Configurar servidor de VPN PPTP con Mikrotik

Me vi en la necesidad de implementar una vpn, y ya que tenia que hacerlo, capture las pantallas y les muestro en esta entrada como Configurar servidor de VPN PPTP con Mikrotik

Empecemos bien de cero con algunos datos:

¿Que es una VPN?

La sigla vpn viene del ingles virtual private network o red privada virtual. El caso es que en algunas oficinas, tenemos personal que trabaja desde su casa. Esto implica que necesitaran tener acceso lo más seguro a algunas cuestiones o equipos como por ejemplo: Servidores, Impresoras, Carpetas compartidas de compañeros, etc.

Uno podría crear muchos accesos remotos (uno por cada cosa que el empleado necesite hacer) pero es muy poco practico.

Una vpn (firewall mediante) es la solución para este tipo de casos y mikrotik nos la hace muy fácil y cuenta con algunos protocolos para ayudarnos, entre ellos esta el PPTP.

¿Que es PPTP?

Como la anterior, esta sigla tambien viene del ingles y significa Protocolo de punto a punto. Permite conectar, una pc (fuera de la red lan) a toda una red local. Si quieren investigar un poco mas en la wiki encontraran mas info de PPTP.

Ahora, ya con un poquitin más de idea, vamos a ver como Configurar servidor de VPN PPTP con Mikrotik suponiendo que lo que necesitamos es darle acceso a un empleado a nuestra red.

Lo primero que vamos hacer es conectarnos mediante winbox al mikrotik.

Configurar servidor de VPN PPTP con Mikrotik 01

Luego veremos la siguiente ventana:

Configurar servidor de VPN PPTP con Mikrotik 02

Aquí lo que tendremos que hacer es habilitar el servidor pptp y ponerle una encriptado:

Configurar servidor de VPN PPTP con Mikrotik 03

Fíjense que tilde la opción enabled y elegí en default profile a default-encryption.

Luego van a secrets y crean una nueva, esto va  a hacer el usuario que van a necesitar para conectarse por vpn:

Configurar servidor de VPN PPTP con Mikrotik 04

En la imagen anterior tendrán que ver que se creo el usuario www.luiszambrana.com.ar para el servicio pptp, el profile es default-encryption y también se usaran dos ips locales que tengamos disponibles.

Ya con esto estamos casi terminando el tutorial para ver Configurar servidor de VPN PPTP con Mikrotik.

Por ultimo modifcaremos el profile default-encryption para que utilice los dns de google:

Configurar servidor de VPN PPTP con Mikrotik 05

Con esto ya hemos concluido con la configuración del mikrotik. Lo único que resta es ingresar a nuestro sistema operativo y realizar la conexión.

Les dejo un ejemplo con windows 10 (ya que un amigo lo necesitaba asi).

Van al centro de redes y entran en configurar una nueva conexion de red:

Configurar servidor de VPN PPTP con Mikrotik 06

Luego veran:

Configurar servidor de VPN PPTP con Mikrotik 07

Luego ponen crear una nueva conexion, luego eligen usar mi conexion a internet (vpn) que en windows es la primer opcion:

Configurar servidor de VPN PPTP con Mikrotik 08

Y luego les pedirá la ip publica de la red a donde se van a conectar o bien un dominio (como mas gusten). Si no tienen dominio publico pueden ver el tutorial para configurar un NO-IP gratuito y montarlo en mikrotik en la siguiente entrada: http://luiszambrana.com.ar/utilizando-no-ip-en-mikrotik/

Guardan la conexión. Luego en sus redes va a aparecer la vpn con el nombre que le dieron y cuando le hagan clic en conectar les pedirá el usuario y la contraseña.

Si hicieron todo bien se van a conectar sin drama y la prueba de efectividad es hacer un ping a una maquina que esta dentro de la red de laburo. Otra prueba es entrar a cual es mi ip (cuando estamos en cualquier lado) y verificar que ip publica tenemos, y luego de conectarnos a la vpn, volver a realizar la misma acción (van a ver que obviamente cambio por que estaremos navegando como una maquina mas dentro de otra red).

