Mikrotik ipsec VPN

Facebook Twitter Email

En este artículo vamos a unir dos sedes remotas utilizando Mikrotik ipsec VPN. Ésta solución nos servirá para interconectar dos sedes remotas de manera segura a través de internet. Para nuestra configuración seguiremos este diagrama:

Ejemplo Mikrotik ipsec VPN

Configuración Mikrotik ipsec VPN.

Antes de comenzar debemos de tener en cuenta algunas consideraciones, la primera es que las redes LAN en cada oficina deben ser diferentes, en caso contrario, aunque se establezca el túnel, los paquetes no se transmitirán al otro extremo. Por otro lado, hay que verificar que las ips públicas de cada sede se ven a través de un ping. Finalmente debes de tener cuidado si estás detrás de un router adsl o similar que utilice NAT ya que tendrías que configurar ipsec en modo ESP y no AH además de abrir el puerto 500 en udp para que el intercambio de claves pueda llevarse a cabo.

Lo primero que debemos hacer es configurar los interfaces. Configuraremos primeramente el interface LAN de la primera sede siguiendo nuestro esquema:

Interface LAN MKT ipsec VPN

A continuación configuraremos el interface WAN.

Configuración WAN MKT ipsec VPN

Luego crearemos una política ipsec que nos permita levantar un tunnel.

Politica General Mikrotik ipsec

Acciones de Política ipsec VPN

Para terminar la configuración en el apartado ipsec tenemos que añadir la configuración del extremo opuesto del túnel, así como la forma en la que vamos a validarnos contra dicho extremo.

Peer Configuration ipsec VPN

Por último, sólo nos quedaría configurar una política NAT que convierta las direcciones ips de la LAN local en direcciones válidas en la red remota.

MKT ipsec VPN NAT rule

MKT ipsec NAT Action

Con esto habremos configurado el primer equipo Mikrotik, si has llegado hasta este punto la configuración del otro peer no te resultará complicada ya que sólo tienes que realizar la configuración en el sentido inverso.

Puedes obtener más información sobre Mikrotik e ipsec en este enlace: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

 

 

53 pensamientos en “Mikrotik ipsec VPN

  1. Pingback: Mikrotik Ipsec detrás de router NAT - Juan Manuel Nogueira Blog

  2. Ricardo Sosa

    Juan Manuel:

    Quiero poner una VPN con ipseg y estoy leyendo tu blog con la manera en que hiciste la configuración, que se ve muy sencilla de realizar. Sin embargo en mi caso, tengo 2 conexiones de internet y tengo habilitado en mikrotik el balanceo de carga. ¿Qué debo considerar para definir las 2 VPN con ipsec y continuar con el balanceo de carga?. De antemano te doy las gracias por la atención.

    Responder
    1. JMNogueira Autor

      Hola Ricardo,

      Cuando he tenido que montar una VPN con un balanceo he tenido que elegir en cual de las dos líneas debo configurar la VPN. Ten en cuenta que en ambas sedes debes configurar un peer, es decir, la ip pública de cada sede por lo que el túnel no podrá estar balanceado.

      Al menos hasta donde yo he probado.

      Un saludo.

      Responder
  3. Ricardo

    Hola amigo en mi caso el mikrootick q tengo esta detras de un router tengo una Ip publica e cada local, mi duda es si dicha IP publica la debo reemplazar en lugar del 10.0.x.x?

    Responder
    1. JMNogueira Autor

      Hola Ricardo!

      Por un lado decirte que detrás de un router que hace NAT es una labor un poco complicada. Por otro lado, respondiendo a tu pregunta, te diré que por un lado debes de usar la ip pública en el apartado remote peers pero en la ipsec policy action debes de configurar las ips privadas de las dos redes que pretendes unir.

      Mi recomendación es que trates de configurar en modo bridge al menos alguno de los routers y configures la ip pública directamente en el MKT. Esto te ahorrará multitud de problemas.

      Un saludo y gracias por tu consulta!!

      Responder
  4. JMNogueira Autor

    Buenas Ricardo,

    Creo que podrías seguir este Post pero entiende que cada caso es diferente y que en el ejemplo hay al menos una sede cuyo MKT está directamente conectado a Internet (Sin pasar por routers y sobre todo sin NAT).

    ipsec detrás de NAT

    Si lo ves muy complicado siempre puedes utilizar otro protocolo para unir sedes remotas como OVPN o PPTP.

    Un saludo.

    Responder
  5. Max

    ¿Si una de las dos mikrotik tiene una direccion dinamica?

    En otros entornos, el extremo con IP fija se configura con ip origen de cliente 0.0.0.0, indicando que puede venir de cualquier ip…Como se trata en Mikrotik?

    Responder
  6. Juan

    Hola, tengo 02 mikrotik en en la sede principal y la remota, ademas tengo un router ISP deltante de ellos,
    necesito hacer un tunel:

    Cual tunel seria el mas recomendable, el la sede principal tenemos una ip publica fija y en la remota una ip publica dinamica, y solo puedo colocar en modo bridge el router ISP de la sede reomota mas no el router que tiene la ip publica fija, ademas en este router no tenemos acceso a la configuracion.

    Podrias ayudarme con este problema.

    Responder
    1. JMNogueira Autor

      Buenas,

      La verdad es que tal y como lo pintas es un poco complicado. Verás, cuando no es posible configurar los routers en modo transparente es más sencillo utilizar OpenVPN o un tunel PPTP, sin embargo, en ambos casos es necesario acceder a la configuración del router y redirigir los puertos hacia el mikrotik.

      Por otro lado, en la sede que tienes ip estática no tienes acceso a la gestión del router y en la sede remota tienes ip dinámica y gestión del router.

      ¿Qué haría yo? Hablar con el proveedor de servicios de la sede principal y acceder al router o pedir que ellos realicen las modificaciones por mi. Luego configuraría el router de la sede remota, el de la ip dinámica, como iniciador del túnel con el protocolo que más te convenga contra el router de la sede principal, el de la ip estática.

      Espero haberte sido de ayuda.

      Un saludo!

      Responder
      1. Juan

        Podrias indicarme de que manera redirecciono los puertos al mikrotik para hacer un tunel pptp o openvpn, porque puedo solicitar al proveedor que me abras los puertos, pero indicame exactamente que es lo que tengo que hacer en mi situacion.

        Mira mi red es la siguiente

        LAN PRINCIPAL 192.168.3.0/24
        LAN REMOTA 192.168.2.0/24

        RED ROUTER AMERICATEL 192.168.1.0/24 IP PUBLICA FIJA: 190.187.19.170
        RED ROUTER REMOTO 192.168.0.1/24 IP PUBLICA DINAMICA (ESTE ROUTER LO PUEDO COLOCAR EN MODO BRIDGE)

        Espero puedas ayudarme, y agradezco de antemano tu apoyo.

        Responder
        1. JMNogueira Autor

          Buenas,

          Aquí tienes un enlace en el que se explica perfectamente como crear un túnel ovpn entre dos equipos MKT.
          Respecto al puerto, el servicio ovpn funciona en 1194 TCP/UDP.

          Un saludo,

          Responder
  7. fernando

    Hola, te hago una consulta:
    Tengo 2 rb750 con una vpn ipsec entre ellos. Quiero agregar otra WAN en uno de ellos para que todos los accesos a internet que no tengan que ir a traves de la vpn sean mediante esta wan y por la otra wan ya existente solo vaya el trafico de la vpn. Es para que la VPN no ande lenta. Se entiende lo que pretendo?
    Tienes informacion sobre como hacerlo, algun manual o link. (no estoy seguro como hacerlo y no solo he encontrado informacion de load balancing)

    Responder
    1. JMNogueira Autor

      Buenas Fernando,

      Creo que en algún sitio he hecho esto mismo que planteas. Verás, en un principio creo que sólo puedes levantar el túnel desde una de las interfaces públicas por lo que de momento todo el tráfico lo tienes por ahí. Luego lo más sencillo sería jugar con las reglas de NAT indicando que todo el tráfico con destino a Internet salga por la interface que no realiza el túnel.

      Con eso debería ser suficiente olvidándonos por supuesto de cualquier tipo de balanceo.

      Un saludo!

      Responder
  8. Alejandro

    Hola Juan,
    Una consulta: Tengo un tunel IPSec levantado. Los remote peers aparecen, pero hago un ping desde la oficina central a la oficia remota y todo OK, pero cuando hago un ping desde la oficina remota a la oficina central no puedo alcanzar a ningún host de la red central. Podrías darme alguna idea de lo que puede ser?
    De antemano gracias y saludos,
    Alejandro

    Responder
    1. JMNogueira Autor

      Buenas,

      Si puedes hacer un ping desde una de las sedes a la otra significa que el túnel está correctamente establecido. Ten en cuenta que el protocolo icmp es un protocolo de verificación y si te responde significa que los paquetes son capaces de llegar a su destino y volver. Ambos equipos son Mikrotik? En cualquier caso puede tratarse con bastante probabilidad de un problema con el firewall, una de las sedes está descartando el tráfico de la red remota.

      Un saludo.

      Responder
  9. Pingback: Crear una VPN site to site entre dos oficinas con Mikrotik y fibra | SmythSys IT Consulting

  10. David

    hola a todos
    me podrian ayudar con este tema porfa….
    tengo dos sxt lite 5 instalados en diferente locales donde es ahi les llega el internet cada uno de los clientes
    1.- quiero tener en red los dos locales
    2.-pregunto ??? ¿es suficiente tener solo los sxt o necesito equipos adicionales para enlazarlos
    3.- la distancia que esta un local del otro es de 200 mts
    4.- la ip de la wan del sxt 1 es la 172.16.4.23/23 y la ip del sxt 2 es la 172.16.4.24/23
    5.- la ip de la lan es la 192.168.88.x /24

    quisiera me ayudaran con este tema
    gracias
    saludos

    Responder
    1. JMNogueira Autor

      Puedes configurarlos en modo bridge y funcionarán como si fuera un cable entre los dos locales.

      Sólo tienes que configurar el enlace, y luego crear un bridge en cada sxt y meter dentro el interface eth y el wlan.

      Un saludo.

      Responder
  11. Raphael Moraes

    Hola Juan,
    Tenho uma dúvida, poderia me ajudar. Tenho um Tunel IPSEC igual ao explicado aqui. A conexão (remote peers ) esta OK, porém não consigo trafegar nada neste tunel.

    Não ha restrição de firewall em nenhuma das pontas.

    obrigado
    saudações do brazil

    Responder
        1. JMNogueira Autor

          Buenas,

          Cuando creas el tunnel indicas las redes que puedes alcanzar en cada extremo. Si haces un tracert desde una ubicación a la otra.. ¿Qué camino siguen los paquetes? Indicas que el túnel está establecido pero ¿se incrementan los contadores de tráfico?

          Responder
          1. Raphael Moraes

            Rede Lan del mikrotik = 10.198.200.0/24
            IP Mikrotil (LAN) = 10.198.200.1
            Rede remoto = 10.198.0.0/24

            Esto es uno trace por CMD del windows :

            C:\Users\PDV>tracert 10.198.0.254

            Rastreando a rota para 10.198.0.254 com no máximo 30 saltos

            1 <1 ms <1 ms

            E este es uno trace del mikrotik

            [admin@MikroTik] > /tool traceroute 10.198.0.248
            # ADDRESS LOSS SENT LAST AVG BEST WORST
            1 192.168.1.1 0% 64 0.2ms 0.2 0.1 2.1
            2 200.187.80.220 0% 64 1.1ms 3.6 0.7 35.5
            3 200.187.80.201 0% 64 0.8ms 2.5 0.6 43.8
            4 201.46.32.106 68.. 64 timeout 1.4 1.3 1.9
            5 201.46.32.106 57.. 64 timeout 1.5 1.3 3.2
            6 201.46.32.106 56.. 64 timeout 1.4 1.3 3.6
            7 201.46.32.106 52.. 64 timeout 1.6 1.3 5.9
            8 0% 0 0ms

            onde miro los contadores de trafico VPN?

            Gracias

          2. Raphael Moraes

            Corrigindo , este es lo trace del windows

            C:\Users\PDV>tracert 10.198.0.254

            Rastreando a rota para 10.198.0.254 com no máximo 30 saltos

            1 <1 ms <1 ms

          3. JMNogueira Autor

            Buenas,

            A la vista del tracert el tráfico no está saliendo por el túnel ipsec sino que sale por la ruta por defecto.

            EL contador de tráfico de ipsec lo puedes ver dentro de la conexión ipsec. Busca en SA (Security Asociations) y en Keys para ver si se han asociado correctamente.

            Recuerda que el protocolo ipsec es bastante complicado de hacer funcionar si tienes por delante del mikrotik un router adsl que hace NAT. Verifica que los routers sean NAT-Transversal compilant.

            Un saludo.

          4. Raphael Moraes

            [admin@MikroTik] /ip ipsec statistics> /ip ipsec installed-sa print
            Flags: A – AH, E – ESP
            0 E spi=0x914190E src-address=MEU_IP_MATRIZ dst-address=192.168.1.100 state=dying
            auth-algorithm=sha1 enc-algorithm=3des auth-key=”08f050e4d8345f2607872302c9c18777733″
            enc-key=”08f5be6db1b5344000773451dcdec6a0144f279e3ae767″ add-lifetime=19h12m/1d replay=4

            1 E spi=0x3FA2B4F src-address=192.168.1.100 dst-address=MEU_IP_MATRIZ state=dying
            auth-algorithm=sha1 enc-algorithm=3des auth-key=”5219232023448ba9ed9403de78417cd1db8cf3″
            enc-key=”c6cbc8b54a066da2c136f3454fa28b59d10da13b” add-lifetime=19h12m/1d replay=4

            [admin@MikroTik] /ip ipsec statistics> /ip ipsec remote-peers print
            0 local-address=192.168.1.100 remote-address=MEU_IP_MATRIZ state=established side=initiator
            established=11m45s

            SA esta OK.

            si cambio el mikrotik por Monowall , pfSense o dlink , el vpn funciona correctamente.

            Gracias

  12. Xavier

    Hola Juan te queria hacer una consulta, levante VPN IPSEC entre 2 microtik, hago ping de un lado al otro a los router microtik pero a las ip de los pc no puedo hacer ping, que puede estar pasando…..gracias

    Responder
      1. Xavier

        Buenas tardes la vpn funciona puedo hacer pingpon a las Wan y a los router de lado y lado pero no puedo hacer piña ni ingresar a ninguna pc de ningún lado.

        Responder
  13. Roman

    Hola, Juan. He seguido tu tutorial para realizar un tunel ipsec. Basandose en tu ejemplo:
    192.168.10.0/24 – LAN 1
    192.168.10.1 – ip interna del mikrotik 1
    10.0.0.1 – ip externa del mikrotik 1
    *********************************
    192.168.11.0/24 – LAN 2
    192.168.11.1 – ip interna del mikrotik 2
    10.0.0.2 – ip externa del mikrotik 2
    *********************************
    Ahora realizando ping por cmd desde un ordenador de LAN1 (192.168.10.93) hasta ip interna del mikrotik2 (192.168.11.1) me va bien, pero a la hora de hacer ping desde un ordenador de LAN1 (192.168.10.93) hasta un ordenador de LAN2 (192.168.11.204) no tengo la respuesta (tiempo de espera agotado para esta solicitud). Y lo mismo ocurre al hacer ping desde LAN2 a LAN1.

    Segunda pregunta es que si hago ping por terminal de (192.168.10.1 – ip interna del mikrotik 1) hasta ip interna del mikrotik2 (192.168.11.1) no tengo la respuesta (tiempo de espera agotado para esta solicitud).

    Como se puede solucionar esto?

    Muchas gracias

    Responder
  14. Sergio Fuentes Cabrera

    Buenos días Ricardo, tengo configurada una VPN site to site entre dos microtik tal y como describes en este artículo y observo que solo hay tráfico en un sentido, veo en los ficheros log que el túnel está establecido e incluso hago ping desde el router de la sede A al de la sede B y viceversa pero no a los equipos que hay detrás, el servicio que tengo de internet en ambas sedes es PPPoE por lo que no tengo ningún equipo delante que me pueda bloquear el tráfico ipSec y en el firewall tengo creadas las reglas para aceptar scrNAT de los puertos 500, 1701, 1723 y 4500 además de las propias para el NAT de las dos redes pero no consigo saber la causa de este problema. Los segmentos de área local son en una sede 192.168.88.0/24 y en otra 192.168.1.0/24 las ip´s públicas son fijas y responden al ping. Ya no se me ocurre nada más que probar. En INSTALLED SA´S aparecen las dos sedes pero solo en una de ellas (de la sede A a la sede B) se ve tráfico, de la B a la A no. Me gustaría saber si alguna vez te ha pasado algo parecido y como lo resolviste o si se te ocurre que puede ser. Muchas gracias.

    Responder
    1. JMNogueira Autor

      Buenas,

      Disculpa el retraso en responder.

      Si el túnel está establecido tiene buena pinta. Por otro lado, ¿me dices que puedes hacer un ping desde la ip lan de un router al otro? Quizás lo que te falte sea crear una regla que natee el tráfico entre la sede A y la sede B.

      Asegúrate de que tienes el firewall desactivado en el equipo al que le lanzas pines. Más de una vez me he vuelto loco y ese era el problema.

      Finalmente, si no lo ves siempre puedes hacer un tracert y ver por dónde van los paquetes.

      Un saludo!

      Responder
  15. Sergio Fuentes Cabrera

    Perdón Juan , te he llamado Ricardo, es que estoy con varias cosas a la vez y me he confundido…discúlpame.

    Responder
  16. Matias

    Buenas, siguiendo tu instructivo llegue a armar una VPN entre un Mikrotik y un Cisco RV042. El tema es que si bien la VPN esta establecida, no “pueden verse”. Le hago ping desde u router al otro y nada, desde una PC a otra remota y nada. Obviamente desde dentro de la misma red si puedo… sabes que puede ser? Muchas gracias!

