VPN com Mikrotik

Uma Rede Particular Virtual (Virtual Private Network – VPN)é uma rede de comunicações privada normalmente utilizada por umaempresa ou um conjunto de empresas e/ou instituições, construída emcima de uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros.

Criação de VPN entre matriz e filial de uma empresa usando servidores Mikrotik nas duas pontas.

Levando em consideração a seguinte estrutura:

Matriz:

* Rede Local: 192.168.0.X/24
* Ip local do Servidor: 192.168.0.1
* Ip Internet do Servidor: 201.200.200.200

Filial:

* Rede Local: 192.168.10.X/24
* Ip local do Servidor: 192.168.10.1
* Ip Internet do Servidor: 189.50.1.200

VPN:

* Faixa IPs: 10.0.0.X/24

Configurações
Partindo do ponto de que os dois servidores já estão devidamente configurados e navegando na Internet repassando a navegação para redeInterna e seus clientes via NAT, iremos configurar o Server VPN namatriz.

Antes de mais nada, devemos habilitar duas opções no menu Ip> firewall > Service Ports, clique com o botão direito eselecione enable em “GRE” e “PPTP”.

Abra o servidor Mikrotik pelo winbox, acesse o menu ppp. Naprimeira guia Interfaces clique na opção PPTP Server marque a opção enable.

Na segunda guia, “secrets”, crie um usuário para conectar ao Server pela VPN:

Usuário: teste
Senha: teste
Local address: 10.0.0.1
Remote address: 10.0.0.2

Dessa forma seu servidor estará preparado para ouvir e autenticar requisições PPTP. Ainda falta configurar as rotas nesseservidor para que as máquinas internas possam ver a outra rede e vice-versa. Vá em Ip > routes e crie as duas rotas abaixo:

Primeira Rota: 10.0.0.0/24 > gateway 192.168.0.1
Segunda Rota: 192.168.10.0/24> Gateway 10.0.0.2

A rota 10.0.0.0/24 apontando para o gateway 192.168.0.1 indicaque a rede usada pela vpn será roteada pelo ip 192.168.0.1 que é daplaca interna do servidor e a rota 192.168.10.0/24 indica que a rede interna do servidor da filial será roteada pelo ip remoto que o servidor da filial receberá quando conectar.

Configuramos o servidor da matriz, agora vamos para o servidor da Filial:

Vá em PPP, na aba Interfaces crie o usuário para se conectar conforme abaixo:

Server: 201.200.200.200
user: teste
password: teste

Clique em ok e logo o usuário já se conectará ao outro servidor, dessa forma você já poderá testar do próprio servidor Mikrotik se está pingando para o IP de alguma maquina na rede internada matriz.

Para que suas máquinas na Filial com a faixa 192.168.10.X possam acessar as máquinas da matriz você terá que criar a mesma estrutura de rotas que foi criada para na matriz só que direcionandopra sua rede interna, abaixo:

Primeira Rota: 10.0.0.0/24 > gateway 192.168.10.1
Segunda Rota: 192.168.0.0/24> Gateway 10.0.0.1

Bom pessoal, com isso estaremos com a vpn funcionando nos dois pontos caso queiram adicionar mais pontos é só seguir o mesmo raciocínio. Outra coisa, você pode também criar um usuário para acessarde qualquer máquina Windows diretamente em rede assistente para novas conexões e marcar a opção conectar-me a uma vpn.

Vejo hoje muitos provedores utilizando faixas de ip que não são reservadas para redes internas, e isso é um erro pois a internet é constituida por endereços IP versão 4, quatro sequencias decimais de 0 a 255 são usadas para isso. Acontece que para haver comunicação numa rede cada computador deve possuir um endereço único, como o número de computadores é muito superior a de endereços válidos disponíveis, foram reservados faixas para uso privado livre, estes endereços, listados abaixo, não estão autorizados a trafegar na internet e para isso é necessário empregar NAT para que computadores com estes ips:

169.254.0.0/16
192.168.0.0/16
10.0.0.0/8
172.16.0.0/16

Usar ips fora da faixa RFC1918 resulta nos seguintes problemas:
- Se você colocar o ip 40.40.40.40 em um computador na rede local, este computadores estará usando um ip de algum servidor existente na internet, logo o site ou serviço que use este ip na internet não poderá ser acessado.
- Softwares de servidores, roteadores, access points são projetados obedecendo as regras internacionais (RFC’s), infringí-las pode resultar em mal funcionamento envolvendo estes equipamentos.

