Port Forwarding VPN L2TP con Mikrotik

La semana pasada instale un rack para fibra al hogar en Rolon – La Pampa, y me encontre con la particularidad de que el carreir entrega una sola direccion IP Publica, para lo cual tuve que hacer Port Forwarding de la VPN.

Hace mucho tiempo que no escribo y no por que no quiera, siempre es por cuestiones de tiempo. Me siento obligado a tener que postearlo porque la proxima vez que lo necesite se que ademas de compartirlo con los demas, me lo estoy compartiendo conmigo mismo.

En este caso se trata de un Router de Border que presta el servicio de acceso a internet los clientes de fibra al hogar. (es decir que actua como router haciendo NAT, entre otras cosas). Y detras de este, otro router haciendo de VPN. Con lo cual tenemos encadenados un router detras de otro.

Escenario actual, de doble NAT (de Izquierda a Derecha)

Este tipo de setup tiene 1 inconveniente:

Antes de seguir con la configuracion, es fundamental que aclaremos que el estar haciendo hairpinin (o forwarding) de una VPN hace que el origen que ve tu VPN Server es siempre el primer equipo, en este caso el de Border (ver imagen superior). Es decir que si hay un usuario con una VPN activa, otra VPN no deberia poder conectarse, o hasta incluso puede suceder que se caiga el tunel existente y entre el nuevo. Para mitigar este problema pueden probar desactivar el tilde «One session per host» en tu configuracion de VPN Server. En mi caso L2TP Server. No es la mejor de las soluciones pero puede funcionar.

Reglas de NAT para el primer NAT: Border.

add action=dst-nat chain=dstnat comment="VPN L2TP Forwarding" dst-address=[TU IP PUBLICA] dst-port=4500 protocol=udp to-addresses=\
192.168.77.2 to-ports=4500
add action=dst-nat chain=dstnat dst-address=[TU IP PUBLICA] dst-port=1701 protocol=udp to-addresses=192.168.77.2 to-ports=1701
add action=dst-nat chain=dstnat dst-address=[TU IP PUBLICA] dst-port=500 protocol=udp to-addresses=192.168.77.2 to-ports=500
add action=dst-nat chain=dstnat dst-address=[TU IP PUBLICA] dst-port=2218 protocol=tcp to-addresses=192.168.77.2 to-ports=2218
add action=dst-nat chain=dstnat dst-address=[TU IP PUBLICA] protocol=ipsec-esp to-addresses=192.168.77.2

Luego reemplacen [TU IP PUBLICA] por la direccion IP publica que usan para navegar a través de NAT. Y reemplazar 192.168.77.2 por el direccionamiento IP interna que le dieron al equipo que haga de VPN. Se supone que la regla de Masqarade del Pool de IP de los abonados deberia estar puesta si tenes este mismo escenario. (no esta entre estas reglas)

Reglas para el segundo NAT, VPN Server

add action=masquerade chain=srcnat comment="default configuration" src-address=192.168.77.1

Misma aclaracion que anteriormente, siempre que el equipo este en modo router aqui se agrega la regla de masqarede para el pool de IP que usemos en el bridge o LAN. (En este caso no esta).

Realmente desearia poder postear mas seguido, tengo algunas cosas en mi lista, como Domotica, Automatizaciones en casa, Algo de programacion con WordPress, algo de monitoreo con ubiquiti, Etc.
Ahora que estamos en cuarentena deberia poder organizarme y lograr subir algun video.

Mis saludos a todos los hispanos!!.

_____
Primero en tech-nico.com

Sé el primero en comentar

Deja un comentario