    Responder
  17. Jonatan Macon

    Hola Ricardo! me surge un problema al intentar levantar VPN IPSEC entre routers Mikrotik. Cuando las VPN las realizo entre Mikrotik y Cisco RV0XX funcionan a la perfeccion.
    En el log de ambos Mikrotik me aparece el siguiente error:

    Phase 1 Negotiation Failed due time up (ip publica sitio A)[500] (ip publica sitio B)[500]

    Como puedo solucionar ese error?

    Desde ya muchas gracias por tu ayuda.

    Responder
  18. Lucio Gili

    HOla a todos!! Veran quiero hacer una vpn de modo tal que las PC de la red remota vean un controlador de dominio en la red principal y poder unirlas. Esta configuracion me sirve??

    Responder
    1. JMNogueira Autor

      Buenas Lucio,

      Si lo que quieres es conectar dos sedes esta configuración te sirve. No obstante, si son muchos clientes windows los que estarán en el otro extremo del enlace quizás debas plantearte montar un controlador de dominio en cada sede.

      Un saludo.

      Responder
      1. Lucio Gili

        Gracias por la respuesta. Ahora mi consulta es la siguiente. Tengo un LINKSYS LRT214 en la sede central. Configure una vpn GATEWAY TO GATEWAY como debo configurar el microtik de la sede remota para que se conecte a la vpn?

        Responder
        1. JMNogueira Autor

          Buenas,

          No te sabría decir. Supongo que el router Linksys tendrá una serie de protocolos de VPN disponibles. Si dispones de ips públicas directamente en tus dos equipos (sin pasar por NAT me refiero) yo probaría por L2TP/IPsec pero me he entrado casos en los que con CISCO no me ha funcionado. Luego probaría quizás con L2TP, si no funciona OVPN y en última instancia, si no quedara más remedio entonces PPTP pero filtrando a través del firewall las ips que establecen el túnel.

          Un saludo.

          Responder
          1. Lucio Gili

            Logre hacer funcionar la vpn y ademas se ven las redes. EL unico problema es que la red (vpn) esta muy lenta. NO veo consumo de recursos en el Mkt y en el LRT214 tampoco. En la sede central tengo un servicio de 50 DOWNLOAD Y 5 DE UPLOAD y en la sucursal tengo un 12 download x 3 upload. No creo que mi problema sea por los servicios de internet. Algo me esta faltando no se si es en el firewall del MKT o alguna regla de NAT de algun puerto o bien he leido sobre el MTU .

  19. Oscar

    Buenos días Juan Manuel.

    ¿Qué modelo de Mikrotik me recomiendas usar para montar túneles entre 4 sedes, todas ellas con fibra?, he visto alguno pero las bocas me ponen fast ethernet, por lo que me bajaría la velocidad.

    Otra pregunta. Si yo hago los túneles entre las 4 sedes como tú lo explicas (gracias), luego podría hacer una conexión cliente para UN solo ordenador, fuera de entre esas 4 sedes?, sabes cómo sería? (pista).

    Eso es todo, mil gracias.

    Responder
  20. Marcelo Calle

    Hola muchas gracias por compartir tu conocimiento, el problema que tengo es que necesito hacer una VPN entre dos oficinas pero en ambos casos mi ISP me esta dando IPs dinamicas, es decir no tengo IPs publicas, lo que queria saber es si puedo realizar esta conexion sin la necesidad de tener ips publicas, si me pudieras explicar como sera genial.
    Un saludo y mcuhas gracias

    Responder
  21. Oscar

    Buenos días Juan.

    He hecho todo el tutorial paso a paso, pero no consigo hacer ping desde una sede a otro pc de la otra sede, solamente lo consigo a los routers, desde un pc de una red al router del otro y al reves. ¿Qué puedo estar haciendo mal?

    Responder
  22. Dario

    hola, te hago una consulta Juan, tunel ipsec ambas puntas con ip publica fija, se establece el tunel, perfectamente pero no tengo comunicación entre las redes, cabe señalar que esta hecho el nat.

    Responder
        1. JMNogueira Autor

          /ip firewall nat
          add action=masquerade chain=srcnat dst-address=(red destino) src-address=(red origen)

          Esta regla debe de estar la primera en ambos routers.

          Saludos.

          Responder
          1. Dario

            a si si, esta la de nat, es muy raro, se establece la vpn pero no tengo comunicacion entre las lan ni las puntas de los router

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *