{"id":929,"date":"2020-07-29T12:14:32","date_gmt":"2020-07-29T15:14:32","guid":{"rendered":"http:\/\/www.tech-nico.com\/blog\/?p=929"},"modified":"2020-08-07T22:03:27","modified_gmt":"2020-08-08T01:03:27","slug":"port-forwarding-vpn-l2tp-con-mikrotik","status":"publish","type":"post","link":"http:\/\/www.tech-nico.com\/blog\/port-forwarding-vpn-l2tp-con-mikrotik\/","title":{"rendered":"Port Forwarding VPN L2TP con Mikrotik"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">La semana pasada instale un rack para fibra al hogar en Rolon &#8211; La Pampa, y me encontre con la particularidad de que el carreir entrega una sola direccion IP Publica, para lo cual tuve que hacer Port Forwarding de la VPN.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Hace mucho tiempo que no escribo y no por que no quiera, siempre es por cuestiones de tiempo.  Me siento obligado a tener que postearlo porque la proxima vez que lo necesite se que ademas de compartirlo con los demas, me lo estoy compartiendo conmigo mismo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En este caso se trata de un Router de Border que presta el servicio de acceso  a internet los clientes de fibra al hogar. (es decir que actua como router haciendo NAT, entre otras cosas). Y detras de este, otro router haciendo de VPN. Con lo cual tenemos encadenados un router detras de otro. <\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img data-recalc-dims=\"1\" loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2020\/07\/image.png?resize=580%2C196\" alt=\"\" class=\"wp-image-933\" width=\"580\" height=\"196\" srcset=\"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2020\/07\/image.png?w=651 651w, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2020\/07\/image.png?resize=300%2C101 300w\" sizes=\"auto, (max-width: 580px) 100vw, 580px\" \/><figcaption>Escenario actual, de doble NAT (de Izquierda a Derecha)<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Este tipo de setup tiene 1 inconveniente:<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Antes de seguir con la configuracion, es fundamental que aclaremos que el estar haciendo <a href=\"https:\/\/wiki.mikrotik.com\/wiki\/Hairpin_NAT\">hairpinin<\/a> (o forwarding) de una VPN hace que el origen que ve tu VPN Server es siempre el primer equipo, en este caso el de Border (ver imagen superior). Es decir que si hay un usuario con una VPN activa, otra VPN no deberia poder conectarse, o hasta incluso puede suceder que se caiga el tunel existente y entre el nuevo. Para mitigar este problema pueden probar desactivar el tilde <strong>\u00abOne session per host\u00bb<\/strong> en tu configuracion de VPN Server. En mi caso L2TP Server. No es la mejor de las soluciones pero puede funcionar.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Reglas de NAT para el primer NAT<strong>: Border<\/strong>.<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><code>add action=dst-nat chain=dstnat comment=\"VPN L2TP Forwarding\" dst-address=[TU IP PUBLICA] dst-port=4500 protocol=udp to-addresses=\\<br>192.168.77.2 to-ports=4500<br>add action=dst-nat chain=dstnat dst-address=[TU IP PUBLICA] dst-port=1701 protocol=udp to-addresses=192.168.77.2 to-ports=1701<br>add action=dst-nat chain=dstnat dst-address=[TU IP PUBLICA] dst-port=500 protocol=udp to-addresses=192.168.77.2 to-ports=500<br>add action=dst-nat chain=dstnat dst-address=[TU IP PUBLICA] dst-port=2218 protocol=tcp to-addresses=192.168.77.2 to-ports=2218<br>add action=dst-nat chain=dstnat dst-address=[TU IP PUBLICA] protocol=ipsec-esp to-addresses=192.168.77.2<\/code><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Luego reemplacen <strong>[TU IP PUBLICA] <\/strong>por la direccion IP publica que usan para navegar a trav\u00e9s de NAT. Y reemplazar <strong>192.168.77.2 <\/strong>por el direccionamiento IP interna que le dieron al equipo que haga de VPN. Se supone que la regla de Masqarade del Pool de IP de los abonados deberia estar puesta si tenes este mismo escenario. (no esta entre estas reglas)<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Reglas para el segundo NAT, <strong>VPN Server<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><code>add action=masquerade chain=srcnat comment=\"default configuration\" src-address=192.168.77.1<\/code><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Misma aclaracion que anteriormente, siempre que el equipo este en modo router aqui se agrega la regla de masqarede para el pool de IP que usemos en el bridge o LAN. (En este caso no esta).