Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

Największe centrum szkoleniowe Mikrotik w PolsceUl. Ogrodowa 58, Warszawa

• Centrum Warszawy• Bliskość dworca kolejowego

• Komfortowe klimatyzowane sale szkoleniowe

MikroTik Warsaw Training Center

Michał Filipek

Piotr Wasyk

michal@mwtc.pl piotr@mwtc.pl

Agenda

✓ Trochę teorii o VPN

✓ Podział wg topologii połaczenia

✓ Podział wg technologii

✓ SSTP

✓ L2LP

✓ IPIP

✓ IPSEC

✓ Czas na praktykę

✓ Scenariusz VPN road warrior SSTP z certyfikatami dla

klientów MS Windows

✓ Scenariusz VPN road warrior L2TP z IPSEC dla

klientów z Android/ISO

✓ Scenariusz VPN site-site w technologii IPIP z IPSEC

✓ Rozbudowa scenariusza o routing dynamiczny OSPF

Podział VPN wg topologii połączenia

Site-2-Site

INTERNET

192.168.10.55/24

Adresacja połączeniowa

Router A 83.139.66.12

172.16.10.1VPN

213.161.100.169

10.115.30.121/24

172.16.10.2

10.115.30.122/24

Router B

192.168.10.23/24

192.168.10.54/24

Podział VPN wg topologii połączenia

Road-warrior

INTERNET

192.168.10.55/24

Adresacja połączeniowa

NAT

172.16.10.254VPN

213.161.100.169

10.0.0.9/24

172.16.10.4

RouterVPN

192.168.10.23/24

Podział VPN wg technologii

PPP (Point to Point Protocol)

✓ PPTP – uznany za niebezpieczny, traci znaczenie, wycofywane wsparcie natywne (np.

Apple). Wymaga otwartego portu TCP/1723 oraz protokołu GRE

✓ L2TP – szeroko stosowany, często łączony z IPSEC, Wymaga otwarcia na firewall:

UDP/1701 (opcjonalnie jeśli z IPSEC: UDP/500 ; UDP/4500, protokół ESP)

✓ SSTP – następca PPTP, silna kryptografia, natywne wsparcie na systemach Microsoft

Windows. Dobrze się sprawdza przy road warrior, domyślnie działa na porcie TCP/443.

IPIP – technologia wymaga po obu stronach publicznego adresu IP. Po każdej stronie tworzone

są interfejsy (L3). Dobrze się nadaje do późniejszego użycia w scenariuszach z OSPF.

IPSEC – zestaw protokołów wykorzystywany do tworzenia bezpiecznego połączenia. Szeroko

stosowany, wsparcie na większości urządzeń. Stosunkowo skomplikowana konfiguracja

Konieczna jest aktywna paczka ppp

Użytkownicy▪ login▪ hasło▪ adresacja ppp▪ profil z dodatkowymi ustawieniami▪ …

Profile (dodatkowe ustawienia)▪ adresacja ppp▪ kompresja▪ czy dane powinny być szyfrowane▪ …

Interface▪ podłączeni klienci▪ my jako klienci sieci VPN▪ uruchomienie serwerów (PPTP, SSTP,

L2TP, OVPN)▪ …

PPP (Poin to Point Protocol)

PPP (Poin to Point Protocol)Uruchomienie serwera

login

hasło

ustawienia dodatkowe

adresacja pppstrona routera

adresacja pppstrona klienta

ograniczenie adresu IP, z którego klient może się podłączyć

Usługi do jakich klient będzie mógł się podłączyć

PPP (Poin to Point Protocol)

PPP Profile

Gdy mamy wielu użytkowników usług PPP możemy zdefiniować zakres (pulę) adresów (podobnie jak dla DHCP), który będzie przydzielany.

W tym wypadku nie podajemy LocalAddress, Remote Address. Dane zostaną pobrane z konfiguracji profile-mwtc

IPIP

Konfiguracja dotyczy Router A

INTERNET

192.168.10.55/24

Adresacja połączeniowa

Router A

10.20.30.2/30

213.161.100.169

10.0.0.9/24

Router B

83.139.151.32

10.20.30.1/30

Nadanie adresu IPPodanie w tym miejscu hasła wygeneruje default konfigurację IPSecWymagane wyłączenie Fast Path

INTERNET

Adresacja interfejsu IPIP

Router A 45.32.156.35

172.16.10.2/30

45.32.158.93

192.168.1.1/24

172.16.10.1/30

Router B

192.168.2.1/24

IPSec

IPIP + IPSEC

INTERNETRouter A 45.32.156.35 108.61.197.87

192.168.1.1/24

Router B

192.168.3.1/24

IPSec

IPSEC

Routing dynamiczny

Klasyfikacja protokołów routingu

Ze względu na rodzaj sieci w jakich funkcjonują▪ Wewnętrzne: IGRP, RIP, iBGP, IS-IS▪ Zewnętrzne: eBGP

Routing dynamicznyOSPF / Open Shortest Path First

▪ używa algorytmu Shortest Path / najkrótszej ścieżki▪ aktualizacje są wyzwalane zdarzeniami▪ krótki czas potrzebny na synchronizację▪ zużywa mniej pasma niż protokoły distance vector▪ zapobiega powstawaniu pętli w routingu▪ używa wspólnego obrazu sieci▪ jest złożony obliczeniowo▪ informacje o stanie łącza wysyła do wszystkich routerów w sieci

(wewnątrz obszaru, do którego należy)

OSPF / Open Shortest Path First

BACKBONE 0.0.0.0

ASBR

AREA 1.1.1.1

ABR

SWITCH

INTERNET

OSPFkonfiguracja

ASBR – routery posiadające trasy zewnętrzne, spoza OSPF

ABR – routery pracujące w więcej niż jednym obszarze

Obszary w jakich pracuje nasz router, typ obszaru : nssa, stub

Sieci jakie rozgłasza nasz router

Definiujemy Router IDRedystrybucja:▪ Trasy domyślnej▪ Tras bezpośrednio połączonych▪ Tras BGP▪ Tras RIP

Sąsiedztwa nawiązane przez nasz router

Ręczne dodawanie sąsiadóww środowisku typu NBMA

▪ Interface’y, na których pracuje OSPF▪ Koszt linku▪ Priorytet (elekcja DR)▪ Uwierzytelnienie▪ Typ połączenia: PtP, broadcast, nbma

OSPFRozgłaszanie Tras

Redystrybucja pozwala na automatyczne rozgłaszanie tras o jakich dowiedział się router. Metoda ta jest wygodniejsza niż ręczne dodawanie tras, jakie chcemy rozgłaszać. Należy jednak pamiętać, żeby zablokować rozgłaszanie tras za pomocą filtrów, jeżeli jednak zdecydujemy się na ograniczoną redystrybucję.

RedystrybucjaNetworks

NetworksWymaga ręcznego dodania każdej z sieci(prefixu) jaką zamierzamy rozgłaszać. Dodatkowo informuje router, iż do interface’u posiadającego adres należący do wskazanej tutaj sieci mogą podłączyć inne routery OSPF.

Dziękujemy za uwagę

Zapraszamy na :

Szkolenia certyfikowane Mikrotik Autorskie warsztaty

Aktualny kalendarz szkoleń dostępny na stronie http://mwtc.pl