VPN IPSec Mikrotik Site2Site | ES Tecnologia https://eltonsimoes.wordpress.com/2015/07/20/vpn-ipsec-mikrotik-site...

ES Tecnologia

Compartilhando conhecimento em TI!

VPN IPSec Mikrotik Site2Site

20 de julho de 201529 de julho de 2015 eltonsimoes Mikrotik, Redes de Computadores,

Segurana IPSec, MikroTik, VPN
Ol pessoal, nesse post de hoje irei tratar sobre um assunto de conectividade em redes de
computadores muito conhecido como VPN. A Virtual Private Network nada mais do que um tnel
criptografado privado entre dois locais geogracamente distantes. Ou seja, por meio da internet
posso criar uma rede virtual para conectar lugares diferentes, como por exemplo, um lial com sua
matriz, ou ainda um simples computador sua rede corporativa. Abaixo possvel ilustrar como
essa conectividade acontece.

Nessa imagem possvel ver de forma geral como se

congura a conectividade entre matriz e liais de uma
empresa. Observe que o elo de ligao a Internet que
por esta razo devemos levar muito em considerao,
pois por se tratar de uma zona livre preciso ter
bastante cuidado com a segurana dos dados que
trafegam nesse tnel. Basicamente, quando uma rede
quer enviar dados para a outra rede atravs da VPN,
um protocolo, exemplo IPSec (h p://pt.wikipedia.org
/wiki/IPsec) que ser tratado nesse post, faz o
(h ps://eltonsimoes.les.wordpress.com encapsulamento do quadro normal com o cabealho
/2015/06/vpn.png) IP da rede local e adiciona o
Figura 1 Viso geral VPN cabealho IP da Internet atribuda ao roteador, um
cabealho AH, que o cabealho de autenticao e o
cabealho ESP, que o cabealho que prov
integridade, autenticidade e criptograa rea de dados do pacote. Quando esses dados
encapsulados chegarem outra extremidade, feito o desencapsulamento do IPSec e os dados so
encaminhados ao referido destino da rede local.

Para esse post iremos exemplicar uma conexo VPN entre a lial Recife e matriz Fortaleza da gura
1. Onde ambas tem um IP valido e MikroTik em suas bordas.

Primeira coisa que iremos fazer mapear e desenhar a rede, veja abaixo cenrio que iremos utilizar:

1 de 5 28/07/2016 03:24
VPN IPSec Mikrotik Site2Site | ES Tecnologia https://eltonsimoes.wordpress.com/2015/07/20/vpn-ipsec-mikrotik-site...

(h ps://eltonsimoes.les.wordpress.com
/2015/07/cenario_vpn2.jpg)

Figura 2 Cenrio

Agora iremos partir para pratica. Estou partindo do pressuposto que voc j saiba como congurar o
MK, como os endereo IP, NAT, DNS e gateway default. Para essa congurao iremos usar um
mtodo de inserir as conguraes via linha de comando, que nada mais do que inserir os cdigos
abaixo dentro da prompt do MK.

Vamos dividir por etapas essa congurao:

1 IPsec: Peers, Policies e Proposals.

Peer: o ponto remoto onde iremos conectar.

/ip ipsec peer add address=11.1.2.1/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-

shared-key secret=SuaSenha@Segura generate-policy=no policy-template-group=default exchange-
mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=md5
enc-algorithm=3des,aes-128 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m
dpd-maximum-failures=5

Policies: a tabela utilizada para determinar se as denies de segurana dever ser aplicado a um
pacote.

/ip ipsec policy add src-address=192.168.0.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any

protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=10.1.1.2
sa-dst-address=11.1.2.1 proposal=default priority=0

Proposal: informaes proposta que ser enviada por IKE daemon para estabelecer SAs para est
poltica.

2 de 5 28/07/2016 03:24
VPN IPSec Mikrotik Site2Site | ES Tecnologia https://eltonsimoes.wordpress.com/2015/07/20/vpn-ipsec-mikrotik-site...

(h ps://eltonsimoes.les.wordpress.com
/2015/07/ipsec_proposal.png)

Figura 3 IPsec Proposal

Na tela acima iremos marcar apenas o item md5 da opo Auth. Algorithms.

Observao: essas conguraes aplicam-se a ambos os sites (Matriz e Filial). Lembrando sempre de
mudar os endereos IPs. Acima esto as congurao para o site Matriz. No site Filial mude apenas
os IPs.

2 Firewall

Na tabela Filter iremos adicionar a seguinte regra:

/ip rewall lter add chain=input action=accept src-address=11.1.2.1

dst-address=10.1.1.2 log=no log-prex=

E na tabela NAT iremos adicionar um regra tambm:

/ip rewall nat add chain=srcnat action=accept src-address=192.168.0.0/24

dst-address=192.168.1.0/24 log=no log-prex=

3 Route

Na tabela de rotas iremos adicionar uma simples rota, conforme imagem abaixo. Lembrando de fazer
em ambos MikroTik mudando os IPs.

3 de 5 28/07/2016 03:24
VPN IPSec Mikrotik Site2Site | ES Tecnologia https://eltonsimoes.wordpress.com/2015/07/20/vpn-ipsec-mikrotik-site...

(h ps://eltonsimoes.les.wordpress.com
/2015/07/ipsec_route1.png)

Figura 4 Rota

Por m, aps concluir as conguraes em ambos MK, observe nas abas Remote Peers e Installed
SAs se existe alguma conexo. Caso tenha ento tudo o que voc fez est correto. Outro teste
pingar entre os sites e tentar realizar conexes remotas.

Por hoje s, caso tenham duvidas e/ou sugestes no deixe de comentar.

At a prxima!!!!!

2 comentrios sobre VPN IPSec Mikrotik

Site2Site

1. Tony Moura disse:

21 de julho de 2015 s 11:51 pm
show de bola amigo Elton. Grande Abrao!!!

Responder (h ps://eltonsimoes.wordpress.com/2015/07/20/vpn-ipsec-mikrotik-site2site
/?replytocom=35#respond)
eltonsimoes disse:
30 de julho de 2015 s 10:34 am

4 de 5 28/07/2016 03:24
VPN IPSec Mikrotik Site2Site | ES Tecnologia https://eltonsimoes.wordpress.com/2015/07/20/vpn-ipsec-mikrotik-site...

Obrigado nobre amigo Tony Moura!

Responder (h ps://eltonsimoes.wordpress.com/2015/07/20/vpn-ipsec-mikrotik-site2site
/?replytocom=36#respond)

Blog no WordPress.com. (h ps://wordpress.com/?ref=footer_blog) Tema Big Brother

(h ps://wordpress.com/themes/big-brother/).

5 de 5 28/07/2016 03:24