Como Fechar VPN IPsec Usando Mikrotik e Contornar Overlap de IP com BINAT

Neste vídeo, mostro passo a passo como configurar uma VPN IPsec no Mikrotik, lidando com a sobreposição de IPs (overlap de IP) usando a técnica de BINAT. Se você já encontrou problemas ao configurar sua VPN devido a conflitos de endereços IP, este tutorial é perfeito para você.

O que você vai aprender:

  1. Configuração Básica do IPsec no Mikrotik: Passo a passo para configurar uma VPN IPsec.
  2. Aplicação da Técnica de BINAT: Tutorial detalhado sobre como usar BINAT para contornar problemas de sobreposição de IP.
  3. Teste e Verificação da VPN: Como testar a conexão para garantir que tudo está funcionando corretamente.

Quem deve assistir este vídeo:

  • Administradores de rede que trabalham com Mikrotik.
  • Profissionais de TI buscando aprimorar suas habilidades em VPNs.
  • Qualquer pessoa interessada em aprender mais sobre IPsec e técnicas avançadas de rede.

Materiais Necessários:

  • Um roteador Mikrotik.
  • Acesso ao Winbox ou interface de linha de comando do Mikrotik.
  • Configurações de IP e credenciais de autenticação.

Não se esqueça de: 👍 Curtir o vídeo se achar útil. 🔔 Inscrever-se no canal para mais tutoriais de rede e segurança. 📝 Deixar suas dúvidas e comentários abaixo.

MK-EMPRESA-A

/ip ipsec profile
add dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256 name=profile1 prf-algorithm=sha256

/ip ipsec peer
add address=191.125.78.2/32 exchange-mode=ike2 name=peer-empresa-b profile=profile1

/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=proposal1 pfs-group=modp2048

/ip address
add address=210.125.189.2/30 interface=ether1 network=210.125.189.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0

/ip firewall nat
add action=netmap chain=srcnat dst-address=172.16.10.0/24 src-address=192.168.100.0/24 to-addresses=10.10.10.0/24
add action=netmap chain=dstnat dst-address=10.10.10.0/24 src-address=172.16.10.0/24 to-addresses=192.168.100.0/24
add action=masquerade chain=srcnat out-interface=ether1

/ip ipsec identity
add peer=peer-empresa-b

/ip ipsec policy
add dst-address=172.16.10.0/24 peer=peer-empresa-b proposal=proposal1 src-address=10.10.10.0/24 tunnel=yes

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=210.125.189.1 routing-table=main suppress-hw-offload=no

/system identity
set name=mk-empresa-a

MK-EMPRESA-B

/ip ipsec profile
add dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256 name=profile1 \
    prf-algorithm=sha256

/ip ipsec peer
add address=210.125.189.2/32 exchange-mode=ike2 name=peer-empresa-a profile=\
    profile1

/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=proposal1 pfs-group=\
    modp2048

/ip address
add address=191.125.78.2/30 interface=ether1 network=191.125.78.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0

/ip firewall nat
add action=netmap chain=srcnat dst-address=10.10.10.0/24 src-address=\
    192.168.100.0/24 to-addresses=172.16.10.0/24
add action=netmap chain=dstnat dst-address=172.16.10.0/24 src-address=\
    10.10.10.0/24 to-addresses=192.168.100.0/24
add action=masquerade chain=srcnat out-interface=ether1

/ip ipsec identity
add peer=peer-empresa-a

/ip ipsec policy
add dst-address=10.10.10.0/24 peer=peer-empresa-a proposal=proposal1 \
    src-address=172.16.10.0/24 tunnel=yes

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=191.125.78.1 routing-table=main \
    suppress-hw-offload=no

/system identity
set name=mk-empresa-b

twitterlinkedin

Script básico de Firewall para Roteador Mikrotik

Este é um script de firewall básico que poderá ser aplicado para qualquer roteador Mikrotik 6.xx.

Segue script de configuração básica para firewall em seu roteador, descartando tráfegos desnecessários.

Por favor, preste atenção nos comentários antes de aplicar cada regra de bloqueio.

VAMOS LÁ! Primeiro precisamos criar nosso ADDRESS LIST com todos os IPs que iremos utilizar.

Abaixo você precisará alterar a rede x.x.x.x/x para o seu endereçamento de suporte. Esta rede terá acesso completo ao seu roteador..

/ip firewall address-list add address=x.x.x.x/x disabled=no list=support

Abaixo nós temos a lista bogon.

/ip firewall address-list

add address=0.0.0.0/8 comment="Identificação [RFC 3330]" disabled=no list=bogons
add address=10.0.0.0/8 comment="Privado [RFC 1918] - CLASSE A # Verifique se você precisará dessa subnet antes de ativar essa regra"\
disabled=yes list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" disabled=no list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" disabled=no list=bogons
add address=172.16.0.0/12 comment="Privado[RFC 1918] - CLASS B # Verifique se você precisará dessa subnet antes de ativar essa regra"\ 
disabled=yes list=bogons 
add address=192.168.0.0/16 comment="Privado[RFC 1918] - CLASS C # Verifique se você precisará dessa subnet antes de ativar essa regra"\ 
disabled=yes list=bogons 
add address=192.0.2.0/24 comment="Reservado - IANA - TestNet1" disabled=no list=bogons 
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" disabled=no list=bogons 
add address=198.18.0.0/15 comment="NIDB Testing" disabled=no list=bogons 
add address=198.51.100.0/24 comment="Reservado - IANA - TestNet2" disabled=no list=bogons 
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" disabled=no list=bogons 
add address=224.0.0.0/4 comment="MC, Class D, IANA # Verifique se você precisará dessa subnet antes de ativar essa regra"\ 
disabled=yes list=bogons

Agora nós temos as seguintes proteções:: SynFlood, ICMP Flood, Port Scan, Email Spam e algumas coisas a mais. Para maiores informações, leia os comentários.

/ip firewall filter

add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input \
comment="Adiciona IP Syn Flood IP na lista" connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Bloqueia da Lista de syn flood" disabled=no src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Detectando Port Scanner"\
disabled=no protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Bloqueio da lista de scan" disabled=no src-address-list=Port_Scanner
add action=jump chain=input comment="Salta para o fluxo de entrada de icmp" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=input\
comment="Bloqueia acesso total ao winbox - exceto a lista de suporte # NAO LIGUE ESSA REGRA ANTES DE ADICIONAR A SUA SUBREDE NA LISTA DE SUPORTE"\
disabled=yes dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Saltar para o fluxo de encaminhamento de icmp" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Saltar para o bogon list" disabled=no dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Adicionar Spammers na lista por 3 horas"\
connection-limit=30,32 disabled=no dst-port=25,587 limit=30/1m,0 protocol=tcp
add action=drop chain=forward comment="Bloqueio da lista de spammers" disabled=no dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Aceita DNS - UDP" disabled=no port=53 protocol=udp
add action=accept chain=input comment="Aceita DNS - TCP" disabled=no port=53 protocol=tcp
add action=accept chain=input comment="Aceita conexões estabelcidas" connection-state=established\
disabled=no
add action=accept chain=input comment="Aceita conexões relacionadas" connection-state=related disabled=no
add action=accept chain=input comment="Libera acesso total a lista de SUPORTE" disabled=no src-address-list=support
add action=drop chain=input comment="Bloqueia todo o restante! # NAO ATIVE ESSA REGRA ANTES DE TER CERTEZA DAS SUAS REGRAS DE LIBERACAO"\
disabled=yes
add action=accept chain=ICMP comment="Solitição de Eco - Bloqueio de Ping Flood" disabled=no icmp-options=8:0 limit=1,5 protocol=icmp
add action=accept chain=ICMP comment="Resposta de Eco" disabled=no icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Tempo excedido" disabled=no icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destino inalcancavel" disabled=no icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD disabled=no icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Bloqueio de outros pacotes ICMPs" disabled=no protocol=icmp
add action=jump chain=output comment="Salta para o fluxo de saida de icmp" disabled=no jump-target=ICMP protocol=icmp

Eu acho que isto é o básico para proteger o seu roteador. Você pode adicionar ou remover qualquer coisa de acordo com o que você precisar. Eu espero que isso ajude!

twitterlinkedin