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Realmente desearia poder postear mas seguido, tengo algunas cosas en mi lista, como Domotica, Automatizaciones en casa, Algo de programacion con WordPress, algo de monitoreo con ubiquiti, Etc.<br>Ahora que estamos en cuarentena deberia poder organizarme y lograr subir algun video. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mis saludos a todos los hispanos!!.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">_____<br>Primero en tech-nico.com<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La semana pasada instale un rack para fibra al hogar en Rolon &#8211; La Pampa, y me encontre con la particularidad de que el carreir entrega una sola direccion IP Publica, para lo cual tuve que hacer Port Forwarding de &hellip; <a href=\"http:\/\/www.tech-nico.com\/blog\/port-forwarding-vpn-l2tp-con-mikrotik\/\">Sigue leyendo <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":931,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"jetpack_post_was_ever_published":false},"categories":[74,55,3],"tags":[],"class_list":["post-929","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-mikrotik","category-redes","category-trucos"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2020\/07\/83260865_143235593811587_7172731732122510352_n.jpg?fit=640%2C640","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/phA9Q-eZ","jetpack_likes_enabled":true,"jetpack-related-posts":[{"id":633,"url":"http:\/\/www.tech-nico.com\/blog\/api-mikrotik-haciendo-ping-desde-tu-herramienta-de-monitoreo-con-php\/","url_meta":{"origin":929,"position":0},"title":"API MIKROTIK &#8211; Haciendo ping desde tu herramienta de monitoreo con PHP","author":"soporte","date":"julio 19, 2015","format":false,"excerpt":"A pedido de (ahora un colaborador del blog) Alejando Mogollon, voy a postear un c\u00f3digo muy sencillo para mostrar el ping desde tu router\u00a0Mikrotik RouterOS\u00a0hacia la direcci\u00f3n IP que quieras testear\u00a0para que agregues a tu App, o simplemente potencies tus herramientas de monitoreo y soporte t\u00e9cnico.\u00a0Este es el\u00a0resultado: En este\u2026","rel":"","context":"En \u00abredes\u00bb","block_context":{"text":"redes","link":"http:\/\/www.tech-nico.com\/blog\/category\/redes\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=350%2C200 1x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=700%2C400 2x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=1050%2C600 3x"},"classes":[]},{"id":803,"url":"http:\/\/www.tech-nico.com\/blog\/venta-de-equipos-mikrotik-rb-2011-nuevos-y-usados\/","url_meta":{"origin":929,"position":1},"title":"Venta de equipos Mikrotik RB 2011 nuevos y usados","author":"soporte","date":"julio 2, 2018","format":false,"excerpt":"Venta equipamiento Para el que le interese, estamos vendiendo junto con la Cooperativa El\u00e9ctrica de Guatrach\u00e9 (La Pampa), equipos Mikrotik RB-2011. Historia de una red activa En el a\u00f1o 2010 compramos 200 unidades con el prop\u00f3sito de brindar servicios de mayores capacidades. Con lo cual dise\u00f1amos una red de fibra\u2026","rel":"","context":"En \u00abmikrotik\u00bb","block_context":{"text":"mikrotik","link":"http:\/\/www.tech-nico.com\/blog\/category\/mikrotik\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2018\/06\/2011_left_full.jpg?fit=817%2C528&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2018\/06\/2011_left_full.jpg?fit=817%2C528&resize=350%2C200 1x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2018\/06\/2011_left_full.jpg?fit=817%2C528&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2018\/06\/2011_left_full.jpg?fit=817%2C528&resize=700%2C400 2x"},"classes":[]},{"id":670,"url":"http:\/\/www.tech-nico.com\/blog\/script-mikrotik-para-hacer-parpadear-un-led-del-router\/","url_meta":{"origin":929,"position":2},"title":"Script Mikrotik para hacer parpadear un led del router.","author":"soporte","date":"febrero 28, 2016","format":false,"excerpt":"Vos dir\u00e1s.. y para que lo quiero?. Tal como dice\u00a0el creador del script (foro Mikrotik) podr\u00eda servir para se\u00f1alar\u00a0remotamente (al tecnico in-situ)\u00a0cual es el\u00a0equipo que tiene que supervisar.\u00a0Lo acabo de\u00a0probar\u00a0y me anduvo bien.