Espero les haya gustado el tutorial para ver como Configurar servidor de VPN PPTP con Mikrotik

Telegram-UnBlogEnAPuros

 

  30 comments for “Configurar servidor de VPN PPTP con Mikrotik

  1. Manel
    6 Marzo, 2017 at 1:47 am

    Hola, Luis, gracias por tu publicación, de hecho la he seguido y utilizado.
    Quería preguntarte, es posible crear una VPN, en la que se conectan dos PC,s y esos dos PC,s puedan comunicarse entre si, como si de una lan se tratara. Al final el objetivo es que dos pcs, desde internet puedan conectarse a VPN de MIkrotik y una vez conectados puedan entre ellos actuar como si de una lan se tratara sin restricciones de puertos. Es posible ? Te seria facil publicar un script para Mikrotik,?

    Un saludo y muchas gracias,
    Manel

    • Luis Zambrana
      6 Marzo, 2017 at 5:01 pm

      Hola como estas? Gracias por pasar!
      Claro que es posible pero no se si entendio bien lo que necesitas sera esta idea?:
      a: red 1 192.168.1.0/24 mk 192.168.1.1 pc 192.168.1.2
      b: red 2 192.168.2.0/24 mk 192.168.2.1 pc 192.168.2.2
      Lo que puedes hacer es una vpn entre mk 1 y 2 y luego crear las rutas para que la pc de la red a pueda ver la pc de la red b.
      Si es asi avisame, yo lo he hecho y salio bien sin problemas.

  2. Manel
    6 Marzo, 2017 at 5:12 pm

    Buenas tardes Luis, gracias por responder, no es esto exactamente, quizás no e sabido explicarme bien, ya que estoy en los inicios de aprendizaje.
    Paso a explicarte el problema que creo que se donde está, pero por falta de conocimientos no se como hacerlo.
    He probado tu configuración inicial que presentas en la pagina para conectarse a una VPN, y perfecto conecto dos ordenadores, puedo acceder a la red local y puedo acceder entre ellos.
    Cuando utilizo una raspberry pi para conectarme, se conecta al servidor PPTP(Mikrotik), pero cuando intento enviar y recibir por un puerto UDP que es el 14500, no tengo comunicación en sentido entrante.
    Creo que el problema es crear una regla en iptables pero en la raspberry pi, para permitir trafico entrante y saliente al puerto UDP 14500.
    Por el momento no se como hacerlo, te agradeceria si tu pudes ayudarme en esto.
    Como puedo crear unas regla en raspberry pi con SO Jessie para trafico INPUT OUTPUT al puerto udp 14500 ?
    Muchas gracias,
    Un cordial saludo.

    • Luis Zambrana
      7 Marzo, 2017 at 12:46 pm

      a ver… vamos por partes dijo JACK
      El mikrotik te sirve para servidor VPN.
      Con una maquina cliente te conectas al mikrotik y luego ves la red o lo que dejes ver en el mikrotik. Si no tuviste problema entonces eso anda bien.
      Ahora por un momento olvidate del mk y pensa solo la raspbery. Localmente funciona lo que queres hacer?
      el mk con esta config no bloquea nada seguro el tema esta en la rasp y no las conozco como funcionan. Por ahi habria que leer iptables un poco si es que con eso funciona.
      Avisame como vas asi te puedo ayudar mejor….

  3. luis portillo
    26 Marzo, 2017 at 11:26 am

    realice los pasos pero me parece el siguiente error :
    No se pudo establecer la conexión remota porque se produjo un error en los tuneles VPN probados. puede que el servidor VPM este inaccesible. si la conexión está intentando usar un túnel L2TP/IPSEC, es posible que los parámetros de seguridad necesarios para la negociación IPsec no estén configurados correctamente.

    Me podrías ayudar ?
    +51 1 444 829 08 29

    • Luis Zambrana
      29 Marzo, 2017 at 12:42 am

      Mira si seguis los pasos tal cual tiene que andar. Repasalo por favor.
      Obviamente no te voy a llamar por telefono pero si queres mandame un mensaje por aca (no lo publico) con un acceso al mk (el cual despues borras y listo) y te ayudo. En user, creas un usuario con derechos de vista y te digo lo que hiciste mal.
      saludos!

    • Mauricio Ortiz
      28 Noviembre, 2017 at 10:02 pm

      Con algunos usuarios me pasó esto, despues de descartar que fuera el PC o que la conexión hubiera quedado mal hecha, la solución fue que debieron llamar a su ISP y solicitar que abran el puerto TCP 1723 en su router, este puerto es el que permite las conexiones VPN.

