{"id":5095,"date":"2021-04-27T19:01:06","date_gmt":"2021-04-27T22:01:06","guid":{"rendered":"https:\/\/blog.clusterweb.com.br\/?p=5095"},"modified":"2021-04-27T19:01:07","modified_gmt":"2021-04-27T22:01:07","slug":"como-estabelecer-vpn-site-a-site-com-roteadores-mikrotik","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=5095","title":{"rendered":"Como estabelecer VPN site a site com roteadores Mikrotik"},"content":{"rendered":"

Aqui est\u00e1 um r\u00e1pido tutorial sobre como criar t\u00fanel VPN IPSec Site To Site com Mikrotik RB RouterOS 6.46.1 em ambos os lados.<\/span><\/p>\n

Antes de come\u00e7armos, aqui est\u00e3o algumas coisas que voc\u00ea deve ter em mente:<\/span><\/p>\n

Esta \u00e9 a configura\u00e7\u00e3o que estou usando apenas em ambientes de teste, n\u00e3o em produ\u00e7\u00e3o.\u00a0Eu recomendaria criar t\u00faneis IPSec baseados em certificado para produ\u00e7\u00e3o, n\u00e3o aqueles com chave pr\u00e9-compartilhada (este tutorial \u00e9 com chave pr\u00e9-compartilhada).\u00a0<\/span><\/p>\n

Certifique-se de ter roteamento funcional e redes configuradas antes de tentar isso.\u00a0Voc\u00ea precisa ser capaz de se comunicar normalmente (ping se habilitado no firewall) todos os pontos p\u00fablicos no futuro t\u00fanel IPSec.\u00a0<\/span><\/p>\n

Esta configura\u00e7\u00e3o \u00e9 uma configura\u00e7\u00e3o limpa, n\u00e3o h\u00e1 configura\u00e7\u00e3o Mikrotik padr\u00e3o pr\u00e9-carregada nos roteadores em que estou fazendo isso.<\/span><\/p>\n

Portanto, n\u00e3o tenho pontes ou firewalls pr\u00e9-carregados e apenas tenho rotas predefinidas criadas.\u00a0Certifique-se de configurar seu roteador seguro e protegido para ambiente de produ\u00e7\u00e3o, esta configura\u00e7\u00e3o \u00e9 apenas para mostrar em que estado o IPSec Site a Site pode funcionar.<\/span><\/p>\n

<\/p>\n

\"\"<\/figure>\n
\"\"<\/figure>\n

Existe apenas uma regra criada em Firewall |\u00a0NAT – na cadeia srcnat com a\u00e7\u00e3o mascarada.<\/span><\/p>\n

\"\"<\/figure>\n

Configura\u00e7\u00e3o para este LAB.<\/span><\/p>\n

Escrit\u00f3rio 1:<\/span><\/p>\n

Roteador 1:<\/span><\/p>\n

IP WAN: 192.168.155.131\/24<\/span><\/p>\n

Gateway padr\u00e3o: 192.168.155.2\/24<\/span><\/p>\n

Rede local: 10.50.50.0\/24<\/span><\/p>\n

PC1: 10.50.50.2\/24<\/span><\/p>\n

Escrit\u00f3rio 2:<\/span><\/p>\n

Roteador 25:<\/span><\/p>\n

IP WAN: 192.168.155.130\/24<\/span><\/p>\n

Gateway padr\u00e3o: 192.168.155.2\/24<\/span><\/p>\n

Rede local: 192.168.11.0\/24<\/span><\/p>\n

PC2: 192.168.11.2\/24<\/span><\/p>\n

Portanto, tentarei conectar sub-redes locais do Office 1 (192.168.11.0\/24) com a sub-rede local do Office 2 (10.50.50.0\/24) por meio do t\u00fanel IPSec Site to Site.<\/span><\/p>\n

Vou mostrar a configura\u00e7\u00e3o do Office 1 e voc\u00ea deve repetir essas etapas em ambos os lados.\u00a0Tamb\u00e9m mencionarei como devem ser as configura\u00e7\u00f5es do Office 2 para cada etapa realizada durante o tutorial.<\/span><\/p>\n

Vou mostrar como configurar o roteador Office 1, as mesmas etapas devem ser executadas no roteador Office 2.<\/span><\/p>\n

