuário para conectar ao Server pela VPN:

Usuário: teste
Senha: teste
Local address: 10.0.0.1
Remote address: 10.0.0.2

Dessa forma seu servidor estará preparado para ouvir e autenticar requisições PPTP. Ainda falta configurar as rotas nesseservidor para que as máquinas internas possam ver a outra rede e vice-versa. Vá em Ip > routes e crie as duas rotas abaixo:

Primeira Rota: 10.0.0.0/24 > gateway 192.168.0.1
Segunda Rota: 192.168.10.0/24> Gateway 10.0.0.2

A rota 10.0.0.0/24 apontando para o gateway 192.168.0.1 indicaque a rede usada pela vpn será roteada pelo ip 192.168.0.1 que é daplaca interna do servidor e a rota 192.168.10.0/24 indica que a rede interna do servidor da filial será roteada pelo ip remoto que o servidor da filial receberá quando conectar.

Configuramos o servidor da matriz, agora vamos para o servidor da Filial:

Vá em PPP, na aba Interfaces crie o usuário para se conectar conforme abaixo:

Server: 201.200.200.200
user: teste
password: teste

Clique em ok e logo o usuário já se conectará ao outro servidor, dessa forma você já poderá testar do próprio servidor Mikrotik se está pingando para o IP de alguma maquina na rede internada matriz.

Para que suas máquinas na Filial com a faixa 192.168.10.X possam acessar as máquinas da matriz você terá que criar a mesma estrutura de rotas que foi criada para na matriz só que direcionandopra sua rede interna, abaixo:

Primeira Rota: 10.0.0.0/24 > gateway 192.168.10.1
Segunda Rota: 192.168.0.0/24> Gateway 10.0.0.1

Bom pessoal, com isso estaremos com a vpn funcionando nos dois pontos caso queiram adicionar mais pontos é só seguir o mesmo raciocínio. Outra coisa, você pode também criar um usuário para acessarde qualquer máquina Windows diretamente em rede assistente para novas conexões e marcar a opção conectar-me a uma vpn.

A execução virtual do protocolo da redundância do router (VRRP). O protocolo de VRRP é usado para assegurar o acesso constante a alguns recursos. Dois ou mais routeres (consultados como routeres de VRRP neste contexto) criam o conjunto disponível da altamente – (igualmente consultado como routeres virtuais) com falha dinâmica sobre. Cada router pode participar em não mais de 255 routeres virtuais por a relação. Muitos routeres modernos suportam este protocolo.As instalações da rede com conjuntos de VRRP fornecem a disponibilidade elevada para routeres sem usar certificados.

Descrição

O protocolo virtual da redundância do router é um protocolo da eleição que forneça a disponibilidade elevada para routeres. Um número de routeres podem participar em uns ou vários routeres virtuais. Uns ou vários IP address podem ser atribuídos a um router virtual. Um nó de um router virtual pode estar em um dos seguintes estados:

• Estado MASTER, quando o nó responder a todos os pedidos aos IP address do exemplo. Pode somente haver um nó MESTRE em um router virtual. Este nó emite pacotes da propaganda de VRRP a todos os routeres alternativos (que usam o endereço do multicast) cada ocasionalmente (ajuste na propriedade do intervalo).
• Estado BACKUP, quando o router de VRRP monitorar a disponibilidade e o estado do router mestre. Não responde a nenhuma pedidos aos IP address do exemplo. Deve dominar tornado não disponível (se três pacotes seqüenciais de VRRP são perdidos pelo menos), o processo eleitoral acontece, e o mestre novo é proclamado baseou em sua prioridade. Para mais detalhes em routeres virtuais, veja RFC2338.

Obs:

VRRP não trabalha atualmente em relações de VLAN, porque é impossível ter o MAC address de uma relação de VLAN diferente do MAC address da relação que física é colocar sobre.

VRRP Routers

Sub-menu em nível: vrrp de /ip

Descrição

Um número de routeres de VRRP podem dar forma a um router virtual. O número máximo de conjuntos em uma rede é 255 cada que têm um VRID original (identificação virtual do router). Cada router que participa em um conjunto de VRRP deve tê-lo jogo de prioridade a um valor válido.

authentication (nenhuma | simples | ah; defeito: nenhuns) – método de autenticação usar-se para pacotes da propaganda de VRRPnone – nenhuma autenticação
simple – autenticação do texto liso
ah – encabeçamento da autenticação usando o algoritmo HMAC-MD5-96
interface (nome) – nome que da relação o exemplo está funcionando sobre

interval (inteiro: 1..255; defeito: 1) – intervalo da actualização de VRRP nos segundos. Define como freqüentemente o mestre do conjunto dado emite pacotes da propaganda de VRRP

name (nome) – nome atribuído do exemplo de VRRP

on-backup (nome; defeito: “”) – script para executar quando o interruptor do nó ao estado alternativo

on-master (nome; defeito: “”) – script para executar quando o interruptor do nó para dominar o estado

password (texto; defeito: “”) – a senha exigida para a autenticação dependendo do método usado pode ser ignorada (se nenhuma autenticação usada), corda de texto longa de 8 caráteres (para a autenticação do plain-text) ou corda de texto longa de 16 caráteres (128-bit fecham exigido para AH a autenticação)

preemption-mode (sim | não; defeito: sim) – se a modalidade do preemption está permitidaNo. – um nó alternativo não será elegido para ser um mestre até a falha mestra atual mesmo se o nó alternativo tem uma prioridade mais elevada do que o mestre atual
Yes. - o nó mestre tem sempre a prioridade

priority (inteiro: 1..255; defeito: ) – prioridade 100 do nó atual (prioridade mais elevada do meio dos valores mais elevados) 255 – O RFC exige que o router que possui os IP address atribuídos a este exemplo teve a prioridade de 255

vrid (inteiro: 0..255; defeito: 1) – identificador virtual do router (deve ser original em uma relação)

nos proximos post’s continuo….