Redundncia na VPN utilizando Mikrotik

28/12/2011Natlia Vaz1 comentrio

Muitas vezes as empresas possuem redundncia de link na matriz e uma conexo VPN com as filiais, mas geralmente os clientes da conexo apontam somente para o link principal, e quando este cai Sem VPN pra todo mundo!!! Diante de um questionamento sobre o assunto e de uma emergncia no trabalho, consegui com a ajuda de alguns blogs e do tradicional fumetro criar uma soluo para este problema. Cenrio: Matriz:

router mikrotik Link dedicado operadoraA Link dedicado operadoraB OpenVPN Server Filiais: router mikrotik link de internet OpenVPN client 1 . Duplicando o client da VPN Como j existe um client da VPN configurado vamos copiar a configurao para criar a redundncia: No menu PPP em interface d dois cliques no client que j est ativo e na janela que abrir clique em copy. Na cpia criada altere o nome da conexo, para nossa configurao utilizaremos os nome vpn-operadoraA para a conexo ao link principal da matriz e, vpnoperadoraB para a conexo ao link secundrio. Na configurao clonada (ativa-operadoraB), na aba Dial Out insira o IP do link secundrio da matriz. No se esqueam de alterar o nome da conexo que j existia, ele ser utilizado nos scripts. 2 . Criando os scripts No menu System selecione Scripts e clique em Add (+), altere os seguintes campos:

Name: ativa-operadoraA Source: interface ovpn-client disable vpn-operadoraB; interface ovpn-client enable vpn-operadoraA;
Clique em Add novamente e crie o segundo script com os parmetros:

Name: ativa-operadoraB Source: interface ovpn-client disable vpn-operadoraA; interface ovpn-client enable vpn-operadoraB;
Pronto, os scripts para ativar e desativar os clients da VPN esto configurados. No primeiro, ele desativa a interface de conexo com o link secundrio e ativa a conexo com o linkprincipal. No segundo ocorre o contrrio. Para testar basta selecionar e clicar em Run-script, observe no menu PPP se as interfaces responderam aos comandos. 3 . Programando os testes

Para testar a disponibilidade do link e alternar os clients da VPN utilizaremos o Netwatch, que baseado no resultado de um ping disparado a um determinado host ele executa as aes determinadas. No menu Tools, selecione Netwatch e clique em Add(+), preencha os seguintes campos: - Aba Host: Host: <ip do link principal da matriz> Interval: 00:00:10 (o ping ser disparado a cada 10 segundos) Timeout: 500 ms (tempo de inatividade para que os scripts sejam executados) - Aba Up: On Up: ativa-operadoraA (script que ativa a conexo com o link principal) - Aba Down: On Down: ativa-operadoraB (script que ativa a conexo com o link secundrio) Estas configuraes tambm podem ser adicionadas diretamente no console, para isso abra um terminal e digite o seguinte comando:

/tool netwatch add host=<ip principal> interval=10s timeout=500ms up-script=ativa-operadoraA down-script=ativa-operadoraB

O Netwatch disparar um ping a cada 10 segundos para o IP da matriz, se o tempo de resposta for maior que 500ms ele desativar o client do link principal e ativar o client do linksecundrio. Pronto, redundncia configurada. Vale ressaltar que a soluo acabou de ser implementada, o tempo de testes no foi muito grande, mas a princpio atendeu solicitao e os resultados foram os esperados.