Escrit\u00f3rio 1:<\/span><\/p>\n

Roteador 1:<\/span><\/p>\n

IP WAN: 192.168.155.131\/24<\/span><\/p>\n

Gateway padr\u00e3o: 192.168.155.2\/24<\/span><\/p>\n

Rede local: 10.50.50.0\/24<\/span><\/p>\n

PC1: 10.50.50.2\/24<\/span><\/p>\n

\"\"<\/figure>\n

PARES<\/span><\/p>\n

Primeiro, definiremos nosso Par.\u00a0O par ser\u00e1 o roteador do Office 2 e seu endere\u00e7o IP p\u00fablico (192.168.155.130).<\/span><\/p>\n

IP |\u00a0IPSec |\u00a0guia Peers |\u00a0clique no sinal de mais (+)<\/span><\/p>\n

\"\"<\/figure>\n

Para um nome, irei inserir o Roteador 2 (voc\u00ea deve inserir o que melhor descreve sua situa\u00e7\u00e3o) e no campo Endere\u00e7o irei inserir o endere\u00e7o IP WAN de um Roteador 2 no Escrit\u00f3rio 2 (192.168.155.130).\u00a0Tamb\u00e9m alterarei o Modo de troca: para IKE2.<\/span><\/p>\n

O resto ficar\u00e1 como est\u00e1.\u00a0Aplicar OK.<\/span><\/p>\n

\"\"<\/figure>\n

(Office2 – para Office2 esta configura\u00e7\u00e3o ser\u00e1 – Router1, 192.168.155.131, IKE2)<\/span><\/p>\n

IDENTIDADES<\/span><\/p>\n

A pr\u00f3xima parada \u00e9 a guia Identidades\u00a0<\/span><\/p>\n

IP |\u00a0IPSec |\u00a0guia Identidades |\u00a0clique no sinal de mais (+)<\/span><\/p>\n

\"\"<\/figure>\n

O par ser\u00e1 o Roteador 2, M\u00e9todo de autentica\u00e7\u00e3o – chave pr\u00e9-compartilhada e no campo Segredo voc\u00ea digitar\u00e1 a senha.\u00a0Lembre-se dessa senha, pois ela \u00e9 necess\u00e1ria em ambos os lados do t\u00fanel.\u00a0<\/span><\/p>\n

Al\u00e9m disso, se voc\u00ea estiver usando uma chave pr\u00e9-compartilhada em seu ambiente de produ\u00e7\u00e3o IPSec, certifique-se de que ela tenha mais de 20 sinais (letras, n\u00fameros, caracteres especiais).<\/span><\/p>\n

Deixe o resto como padr\u00e3o.<\/span><\/p>\n

\"\"<\/figure>\n

(Escrit\u00f3rio2 – para Escrit\u00f3rio2 esta configura\u00e7\u00e3o ser\u00e1 – Roteador1, mesmo segredo inserido no Escrit\u00f3rio 1 no Roteador 1)<\/span><\/p>\n

Propostas<\/span><\/p>\n

Agora vou configurar as propostas.<\/span><\/p>\n

IP |\u00a0IPSec |\u00a0guia Propostas |\u00a0clique em * configura\u00e7\u00e3o padr\u00e3o para edit\u00e1-la<\/span><\/p>\n

\"\"<\/figure>\n

Vou apenas modificar a regra padr\u00e3o para este tutorial.\u00a0Esta guia \u00e9 totalmente sua, sobre como voc\u00ea deseja configur\u00e1-la.\u00a0Como Auth.\u00a0Algoritmos Selecionarei sha256, para Encr.Alghorithms aes-256 cbc, a vida \u00fatil ser\u00e1 de 30 minutos e o grupo PFS modp2048.<\/span><\/p>\n

Geralmente, quanto mais seguros os alghoritms, melhor.\u00a0Eu n\u00e3o recomendaria mais o md5 ou o sha1, mas terei que decidir por si mesmo.\u00a0A seguran\u00e7a deve ser prioridade na comunica\u00e7\u00e3o de rede nos dias de hoje.<\/span><\/p>\n

Certifique-se de ter a mesma configura\u00e7\u00e3o de proposta em ambos os lados.<\/span><\/p>\n

\"\"<\/figure>\n

\u00a0(Office2 – para Office2 esta configura\u00e7\u00e3o deve ser igual \u00e0 do Office 1 no Roteador 1)<\/span><\/p>\n

Perfis<\/span><\/p>\n

Novamente, para este tutorial, irei apenas editar o Perfil padr\u00e3o criado.<\/span><\/p>\n