\u00a0Es una pabada, pero a mi me encant\u00f3. :) Importar por consola https:\/\/www.youtube.com\/watch?v=ZrId0YXRBA8&feature=youtu.be","rel":"","context":"En \u00abProgramaci\u00f3n\u00bb","block_context":{"text":"Programaci\u00f3n","link":"http:\/\/www.tech-nico.com\/blog\/category\/programacion\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=350%2C200 1x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=700%2C400 2x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=1050%2C600 3x"},"classes":[]},{"id":1025,"url":"http:\/\/www.tech-nico.com\/blog\/mikrotik-routeros-nat-masquerade-y-netmap\/","url_meta":{"origin":929,"position":3},"title":"Mikrotik RouterOS NAT &#8211; Masquerade y Netmap","author":"soporte","date":"julio 11, 2021","format":false,"excerpt":"Existen varios tipos de NAT para diferentes prop\u00f3sitos. Todos conocemos el cl\u00e1sico \"Masquerade\", que siempre utilizamos en los mikrotik de nuestros clientes, pero a veces trae algunos problemas extra\u00f1os en la navegaci\u00f3n que por suerte resuelve Netmap. Adem\u00e1s de action=masquerade tambi\u00e9n existe action=netmap. Los dos son muy similares entre si\u2026","rel":"","context":"En \u00abredes\u00bb","block_context":{"text":"redes","link":"http:\/\/www.tech-nico.com\/blog\/category\/redes\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2021\/07\/cgnat.png?fit=1200%2C704&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2021\/07\/cgnat.png?fit=1200%2C704&resize=350%2C200 1x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2021\/07\/cgnat.png?fit=1200%2C704&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2021\/07\/cgnat.png?fit=1200%2C704&resize=700%2C400 2x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2021\/07\/cgnat.png?fit=1200%2C704&resize=1050%2C600 3x"},"classes":[]},{"id":364,"url":"http:\/\/www.tech-nico.com\/blog\/api-mikrotik-como-optimizar-tu-administracion-con-un-poco-de-php-introduccion\/","url_meta":{"origin":929,"position":4},"title":"API MIKROTIK &#8211; Como optimizar tu administracion con un poco de PHP (introduccion)","author":"soporte","date":"marzo 2, 2013","format":false,"excerpt":"\u00a0 Vengo aprovechando a pleno esta GRAN posibilidad que nos dio Mikrotik de poder programar\u00a0nuestros propios scripts, y de mostrar la informacion de manera que nos quede comodo administrar\u00a0varios servidores y en lo posible en una sola pantalla. . Este era mi escenario de antes de usar el API: Aqui\u2026","rel":"","context":"En \u00abredes\u00bb","block_context":{"text":"redes","link":"http:\/\/www.tech-nico.com\/blog\/category\/redes\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=350%2C200 1x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=700%2C400 2x, https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2015\/05\/logo_tech_nico.com_.jpg?fit=1200%2C1018&resize=1050%2C600 3x"},"classes":[]},{"id":864,"url":"http:\/\/www.tech-nico.com\/blog\/routeros-ipv6-vulnerable-todas-las-versiones\/","url_meta":{"origin":929,"position":5},"title":"RouterOS IPv6 Vulnerable {todas las versiones}","author":"soporte","date":"abril 2, 2019","format":false,"excerpt":"Sin tan solo tenes IPv6 activado y no lo estas usando, sos vulnerable a un pseudo ataque por una vulnerabilidad que esta en el Kernel de RouterOS y al parecer (Segun Normis), al ser un kernel tan viejo es muy dificil parchearlo. Problemas en el para\u00edso Hay publicaciones oficiales de\u2026","rel":"","context":"En \u00abmikrotik\u00bb","block_context":{"text":"mikrotik","link":"http:\/\/www.tech-nico.com\/blog\/category\/mikrotik\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.tech-nico.com\/blog\/wp-content\/uploads\/2019\/04\/IPv6-image.jpeg?fit=500%2C292&resize=350%2C200","width":350,"height":200},"classes":[]}],"_links":{"self":[{"href":"http:\/\/www.tech-nico.com\/blog\/wp-json\/wp\/v2\/posts\/929","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.tech-nico.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.tech-nico.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.tech-nico.com\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"http:\/\/www.tech-nico.com\/blog\/wp-json\/wp\/v2\/comments?post=929"}],"version-history":[{"count":3,"href":"http:\/\/www.tech-nico.com\/blog\/wp-json\/wp\/v2\/posts\/929\/revisions"}],"predecessor-version":[{"id":940,"href":"http:\/\/www.tech-nico.com\/blog\/wp-json\/wp\/v2\/posts\/929\/revisions\/940"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.tech-nico.com\/blog\/wp-json\/wp\/v2\/media\/931"}],"wp:attachment":[{"href":"http:\/\/www.tech-nico.com\/blog\/wp-json\/wp\/v2\/media?parent=929"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.tech-nico.com\/blog\/wp-json\/wp\/v2\/categories?post=929"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.tech-nico.com\/blog\/wp-json\/wp\/v2\/tags?post=929"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}