http://chokmahtech.blogspot.com.br/2009/01/redundncia-de-link-no-mikrotik.html

Mikrotik servidor OpenVPN / Windows 7 cliente

Mikrotik fazer routers impressionantes com base em seu excelente sistema operacional RouterOS, com possibilidades impressionantes quando se considera que um dos seus roteadores bsicos de apenas cerca de US $ 40. Este um tutorial sobre como configurar uma VPN cliente / servidor usando um Mikrotik (RouterOS com licena lv 4) que o servidor de vpn e clientes do Windows 7, em que, basicamente, um cenrio guerreiro da estrada. OpenVPN ser usado, tenha em mente que a implementao Mikrotik no suporta o protocolo UDP ou compresso LZO. Este, porm, no deve ser um problema para o uso tpico de VPN (por exemplo, desktop remoto, acessando aes). Voc vai precisar de: Verso mais recente do OpenVPN (2,1 RC15 no momento da escrita) para Windows e Linux A RouterBoard Mikrotik RouterOS ou PC funcionando com uma licena de 4 lvl, j configurado como um roteador bsico os mdulos de segurana instalado no RouterOS Um Ubuntu ou outra VM linux para criar a certificados (opcional) 1. Criar certificados necessrios como OpenVPN usa SSL para a segurana: Primeiro de tudo, evitar o mtodo descrito no Wiki Mikrotik CAcert.org que utiliza, como esta no parece funcionar. Em vez de usar easy-rsa que vem com o OpenVPN. Eu achei mais fcil usar um Ubuntu VM no Virtualbox, como a implementao de janelas fcil rsa no funcionou bem para mim: Editar o arquivo vars com as configuraes Voc no renomear o arquivo whichopenssl.cnf para openssl.cnf, porm tentado pelo readme easyrsa, isso no vai funcionar! vars fonte sudo . / clean-all build-ca servidor build-key-server e fornecer informaes / senha quando necessrio apropriado. Voc vai ento receber um arquivo ca.crt, server.key e server.crt entre outros. 2. Importar para o seu roteador RouterOS: Copie o server.crt e server.key, Winbox aberto. Ir para arquivos e colar. To simples como isso. em seguida, abra o terminal e importar os certificados:

/ Certificado de importao de arquivo-name = server.crt / certificado de importao de arquivo-name = server.key Quando perguntado, fornecer a senha usada durante a criao do certificado. se, em seguida, fazer um print / certificado deve mostrar-lhe o certificado importado com uma bandeira KR prximo a ele, ou seja, decifrada com sucesso o certificado. 3. Criar um pool de IP para os usurios de VPN: / Piscina ip adicionar o nome = faixas ovpn-pool = 172.21.0.10-172.21.0.20 / profile ppp adicionar endereo local = 172.21.0.1 name = ovpn remote-address = ovpn-pool / ppp secret add name = user password = passagem perfil = ovpn service = ovpn / interface ovpn-server servidor set default-profile = ovpn enabled = yes mode = ethernet netmask = 24 exigem-client-certificado = nenhum certificado = cert1 substituir usurio e senha com suas credenciais de login. Voc pode usar qualquer faixa de IP, mas melhor usar uma raramente encontrei um que voc no tem conflitos de IP ao usar a VPN. 4. Configure o cliente: Copie o arquivo client.ovpn na pasta amostra-config no diretrio de instalao do OpenVPN para a pasta de configurao. Copie tambm o ca.crt voc criou anteriormente aqui. Abri-lo usando o Notepad + + ou qualquer outro editor de texto adequado. Nele escrever o seguinte: dev tap remoto seu-external-ip-address proto tcp-client tls-client ca ca.crt auth-user-pass puxar nobind persistem-chave resolv-retry infinito verbo 3 -segurana roteiro 2 sistema route-up "route add -LAN IP mscara 255.255.255.0 172.21.0.1 " auth-nocache que usa uma interface de ponte para ligar ao Mikrotik, e autenticar usando os detalhes de login criadas anteriormente.

sistema de segurana roteiro 2 usado para permitir que o comando route-se abaixo para empurrar com sucesso a rota padro para os clientes da tabela de roteamento quando ele se conecta . Alm disso, para que isso funcione voc ter que abrir o GUI OpenVPN como um administrador de cada vez. Se a rota default no manualmente ou automaticamente colocado no PC cliente, o VPN vai funcionar, mas ser praticamente intil como o computador no vai saber o que fazer com os pedidos para a sua LAN, do outro lado da VPN. Infelizmente, a aplicao no pode RouterOS empurrar as rotas sobre a VPN, por isso temos de recorrer ao mtodo acima (que funciona muito bem, ele tambm remove a rota aps a desconexo). 5. Isso muito bonito isso. Ele tambm funciona com verses portteis do OpenVPN, assim, tudo o que voc precisa de um usb com OpenVPN porttil nele, a configurao cliente eo arquivo ca.crt e voc est pronto para ir! Fontes: Mikrotik OpenVPN Wiki , Forum Mikrotik post, Serverfault Nota: Inicialmente, eu brinquei com certificados CAcert.org aps o Wiki. Eu no consegui faz-lo funcionar e, alm disso, mesmo depois de eu ter removido todos os certificados no Mikrotik que foram criados com o site CAcert.org e importados os easy-rsa, gostaria de obter um VERIFIQUE ERROR: profundidade = 0, erro = incapaz de obter o certificado do emissor local: / CN = my-domain depois de autenticar. Isto foi resolvido aps a reinicializao do Mikrotik que parece ter cancelado o valor que foi preso na memria.