IP |\u00a0IPSec |\u00a0guia Perfis |\u00a0clique em * configura\u00e7\u00e3o padr\u00e3o para edit\u00e1-la<\/span><\/p>\n

\"\"<\/figure>\n

Novamente, a mesma regra da guia Prioridades.\u00a0Selecione o que achar mais adequado, evite algoritmos fracos.\u00a0<\/span><\/p>\n

Algoritmos de hash: sha256, Algoritmo de criptografia: aes-256, Grupo DH: modp2048, Verifica\u00e7\u00e3o de proposta: obedecer, dura\u00e7\u00e3o – 1 dia, NAT Traversal – verificado, Falha m\u00e1xima DPD 5. Aplicar – OK.<\/span><\/p>\n

Certifique-se de ter as mesmas configura\u00e7\u00f5es em ambos os lados.<\/span><\/p>\n

\"\"<\/figure>\n

(Office2 – para Office2 esta configura\u00e7\u00e3o deve ser igual \u00e0 do Office 1 no Roteador 1)<\/span><\/p>\n

Pol\u00edticas<\/span><\/p>\n

IP |\u00a0IPSec |\u00a0guia Pol\u00edticas |\u00a0clique no sinal de mais (+)<\/span><\/p>\n

\"\"<\/figure>\n

Na Aba Geral da Nova Pol\u00edtica IPSec, em Peer I selecionarei o Peer – Router2 criado.\u00a0Tamb\u00e9m verificarei o T\u00fanel, em Src.Address entrarei na sub-rede LAN do Office1 local – 10.50.50.0\/24.\u00a0Em Dst.Address, entrarei na sub-rede LAN remota do Office2 remoto – 192.168.11.0\/24 e deixarei todo o resto como padr\u00e3o.<\/span><\/p>\n

\"\"<\/figure>\n

(Office2 – para Office2 esta configura\u00e7\u00e3o com endere\u00e7os em ordem diferente – Roteador1, T\u00fanel verificado, Endere\u00e7o Src: 192.168.11.0\/24, Endere\u00e7o Dst 10.50.50.0\/24)<\/span><\/p>\n

Em seguida, na guia A\u00e7\u00e3o, deixarei tudo padr\u00e3o.<\/span><\/p>\n

\"\"<\/figure>\n

(Office2 – para Office2 esta configura\u00e7\u00e3o \u00e9 a mesma)<\/span><\/p>\n

Aba Status – n\u00e3o h\u00e1 nada a mudar, \u00e9 apenas o status da conex\u00e3o com IPs p\u00fablicos do Peer.<\/span><\/p>\n

\"\"<\/figure>\n

(Office2 – para Office2 esta configura\u00e7\u00e3o \u00e9 a mesma)<\/span><\/p>\n

Agora, quando voc\u00ea terminar esta mesma configura\u00e7\u00e3o no Office2 (\u00e9 claro com diferen\u00e7as nas configura\u00e7\u00f5es de IP, conforme mencionado durante o tutorial), quando voc\u00ea terminar de criar a pol\u00edtica, dever\u00e1 ver isso na tela Pol\u00edtica.<\/span><\/p>\n

Sob o estado PH2, deve haver um estado estabelecido.<\/span><\/p>\n

\"\"<\/figure>\n

Sob os pares ativos, a situa\u00e7\u00e3o deve ser semelhante a esta<\/span><\/p>\n

\"\"<\/figure>\n

E SAs instalados tamb\u00e9m devem ser criados.<\/span><\/p>\n

\"\"<\/figure>\n

\u00c9 assim que se parece o canal estabelecido.<\/span><\/p>\n

Agora, se voc\u00ea n\u00e3o conseguir estabelecer o t\u00fanel IPSec, h\u00e1 uma s\u00e9rie de problemas que podem ser a raz\u00e3o para isso – primeiro, verifique todas as suas configura\u00e7\u00f5es de IPSec (Peer, Propostas, Segredo, Perfil, Pol\u00edtica …)<\/span><\/p>\n

Verifique as configura\u00e7\u00f5es de roteamento, gateway, NAT e firewall (em alguns casos, as portas 500, 4500, 50 e mais alguns precisam ser executados).<\/span><\/p>\n

Tive muitos problemas com o IPSec no passado e os motivos dos problemas eram diferentes e, \u00e0s vezes, muito dif\u00edceis de identificar.<\/span><\/p>\n

