Cómo configurar una VPN con mikrotik

DrBoom del grupo «Mikrotik España (Spain)» de telegram nos explica cómo configurar una VPN con mikrotik mediante terminal.

Consideraciones previas

Si ya tenías el router en uso, valora hacer una copia de la configuración por si algo se tuerce en el Menu/Files (1). Pulsas botón Backup (2) y en la nueva ventana le pones nombre a la copia. No creo que necesites encriptación. Pulsas Backup y se crea un nuevo archivo en la raíz. Si ese archivo lo guardas en el PC o en la nube también parece buena idea.

Configuración en winbox

Abrimos Winbox y nos logueamos en la mikrotik para la que estamos configurando el VPN.

Nos vamos a:

Winbox > New Terminal

Activamos el dyndns de mikrotik introduciendo lo siguiente en el terminal:

/ip cloud set ddns-enabled=yes

Clicas intro y seguimos.

Ahora creamos un nuevo pool para la VPN editando el rango IP por el de nuestra VPN:

/ip pool add name=vpn-pool ranges=192.168.89.2-192.168.89.254

Creamos un nuevo perfil de conexión, copia del default-encryption cambiando la IP por la de nuestra VPN:

/ppp profile add copy-from=default-encryption name=vpn-profile local-address=192.168.89.1 remote-address=vpn-pool interface-list=LAN

Creamos un nuevo usuario para el servidor l2tp:

/ppp secret add name=PericoElDeLosPalotes password=Ar4scA-P1j0! service=l2tp

Clicas intro y seguimos.

Creamos las reglas de firewall y NAT para permitir el tráfico de la VPN:

/ip firewall filter add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=udp place-before=2
/ip firewall filter add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp place-before=2

Y aquí editamos el rango IP por la de nuestra VPN:

/ip firewall nat add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24

Impedimos el acceso al propio router, a menos que venga de una IP LAN o de la VPN cambiando los datos por la IP de tu Red, ya sea la 192.168.100.1 o la 192.168.1.1 (o la que tenga cada uno en su casa). Ten en cuenta que la IP acabada en 88.0 es la de tu casa y la 89.0 es la del VPN:

/ip service set www address=192.168.88.0/24,192.168.89.0/24
/ip service set winbox address=192.168.88.0/24,192.168.89.0/24

Activamos el servidor L2TP/IPSec, con un secreto de clave compartida para IPSec fuerte:

/interface l2tp-server server set enabled=yes use-ipsec=yes ipsec-secret=Arr3and0Ke3sGu3Rund1O! authentication=mschap2 default-profile=vpn-profile

Y ya estaría!

Para cualquier duda o consulta tienes disponible el grupo de telegram «Domoticz a lo Spain» para entrar, ponerte cómodo y participar cuanto quieras.

Clica aquí para entrar en él

Cualquier duda, sugerencia o comentario será bien recibida en la web!