Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS · Największe centrum szkoleniowe...
Transcript of Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS · Największe centrum szkoleniowe...
Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS
Największe centrum szkoleniowe Mikrotik w PolsceUl. Ogrodowa 58, Warszawa
• Centrum Warszawy• Bliskość dworca kolejowego
• Komfortowe klimatyzowane sale szkoleniowe
Agenda
✓ Trochę teorii o VPN
✓ Podział wg topologii połaczenia
✓ Podział wg technologii
✓ SSTP
✓ L2LP
✓ IPIP
✓ IPSEC
✓ Czas na praktykę
✓ Scenariusz VPN road warrior SSTP z certyfikatami dla
klientów MS Windows
✓ Scenariusz VPN road warrior L2TP z IPSEC dla
klientów z Android/ISO
✓ Scenariusz VPN site-site w technologii IPIP z IPSEC
✓ Rozbudowa scenariusza o routing dynamiczny OSPF
Podział VPN wg topologii połączenia
Site-2-Site
INTERNET
192.168.10.55/24
Adresacja połączeniowa
Router A 83.139.66.12
172.16.10.1VPN
213.161.100.169
10.115.30.121/24
172.16.10.2
10.115.30.122/24
Router B
192.168.10.23/24
192.168.10.54/24
Podział VPN wg topologii połączenia
Road-warrior
INTERNET
192.168.10.55/24
Adresacja połączeniowa
NAT
172.16.10.254VPN
213.161.100.169
10.0.0.9/24
172.16.10.4
RouterVPN
192.168.10.23/24
Podział VPN wg technologii
PPP (Point to Point Protocol)
✓ PPTP – uznany za niebezpieczny, traci znaczenie, wycofywane wsparcie natywne (np.
Apple). Wymaga otwartego portu TCP/1723 oraz protokołu GRE
✓ L2TP – szeroko stosowany, często łączony z IPSEC, Wymaga otwarcia na firewall:
UDP/1701 (opcjonalnie jeśli z IPSEC: UDP/500 ; UDP/4500, protokół ESP)
✓ SSTP – następca PPTP, silna kryptografia, natywne wsparcie na systemach Microsoft
Windows. Dobrze się sprawdza przy road warrior, domyślnie działa na porcie TCP/443.
IPIP – technologia wymaga po obu stronach publicznego adresu IP. Po każdej stronie tworzone
są interfejsy (L3). Dobrze się nadaje do późniejszego użycia w scenariuszach z OSPF.
IPSEC – zestaw protokołów wykorzystywany do tworzenia bezpiecznego połączenia. Szeroko
stosowany, wsparcie na większości urządzeń. Stosunkowo skomplikowana konfiguracja
Konieczna jest aktywna paczka ppp
Użytkownicy▪ login▪ hasło▪ adresacja ppp▪ profil z dodatkowymi ustawieniami▪ …
Profile (dodatkowe ustawienia)▪ adresacja ppp▪ kompresja▪ czy dane powinny być szyfrowane▪ …
Interface▪ podłączeni klienci▪ my jako klienci sieci VPN▪ uruchomienie serwerów (PPTP, SSTP,
L2TP, OVPN)▪ …
PPP (Poin to Point Protocol)
PPP (Poin to Point Protocol)Uruchomienie serwera
login
hasło
ustawienia dodatkowe
adresacja pppstrona routera
adresacja pppstrona klienta
ograniczenie adresu IP, z którego klient może się podłączyć
Usługi do jakich klient będzie mógł się podłączyć
PPP (Poin to Point Protocol)
PPP Profile
Gdy mamy wielu użytkowników usług PPP możemy zdefiniować zakres (pulę) adresów (podobnie jak dla DHCP), który będzie przydzielany.
W tym wypadku nie podajemy LocalAddress, Remote Address. Dane zostaną pobrane z konfiguracji profile-mwtc
IPIP
Konfiguracja dotyczy Router A
INTERNET
192.168.10.55/24
Adresacja połączeniowa
Router A
10.20.30.2/30
213.161.100.169
10.0.0.9/24
Router B
83.139.151.32
10.20.30.1/30
Nadanie adresu IPPodanie w tym miejscu hasła wygeneruje default konfigurację IPSecWymagane wyłączenie Fast Path
INTERNET
Adresacja interfejsu IPIP
Router A 45.32.156.35
172.16.10.2/30
45.32.158.93
192.168.1.1/24
172.16.10.1/30
Router B
192.168.2.1/24
IPSec
IPIP + IPSEC
INTERNETRouter A 45.32.156.35 108.61.197.87
192.168.1.1/24
Router B
192.168.3.1/24
IPSec
IPSEC
Routing dynamiczny
Klasyfikacja protokołów routingu
Ze względu na rodzaj sieci w jakich funkcjonują▪ Wewnętrzne: IGRP, RIP, iBGP, IS-IS▪ Zewnętrzne: eBGP
Routing dynamicznyOSPF / Open Shortest Path First
▪ używa algorytmu Shortest Path / najkrótszej ścieżki▪ aktualizacje są wyzwalane zdarzeniami▪ krótki czas potrzebny na synchronizację▪ zużywa mniej pasma niż protokoły distance vector▪ zapobiega powstawaniu pętli w routingu▪ używa wspólnego obrazu sieci▪ jest złożony obliczeniowo▪ informacje o stanie łącza wysyła do wszystkich routerów w sieci
(wewnątrz obszaru, do którego należy)
OSPF / Open Shortest Path First
BACKBONE 0.0.0.0
ASBR
AREA 1.1.1.1
ABR
SWITCH
INTERNET
OSPFkonfiguracja
ASBR – routery posiadające trasy zewnętrzne, spoza OSPF
ABR – routery pracujące w więcej niż jednym obszarze
Obszary w jakich pracuje nasz router, typ obszaru : nssa, stub
Sieci jakie rozgłasza nasz router
Definiujemy Router IDRedystrybucja:▪ Trasy domyślnej▪ Tras bezpośrednio połączonych▪ Tras BGP▪ Tras RIP
Sąsiedztwa nawiązane przez nasz router
Ręczne dodawanie sąsiadóww środowisku typu NBMA
▪ Interface’y, na których pracuje OSPF▪ Koszt linku▪ Priorytet (elekcja DR)▪ Uwierzytelnienie▪ Typ połączenia: PtP, broadcast, nbma
OSPFRozgłaszanie Tras
Redystrybucja pozwala na automatyczne rozgłaszanie tras o jakich dowiedział się router. Metoda ta jest wygodniejsza niż ręczne dodawanie tras, jakie chcemy rozgłaszać. Należy jednak pamiętać, żeby zablokować rozgłaszanie tras za pomocą filtrów, jeżeli jednak zdecydujemy się na ograniczoną redystrybucję.
RedystrybucjaNetworks
NetworksWymaga ręcznego dodania każdej z sieci(prefixu) jaką zamierzamy rozgłaszać. Dodatkowo informuje router, iż do interface’u posiadającego adres należący do wskazanej tutaj sieci mogą podłączyć inne routery OSPF.
Dziękujemy za uwagę
Zapraszamy na :
Szkolenia certyfikowane Mikrotik Autorskie warsztaty
Aktualny kalendarz szkoleń dostępny na stronie http://mwtc.pl