Agora, em PCs locais, tanto no Office1 quanto no Office2, iniciei o comando ping, mas sem sorte<\/span><\/p>\n

Comecei a executar ping em Office1 PC1 10.50.50.2 no Office 2 PC2 192.168.11.1<\/span><\/p>\n

\"\"<\/figure>\n

e vice versa<\/span><\/p>\n

\"\"<\/figure>\n

Mas sem sorte.<\/span><\/p>\n

Ok, permiti ping (ICMP) de firewalls em ambas as m\u00e1quinas, mas sem sorte.\u00a0O t\u00fanel est\u00e1 estabelecido, mas n\u00e3o h\u00e1 tr\u00e1fego por ele.<\/span><\/p>\n

Ok, ent\u00e3o precisamos mexer um pouco mais com os roteadores em ambos os escrit\u00f3rios.<\/span><\/p>\n

Novamente, vou mostrar como configurar o Office 1 e as etapas devem ser repetidas no segundo lado do t\u00fanel.<\/span><\/p>\n

IP |\u00a0Firewall<\/span><\/p>\n

\"\"<\/figure>\n

No Firewall, selecione a guia NAT e clique no sinal de mais (+)<\/span><\/p>\n

\"\"<\/figure>\n

Em Nova regra NAT em Cadeia, selecione srcnat, em Src.\u00a0Endere\u00e7o, insira a sub-rede local do Escrit\u00f3rio 1 – 10.50.50.0\/24 e em Dst.Address a sub-rede remota do Escrit\u00f3rio 2 – 192.168.11.0\/24<\/span><\/p>\n

\"\"<\/figure>\n

(Office 2 – na cadeia do Office 2 tamb\u00e9m \u00e9 srcnat, Src.Address \u00e9 192.168.11.0\/24 e Dst.Address \u00e9 10.50.50.0\/24)<\/span><\/p>\n

Guia A\u00e7\u00e3o – em A\u00e7\u00e3o, selecione Aceitar.\u00a0Confirme com Aplicar – OK<\/span><\/p>\n

\"\"<\/figure>\n

(Escrit\u00f3rio 2 – mesma configura\u00e7\u00e3o – aceitar)<\/span><\/p>\n

Depois que a regra for criada, certifique-se de que ela resida no ponto superior da guia NAT – \u00e9 muito importante que esta seja a primeira regra !!<\/span><\/p>\n

\"\"<\/figure>\n

Repita o processo do outro lado e reinicie os dois roteadores.<\/span><\/p>\n

Ap\u00f3s reiniciar, o ping deve come\u00e7ar\u00a0<\/span><\/p>\n

\"\"<\/figure>\n

O tr\u00e1fego tamb\u00e9m pode ser visto atrav\u00e9s da regra de NAT criada.<\/span><\/p>\n

\"\"<\/figure>\n

\u00c9 isso, eu tenho um t\u00fanel IPSec Site a Site funcionando.<\/span><\/p>\n

Este \u00e9 um cen\u00e1rio simples e eu fiz isso na VM.\u00a0Ao implantar isso no ambiente de teste, certifique-se de ter IPs p\u00fablicos e rotas funcionando para que os roteadores possam ver uns aos outros.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Aqui est\u00e1 um r\u00e1pido tutorial sobre como criar t\u00fanel VPN IPSec Site To Site com Mikrotik RB RouterOS 6.46.1 em ambos os lados. Antes de come\u00e7armos, aqui est\u00e3o algumas coisas que voc\u00ea deve ter em mente: Esta \u00e9 a configura\u00e7\u00e3o que estou usando apenas em ambientes de teste, n\u00e3o em produ\u00e7\u00e3o.\u00a0Eu recomendaria criar t\u00faneis IPSec […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1,730,79,42,415,495,68,271],"tags":[773,349,378,1532,297,1533,856,164],"class_list":["post-5095","post","type-post","status-publish","format-standard","hentry","category-viazap","category-clusterweb","category-firewall","category-leitura-recomendada","category-mikrotik-2","category-profissional-de-ti","category-redes-2","category-seguranca-2","tag-a","tag-com","tag-como","tag-estabelecer","tag-mikrotik","tag-roteadores","tag-site","tag-vpn"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/5095","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5095"}],"version-history":[{"count":1,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/5095\/revisions"}],"predecessor-version":[{"id":5096,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/5095\/revisions\/5096"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}