Outra coisa que observo sempre é duvidas a respeito de mascaras de rede, e coloquei abaixo uma lista de quantos hosts cada rede pode ter com determinada mascara:

mascara – numero de hosts
8/255.0.0.0 – 16.777.216
16/255.255.0.0 – 65.536
20/255.255.240.0 – 4096
21/255.255.248.0 – 2048
22/255.255.252.0 – 1028
23/255.255.254.0 – 512
24/255.255.255.0 – 256
25/255.255.255.128 – 128
26/255.255.255.192 – 64
27/255.255.255.224 – 32
28/255.255.255.240 – 16
29/255.255.255.248 – 8
30/255.255.255.252 – 4
31/255.255.255.254 – 2
32/255.255.255.255 – 1

Fica ai a dica ….

Um identificador universal original (UUID) é um padrão do identificador usado na construção do software, criado pela fundação de software aberto (OSF) como parte do Distributed Computing Environment (DCE).

A intenção de UUIDs é permitir sistemas distribuídos de identificar excepcionalmente a informação sem coordenação central significativa.

Assim, qualquer um pode criar um UUID e usá-lo para identificar algo com confiança razoável que o identificador que esta sendo usado nunca irar se repetir mesmo involuntariamente por qualquer um para qualquer outra coisa. A informação etiquetada com UUIDs pode conseqüentemente mais tarde ser combinada em uma única base de dados sem precisar de resolver os conflitos conhecidos. O uso o mais difundido deste padrão está em identificadores originais de Microsoft global – (GUIDs). Outros usos significativos incluem o filesystem de ext2/ext3 do linux, as divisórias cifradas LUKS, o GNOME, os KDE, e o Mac OS X, que usam as execuções derivadas da biblioteca do uuid encontrada no pacote de e2fsprogs.
Definição

Um UUID é (128-bit) um número 16-byte. O número de UUIDs teórica possível é conseqüentemente 216 o × 8 = 2128 = 25616 ou aproximadamente 3.4 o × 1038. Isto significa que 1 trilhão UUIDs teriam que ser criados cada nanossegundo por ligeiramente mais de 10 bilhão anos para esgotar o número de UUIDs.

Em seu formulário canônico, um UUID consiste em 32 dígitos hexadecimal indicado em 5 grupos separados por hífens, no formulário 8-4-4-4-12 para um total de 36 caráteres (32 dígitos e 4 “-”). Por exemplo:

550e8400-e29b-41d4-a716-446655440000

Um UUID pode igualmente ser usado com um identificador específico usado intencionalmente repetidamente para identificar a mesma coisa em contextos diferentes. Por exemplo, no modelo de objeto componente de Microsoft, cada componente deve executar a relação de IUnknown, que é feita criando um UUID que representa IUnknown. Em todos os casos onde quer que IUnknown seja usado, se está sendo usado por um processo que tenta alcançar a relação de IUnknown em um componente, ou por um componente que executa a relação de IUnknown, é provido sempre pelo mesmo identificador: 00000000-0000-0000-C000-000000000046.
Versão 1 (MAC address)

Conceptual, (versão 1) o esquema original da geração para UUIDs era concatenar a versão de UUID com o MAC address do computador que está gerando o UUID, e com o número dos intervalos 100-nanosegundos desde a adoção do calendário gregoriano no oeste. Na prática, o algoritmo real é mais complicado. Este esquema foi criticado que não é suficientemente “opaco”; revela a identidade do computador que gerou o UUID e o tempo em que fêz assim.
Versão 2 (segurança do DCE)

A versão 2 UUIDs é similar à versão 1 UUIDs, com o byte superior da seqüência do pulso de disparo substituída pelo identificador para “domínio local” (tipicamente de “domínio POSIX UID” ou de “domínio POSIX GID”) e os primeiros 4 bytes do timestamp substituído por POSIX UID ou GID do usuário (com “a indicação do identificador do domínio local”).
Versão 3 (mistura MD5)

Uso de UUIDs da versão 3 um esquema que deriva um UUID através de MD5 de um URL, um Fully Qualified Domain Name, um identificador do objeto, um distinto nome (DN um pouco usado no Directory Access Protocol ), ou em nomes em namespaces nãos especificado. A versão 3 UUIDs tem o formulário xxxxxxxx-xxxx-3xxx-xxxx-xxxxxxxxxxxx com dígitos hexadecimais x.

Para determinar a versão 3 UUID de um nome dado o UUID do namespace, por exemplo 6ba7b810-9dad-11d1-80b4-00c04fd430c8 para um domínio, é transformado a uma corda dos bytes que correspondem a seus dígitos hexadecimais, concatenada com o nome da entrada, junto com o MD5 que rende 128 partes. Seis partes são substituídas pelos valores fixos, quatro destas indicam a versão, 0011 para a versão 3. A mistura fixa é transformada finalmente de novo no formulário hexadecimal com os hífens que separam as peças relevantes em outras versões de UUID.
Versão 4 (aleatória)

Uso de UUIDs da versão 4 um esquema que confia somente em números aleatórios. Este algoritmo ajusta o número de versão assim como duas partes reservadas. Todo o restante são ajustados usando uma origem de dados aleatória ou pseudo-randonicos. A versão 4 UUIDs tem o formulário xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx com dígitos hexadecimais x e os dígitos hexadecimais 8, 9, o A, ou o B para Y, exemplo:

f47ac10b-58cc-4372-a567-0e02b2c3d479.
Versão 5 (mistura SHA-1)

Uso de UUIDs da versão 5 um esquema com hashing SHA-1, se não é a mesma idéia que em RFC 4122 da versão 3. indica que a versão 5 está referida sobre a versão 3 UUIDs baseada em nome.
Probabilidade aleatória de UUID duplicatas

UUIDs aleatória gerado como aqueles gerados pela classe de java.util.UUID tem 122 partes aleatórias. Há 128 partes completamente com as 4 partes que estão sendo usados para a versão (“UUID aleatória gerado”), e 2 partes para a variação (“Lixivie-Salz “). Com UUIDs aleatório, a possibilidade de dois que têm o mesmo valor pode ser calculada usando a teoria de probabilidade (paradoxo de aniversário).

68.719.476.736 = 236 / 0.0000000000000004 (4 × 10−16)

2.199.023.255.552 = 241 / 0.0000000000004 (4 × 10−13)

70.368.744.177.664 = 246 / 0.0000000004 (4 × 10−10)

Para por estes números na perspectiva, seu risco anual de batida por um meteorito é estimado para ser uma possibilidade em 17 bilhões, que significa que a probabilidade é aproximadamente 0.00000000006 (6 × 10−11), equivalente às probabilidades de criar alguns dez dos trilhões de UUIDs em um ano e de ter uma duplicata. Ou seja, somente depois a geração de 1 bilhão UUIDs a cada segundo pelos próximos 100 anos, a probabilidade de criar apenas uma duplicata seria aproximadamente 50%. A probabilidade de uma duplicata seria aproximadamente 50% assim cada pessoa na terra possui 600 milhões UUIDs.

Entretanto, estas probabilidades prendem somente para geradores criptograficamente seguros do número pseudo-randonicos. Estes devem ser usados para gerar os valores, se não a probabilidade das duplicatas pode ser significativamente mais elevada, desde que a dispersão estatística pode ser mais baixa.
História

O projeto inicial de DCE UUIDs foi baseado em UUIDs como definido no sistema de computação de rede, cujo o projeto por sua vez foi inspirado pelos identificadores originais (64-bit) definido e usado pervasively em Domain/OS, o sistema de exploração projetado pela Apollo Computer Inc.

abaixo codigo para gerar UUID em php:

<?

function uuid() {

return sprintf(’%04x%04x-%04x-%03×4-%04x-%04x%04x%04x’,
mt_rand(0, 65535), mt_rand(0, 65535), // 32 bits for “time_low”
mt_rand(0, 65535), // 16 bits for “time_mid”
mt_rand(0, 4095),  // 12 bits before the 0100 of (version) 4 for “time_hi_and_version”
bindec(substr_replace(sprintf(’%016b’, mt_rand(0, 65535)), ‘01′, 6, 2)),
mt_rand(0, 65535), mt_rand(0, 65535), mt_rand(0, 65535) // 48 bits for “node”
);
}

echo uuid();

echo “<br><br>”;

$token = uniqid(””);
echo $token;

?>