Manual:Configuración VPN entre dos oficinas (SITE to SITE) con Mikrotik

Una conexión VPN site to site permite que oficinas situadas en distintos emplazamientos puedan establecer conexiones seguras entre sí a través de una red pública como internet. Este tipo de configuraciones nos facilitan que recursos de una oficina estén disponibles para empleados que se encuentran en otra localización distinta. Un ejemplo de compañía que necesita VPNs site to site es aquella que dispone de varias sedes repartidas por el mundo. Otra de las ventajas de las VPNs site to site es que elimina la necesidad de tener software cliente instalado en los ordenadores de las sedes remotas.
El siguiente dibujo muestra un escenario tipo de VPN site to site.

Ahora pasamos a describir los pasos a seguir para configurar una VPN site to site con equipos de Mikrotik. La siguiente imagen muestra el escenarios que queremos configurar

el modelo de Mikrotik que hemos empleado para realizar esta configuracion es:
RB/951 G2HnD
Vamos a suponer que en el escenario a configurar disponemos de uno equipos DSL en cada una de las oificinas, que uno de ellos esta configurado en modo bridge, y que el ADSL de la otra oficina estará en modo router(haciendo NAT).
Configurando Mikrotik de la oficina 1:
Como hemos comentado previamente en la descripcion del escenario, supondremos que disponemos de un ADSL previo al mikrotik en modo Bridge.
Lo primero que debemos hacer es definir la parte WAN y LAN del Mikrotik, teniendo claro los puertos que corresponden a cada tipo. En este caso el puerto uno lo configuraremos como WAN y el resto como LAN mediante un bridge.

Creamos el Bridge que unifique los puertos correspondientes a la parte LAN

También configuraremos un DHCP server asignado al bridge-local con su correspondiente Pool que reparte direcciones dentro del rango 192.168.30.0/24, a excepción de la 192.168.30.1 que es la que usaremos para la LAN (Bridge) del router.

Direcciones de red: Al haber dispuesto el ADSL en modo bridge nos encontramos con la necesidad de crear un cliente PPPoe, de manera que nos podamos validar y adquirir la IP publica correspondiente. Una vez creado el cliente PPPoE tendremos algo parecido a lo siguiente:

Los siguiente pasos describen la configuración correspondiente a la VPN para esta placa de Mikrotik del a oficina 1.
Policies: Aquí debemos crear una entrada.
Pestaña general: Fijamos los siguiente valores:

• Src. Address: red que será la correspondiente a la red local (BRIDGE-LAN) de este Mikrotik.
• Dst. Address: red que será la correspondiente a la red local de la otra oficina

Pestaña Action: fijaremos los siguientes valores:

• Action: encrypt
• Level: require
• Ipsec Protocols: esp
• Tunnel: Marcado
• SA Src. Address: dirección publica a través de la cual salimos en esta oficina.
• SA Dst Address: Direccion publica a través de la cual salen en la otra oficina.

Ahora será necesario crear un Peer, para ello vamos nuevamente a la pantalla de IPSEC y seleccionamos la pestaña peer, aquí debemos crear una nueva entrada poniendo la dirección ip publica del otro punto.


Ahora iremos al apartado de firewall para configurar la parte de NAT:
debemois crear tres reglas, dos de las cuales corresponden a la VPN y la tercera que es la regla de NAT que permite el trafico de internet.

Llegados a este punto tendremos configurado uno de los equipos que formaran la VPN, para la configuración del otro punto debemos seguir los siguientes pasos.
Configurando Mikrotik de la oficina 2:
Recordemos que este dispositivo no estará en modo bridge,estará realizando NAT, lo cual nos viene a decir que tiene un dispositivo delante de el que es el que recibe la IP publica
Lo primero que debemos hacer es definir la parte WAN y LAN del Mikrotik, teniendo claro los puertos que corresponden a cada tipo. En este caso el puerto uno lo configuraremos como WAN y el resto como LAN, exactamente igual que en el otro Mikrotik que hemos configurado anteriormente.

Creamos Bridge que unifique los puertos correspondientes a la parte LAN

Le podemos configurar la parte WAN con una IP fija que no este ocupada por ningun otro dispositivo de la red a la que se conecta. Vamos a suponer que la red a la que conectamos nuestro mikrotik mediante el puerto WAN maneja el rango 172.16.1.0/24, lo que hacemos es fijar nuestra direccion para el puerto WAN en la 172.16.1.1, posteriormente fijamos la LAN del Mikrotik en la 10.0.2.0/24 quedando de la siguiente manera.

Los siguiente pasos describen la configuración de la VPN para esta Mikrotik.
Policies: Aquí debemos crear una entrada.
Pestaña general: Fijamos los siguiente valores:

• Src. Address: red que será la correspondiente a la red local (BRIDGE-LAN-W) de este Mikrotik.
• Dst. Address: red que será la correspondiente a la red local de la otra oficina

Pestaña Action: fijaremos los siguientes valores:

• Action: encrypt
• Level: require
• Ipsec Protocols: esp
• Tunnel: Marcado
• SA Src. Address: dirección publica a través de la cual salimos en esta oficina.
• SA Dst Address: Direccion publica a través de la cual salen en la otra oficina

Ahora será necesario crear un Peer, para ello vamos nuevamente a la pantalla de IPSEC y seleccionamos la pestaña peer, aquí debemos crear una nueva entrada, poniendo la dirección publica del otro punto.

Ahora iremos al apartado de firewall para configurar la parte de NAT: