Hola a todos!!! Bueno, este es mi primer post así que espero que les guste. Les voy a explicar como unir 2 redes LAN remotas mediante dos routers Mikrotik de una manera sencilla y sin tener que saber mucho acerca de configuración avanzada.


Una VPN es un "tunel" por donde pueden ser transportada información de manera segura (Los paquetes viajan encriptados) usando como medio de transporte Internet. Este tipo de conexión vamos a usar en este ejemplo.
En mi trabajo, nos vimos con la necesidad de unir dos LAN por pedido de un cliente, ya que este quería lograr conectividad transparente para los usuarios al intentar conectarse desde la sucursal hacia algún recurso de casa central y viceversa. También puede servir en el caso que ustedes y algún amigo tengan Mikrotik y quieran compartir archivos o jugar mediante una conexión segura entre sus redes.

Inicialmente configuramos básicamente dos Mikrotik en los dos lugares y armamos una VPN IPSEC para que cree un túnel seguro y como este protocolo enruta de manera nativa, en pocos minutos teniamos conexión entre las dos oficinas.

Este cliente en su sucursal tenía una conexión a Internet muy inestable y eso nos trajo problemas con IPSEC. Se desconectaba solo y a veces no volvía a conectarse hasta no reiniciar los dos routers. Luego de buscar una solución a este problema, dimos con que configurando una VPN PPTP gateway-to-gateway, esta era menos proclive a desconectarse ante fallas de la conexión a Internet y ademas soportaba reconexión automática.

Las direcciones IP que muestro a continuación son solo de ejemplo, si las reemplazan por las que ustedes tengan funcionaría de igual manera. Pueden copiar los comandos, reemplazar los nombres de las interfaces y las IP con el Bloc de notas, mediante Winbox abren "New Terminal", pegan ahí lo copiado y listo!
Cabe aclarar que para que se establezca la comunicación entre las dos redes, estas tienen que tener diferentes rango de IP.

Configurando la VPN PPTP gateway-to-gateway

Router1 (Casa central):

Configuramos las IP en las interfaces:

LAN:


/ip address
add address=10.0.0.254/24 broadcast=10.0.0.255 comment="" disabled=no
interface=lan network=10.0.0.0

En este caso la conexión a Internet es por cablemodem así que la interfaz de "WAN" obtiene IP mediante el "dhcp-client".
Muy importante en este es que queden las opciones "add-default-route=yes" y "use-peer-dns=yes". La primera setea la ruta por defecto y la segunda permite que se usen los DNS del ISP.

/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0 disabled=no
interface=wan use-peer-dns=yes use-peer-ntp=yes

Los DNS. Tiene que estar la opción "allow-remote-requests=yes" para que el router actúe como DNS cache y los equipos de la red puedan resolver nombres de dominio en IPs.

/ip dns
set allow-remote-requests=yes

Configuramos el "masquerade" para que haga NAT de las IP de la LAN por la IP publica hacia Internet.

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan

Protegemos básicamente el router.

/ip firewall filter
add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp
add action=drop chain=input comment="" connection-state=invalid disabled=no



Router2 (Sucursal)


/ip address
add address=10.0.1.254/24 broadcast=10.0.1.255 comment="" disabled=no
interface=lan network=10.0.1.0


/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0 disabled=no
interface=wan use-peer-dns=yes use-peer-ntp=yes


/ip dns
set allow-remote-requests=yes


/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan


/ip firewall filter
add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp
add action=drop chain=input comment="" connection-state=invalid disabled=no





Y lo mas importante...

OK, hasta acá tendriamos las dos oficinas con conexión a Internet pero nada mas. Para configurar la VPN, en Router1:

En Winbox vamos al menú PPP > Secrets. Mediante el boton "+" agregamos una cuenta. En Name ponemos "sucursal", en Password, por ej. 123456, en la lista desplegable Profile elegimos "default-encryption", en Local Address la IP de LAN del router (10.0.0.254), en Remote Address 10.0.0.200 y damos Apply.

Como unir 2 redes LAN con Mikrotik...

En la solapa Interface en la lista desplegable del botón "+" elegimos PPTP Server. En la ventana que se abre en User pondremos "sucursal" que era el usuario que anteriormente creamos. Damos Apply.

vpn

Finalmente cliqueamos el botón "PPTP Server", marcamos "Enable" y nos aseguramos que en Default Profile este seleccionado "default-encryption".

mikrotik


En el Router2 mediante Winbox vamos al menú PPP, desde el botón "+", elegimos PPTP Client, en la ventana seleccionamos la solapa "Dial Out". En "Connect To" ingresamos la IP publica del Router1, en este caso por ejemplo sería 192.168.10.164, en User ponemos "sucursal" y en Password "123456". Nuevamente nos aseguramos que en Profile figure "default-encryption" y damos Apply.

pptp

Si esta todo bien, automáticamente cuando den Apply en la lista de Interface el "PPTP Client" va figurar como "Connected". Eso significa que ya esta conectado al otro router mediante la VPN. Lo podemos comprobar fácilmente si desde el menu Tools le hacemos un ping a la IP de la LAN del router de Casa central (10.0.0.254) y este responde.

gateway-to-gateway

Ahora tenemos respuesta del Router1 hacia el Router2, pero si prueban al revés no va a funcionar. Lo que sucede en ese caso es que los paquetes IP no conocen "el camino de vuelta" por decirlo de alguna manera, entonces nosotros se lo vamos a enseñar.

En el Router1 vamos a IP > Routes, con el "+" añadimos una ruta estática. En Destination ponemos la red remota (10.0.1.0/24) y en Gateway ingresamos la IP que le otorga el PPTP Server al "usuario" "sucursal" (10.0.0.200).

Como unir 2 redes LAN con Mikrotik...

De la misma manera en el Router2 agregamos una ruta estática. En Destination ponemos la red remota 10.0.0.0/24 y en Gateway la IP de LAN del Router1 (10.0.0.254). Aplicamos.

vpn


Finalizando...

Ahora, si hacemos ping entre los routers a sus IP de LAN van a responder los dos, igualmente si lo hacemos entre dos equipos de las 2 redes.

mikrotik






Bueno, esto es todo por ahora. Espero les sirva como a mi!!!

Saludos!!!