      • Luis Zambrana
        29 Noviembre, 2017 at 3:32 am

        En argentina las conexiones deben ser bridge. Aunque por ejemplo en fibercoorp te ofrecen ellos bridge (para que vos manejes los puertos o directamente los manejan ellos). Gracias por el aporte!

  4. Oscar
    29 Mayo, 2017 at 1:27 am

    Buenas noches disculpa tendras algun manuela para configurar vpn para conectar 2 puntos habra una tercera, en ambos lados se utiliza adsl. y los posibles equipos serian RB750R2. Recibe un cordial saludo

  5. Jorge
    6 Junio, 2017 at 10:00 am

    Buenos dias Luis, vi atentamente tu blog y me parece muy bueno, con mucha informacion y de utilidad. Te hago una consulta aprovechando tu experiencia y conocimiento. Cual modelo de mikrotik me recomendas, para poder configurar una vpn que inicialmente seria para pocos host, pero que tenga la posibildidad de soportar conexion a una lan de muchos equipos. Conoces quien provee esos equipos. Saludos cordiales

    • Luis Zambrana
      7 Junio, 2017 at 4:20 am

      Hola jorge gracias por pasar. El tema es como tienes configurada tu red. Mucha gente quiere usar el router para absolutamente todo, con esto quiere decir: Firewall, dhcpserver, webproxy,vpnserver router etc.
      Al hacer todo eso se te va el cpu al diablo con cualquiera.
      Un rb750 para vpn tira varios usuarios, pero que pasa cuando hace otra cosas??? en https://routerboard.com/products estan todos los productos, pero yo te aconsejo que dibujes en un papel como tienes pensada tu red como para poder brindarte mejor asesoramiento ya que no es lo mismo un hogar, una pyme que una gran empresa (esto es pensado a la cantidad de usuarios).
      Cuando lo tengas no dudes en enviarmelo y te ayudo! UN abrazo

  6. Alex
    9 Junio, 2017 at 7:10 pm

    Hola, tengo una consulta hice todo los paso pero no logro que se conecte, debe ser por que tengo un RB balanceador adelante del RB administrador, dime que pasos debo seguir para que pueda conectarse.
    *en el balance puedo acceder por cloud y abrir puertos (por si tienes esa duda)
    Gracias por la ayuda

    • Luis Zambrana
      13 Junio, 2017 at 12:26 pm

      En realidad si es balanceador no veo por que sea firewall o si? (pregunto esto por si esta cortando algun trafico en especial. Yo entro indefinidamente por cloud o por ip publica o dyndns (como mas te guste). Te diria que veas los pasos uno por uno por que si lo sigues deberias poder ingresar sin problemas. Otra prueba seria desactivar los firewalls momentaneamente para ver si algo de tu config hace ruido.

  7. Oscar
    29 Junio, 2017 at 2:59 pm

    Hola Luis, antes de nada muchas gracias por tu tutorial. He realizado el tutorial a piés juntillas (tengo IP pública donde tengo Mikrotik) y he conseguido acceder por VPN LPPT desde un pc fuera de la red. Me hace ping al router dentro de la red que me quiero conectar, pero solo me hace eso, ping al router y navegar por internet, no puedo hacer ping a ningún equipo más de la red ni hacer // al servidor. ¿Qué puedo estar haciendo mal?
    Gracias!

    • Luis Zambrana
      1 Julio, 2017 at 4:03 am

      La vpn seguramente la estas haciendo desde una pc a tu mk. Si es asi no creo que estes haciendo nada masl El ping recuerda que es un paquete icmp que puede estar bloqueado por defecto por la pc (firewall activado).
      Fijate si es eso.
      Ademas podrias activar tightvnc, rdp o escritorio remoto para probar ingresar a tu vpn y luego conectarte a una pc por escritorio remoto.
      Avisame cualquier cosa.

  8. Santiago
    21 Septiembre, 2017 at 8:46 pm

    Hola Luis, muy bueno el tutorial, muchas gracias.
    Tengo una consulta: hay alguna manera de lograr que por la VPN solo vea recursos de red pero que navegue por la red local? Cómo puedo solucionarlo?

    Ejemplo: Un cliente se conecta a mi VPN y obtiene mi IP pública. Además de poder ver los recursos compartidos de MI red local (que es lo que deseo que pase), todo lo que realice por internet lo realiza con mi conexión, ya sea navegar, descargas, etc. lo que influye en la velocidad de la conexión.
    Espero que me puedas ayudar, gracias!

    • Luis Zambrana
      25 Septiembre, 2017 at 11:52 am

      Santiago como estas?, Lo que decis se puede hacer en parte.
      Una vez que el usuario se conecto a la vpn en el firewall tenes que agregar una regla que permita a esa ip que le brindas por vpn el acceso solo a otra ip.
      Lo que navegue con la red local no lo he hecho nunca, no creo que se pueda debido a que justamente se utiliza para eso…
      Voy a ver que onda y te aviso…

      • jorgec
        23 Octubre, 2017 at 11:22 pm

        Estimado, muy bueno tu tutorial. Estoy en la misma duda. Me conecto por vpn correctamente. Como hago para agregar una unidad de red de un servidor que está dentro de la red? Ya que no lo reconoce ni por nombre de dispositivo ni por IP

        • Luis Zambrana
          30 Octubre, 2017 at 5:58 pm

          Sino lo reconoce querido estas en un problema. La idea de usar la vpn es poder ingresar a alguna maquian de tu red.
          Fijate bien en el firewall que tenes y contame por que si seguis el tutorial que puse sin ninguna cuestion rara deberia funcionar

  9. miguel lopez
    7 Octubre, 2017 at 4:35 pm

    hola adicional a la configuracion indicada se debe hacer un nateo? por que no puedo conectarme por vpn a mi oficina

  10. David
    18 Octubre, 2017 at 6:11 am

    Buenos días Luis,
    Magnifico tutorial, he seguido todos los pasos y la VPN conecta, y cuando hago un ipconfig veo que la dirección ip que me da es la que debe, por lo que estoy dentro de mi red de la oficina, el problema es que si quiero acceder a cualquier recurso compartido como puede ser \\nombre_servidor\carpeta, me dice que no tengo acceso al recurso, y al hacer un ping no llega.
    Muchas gracias

    • 30 Octubre, 2017 at 6:00 pm

      Verifica que esa pc no tenga firewall activado(de tenerlo vas a tener que chequearlo) y ademas en recursos compartidos tambien tenes reglas.
      Comienza por desactivar el firewall y avisame

  11. Fernando Gonzalez
    12 Noviembre, 2017 at 10:14 am

    Hola Luis, he seguido el tutorial en todos los pasos, y logro conectarme sin inconvenientes, el problema surge que la IP interna que me asigna tiene mascara 255.255.255.255, y ni siquiera me deja navegar, lo único que puedo ver es el router MK. Ya probe desactivando totalmente el FIREWALL del W7, pero nada. Desde ya muchas gracias

    una abrazo

    Fernando

    • Luis Zambrana
      12 Noviembre, 2017 at 2:11 pm

      Hola fernando, gracias por pasar!
      Fijate cuando construis las secrets podes pones que ip te debe asignar (incluyendo la red).
      Abrazo

  12. 19 Noviembre, 2017 at 3:19 pm

    Buenos días, cuál sería el ancho de banda mínimo para poder trabajar con una vpn, mira yo estoy trabajando con 2mb sincrono pero me sale q ah tardado en la comunicación y no conecta

    • Luis Zambrana
      20 Noviembre, 2017 at 1:42 am

      Verdaderamente no lo se. Yo tengo una conexion de 2,5 mb y funciona barbaro. Todo depende que quieres hacer. Por ejemplo: No es lo mismo entrar por vpn a manejar un servidor que enviar un archivo grande hacia el servidor. En esto ultimo tiene que ver la conexion que tengas!

  13. Mauricio Ortiz
    28 Noviembre, 2017 at 9:57 pm

    Hola Luis, muchas gracias por tu aporte! tengo varias preguntas, lo primero es que la VPN me funciona cuando hago lo siguiente: en la red local usamos el pull de IPs 192.168.0.0/24 sí a los usuarios de la VPN les pongo IPs de este pull se pueden conectar y navegar sin problema, ahora por tener algo de orden y ya que son varios usuarios locales como usuarios de VPN creamos otra pull de IPs 192.168.20.0/24, con esto a los usuarios de la VPN les ponemos IPs de esta nuevo pull y se pueden conectar pero quedan sin internet a pesar de que pueden acceder al servidor y a las aplicaciones, ademas de esto he probado que es mas lento el acceso a las aplicaciones que cuando tienen IPs del primer pull.
    ¿Sabes por que pude ser?
    ¿En secrets cuando creas el usuario la Local Address puede ser la misma para todos los usuarios o debe ser diferente? yo uso la misma y funciona, la que si me obliga a que sea diferente es Remote Address.
    Gracias y saludos!

    • Luis Zambrana
      29 Noviembre, 2017 at 3:40 am

      Hola como estas? Mire primer el comentario anterior! perdon, e igual gracias por pasar!.
      Yo te diria que no uses el mismo secret, a mi me trajo problemas y ademas tal vez puedas marcar la conexion del usuario que entra a la vpn para registrar alguna movida en la red. Para mi si es vpn entre redes (Routers) esta todo bien, pero si es para personas si o si usuarios diferentes,
      Las redes estan bien ya que:
      el pull 192.168.20.0/24 te da desde la 192.168.20.1 a la 192.168.20.255 (siendo 255 brodcast y una la del router).
      El pull 192.168.0.0/24 te da desde la 192.168.0.1 a la 192.168.0.255 (siendo 255 brodcast y una la del router).
      Prueba configurar bien los parametros de remote addres, dale un usuario por cada red y ademas ten el cuidado de que cuando te conectes de una red por vpn a otra red no tengan el mismo rango sino no va a andar. Por ejemplo: si yo estoy en la red 192.168.1.0/24 con la ip 192.168.1.10 y me conecto a una vpn por ip publica pero que en el interior tiene la misma red (en la cual estoy) cuando haga un ping mi router sabe que esa red la conoce por eso no anda. es mejor trabajar correctamente con las redes sino terminamos en grandes lios. Recorda siempre que tambien tenes las rutas por defecto como para identificar de donde a donde. abrazo!

      • Mauricio Ortiz
        29 Noviembre, 2017 at 3:11 pm

        Luis muchas gracias por tu pronta respuesta, he seguido tus indicaciones pero aun no está como quisiera, te voy a colocar un poco más de datos para ver si puedes identificar algún error que haya cometido.
        Son varios usuarios que trabajan desde su casa, para cada usuario creo un Secret de esta manera por ejemplo:
        Usuario1, local address 192.168.0.1, remote address 192.168.0.190
        Usuario2, local address 192.168.0.1, remote address 192.168.0.191
        Así funciona y si ves usé la misma IP en local address (no se si es una buena practica), además que los usuarios se pueden conectar y entrar al servidor, continúan con Internet. Pero si lo hago de esta manera por ejemplo:
        usuario1, local address 192.168.20.1, remote address 192.168.20.10
        usuario2, local address 192.168.20.1, remote address 192.168.20.11
        incluso probé así, local address 192.168.0.1, remote address 192.168.20.10
        Y los usuarios se pueden conectar e ingresar al servidor, pero:
        1. Quedan sin Internet, ¿por que?
        2. la conexión se hace bastante lenta a comparación de la primera opción, abrir una aplicación o software remoto se demora entre 3 a 5 min lo que normalmente se abre en menos de 1 min.
        Luis, estaré atento a tus comentarios y de antemano muchas gracias.

  14. Mauricio Ortiz
    11 Diciembre, 2017 at 9:43 pm

    *copio* Luis muchas gracias por tu pronta respuesta, he seguido tus indicaciones pero aun no está como quisiera, te voy a colocar un poco más de datos para ver si puedes identificar algún error que haya cometido.
    Son varios usuarios que trabajan desde su casa, para cada usuario creo un Secret de esta manera por ejemplo:
    Usuario1, local address 192.168.0.1, remote address 192.168.0.190
    Usuario2, local address 192.168.0.1, remote address 192.168.0.191
    Así funciona y si ves usé la misma IP en local address (no se si es una buena practica), además que los usuarios se pueden conectar y entrar al servidor, continúan con Internet. Pero si lo hago de esta manera por ejemplo:
    usuario1, local address 192.168.20.1, remote address 192.168.20.10
    usuario2, local address 192.168.20.1, remote address 192.168.20.11
    incluso probé así, local address 192.168.0.1, remote address 192.168.20.10
    Y los usuarios se pueden conectar e ingresar al servidor, pero:
    1. Quedan sin Internet, ¿por que?
    2. la conexión se hace bastante lenta a comparación de la primera opción, abrir una aplicación o software remoto se demora entre 3 a 5 min lo que normalmente se abre en menos de 1 min.
    Luis, estaré atento a tus comentarios y de antemano muchas gracias.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *