Buscar en la base de conocimiento

Crear VPN WireGuard Azure

Crear VPN WireGuard Azure

Para tener acceso al manual con las imágenes ingresar al siguiente enlace.

Crear VPN WireGuard.pdf

En este manual se explica el paso a paso que se debe seguir para configurar un cliente VPN WireGuard desde 0 en un sistema RouteOS montado en una VM de Azure, es importante tener en cuenta que este cliente VPN solo es compatible con versiones de RouterOS 7.1 en adelante.

Nota: esta configuración también se puede usar en dispositivos Mikrotik físicos, solo se debe omitir los puntos de Azure.

Crear la interfaz:

  1. Ingresamos al Mikrotik, en el menú lateral izquierdo damos clic en WireGaurd.
  2. en la ventana que se nos abre damos clic en el en el ícono de +.
  3. Luego en la ventana New interface en el campo Name asignamos un nombre a la interfaz o la podemos dejar con el que nos da por defecto, esto solo es para identificar la conexión, los demás campos se dejan tal cual están.
  4. damos clic en Apply y OK. 

Crear el Address List:

  1. En el menú lateral izquierdo damos clic en IP -----> Address.
  2. en la ventana que se nos abre damos clic en el ícono de + y se nos abrirá una nueva ventana.
  3. En la ventana New Address creamos el segmento de IP que van a usar los clientes VPN, para este ejemplo se creó el 192.168.54.1/24, el cual debe ir en el campo Address, el campo Network se deja vació ya que al aplicar los cambios este valor se llena automáticamente, y en el campo Interface se asigna la interfaz que previamente creamos wiregaurd1, damos clic en Apply y OK.

Configuración cliente VPN y creación de perfil.

Para este siguiente paso lo primero que tenemos que realizar es descargar el cliente WireGuard, lo pueden descargar desde el siguiente enlace https://www.wireguard.com/install/, una vez descargado lo instalamos, ya instalado ingresamos a los ajustes para crear el perfil.

Crear perfil cliente WireGuard:

  1. Ya en la ventana del WireGuard damos clic en la flecha que está en la opción Añadir túnel ----> Añadir túnel vació que se encuentra en la parte inferior de la ventana.
  2. En la ventana que se nos abre en el campo de Nombre asignaremos un nombre a ese perfil, puede ser cualquiera ya que esto no influye en la conexión.
  3. En el cuadro en blanco que nos aparece debajo de Clave Pública vamos a agregar la siguiente configuración teniendo en cuenta lo siguiente:
  •  PrivateKey: este valor no se cambia, este debe ser el mismo que nos da cuando creamos el túnel VPN.
  • Address: esta es la IP con la que se va a identificar el cliente VPN cuando se conecte.
  • DNS: para este ejemplo usamos los de Google.
  • PublicKey: esta clave la sacamos de la interfaz del WireGuard que creamos anteriormente en el Mikrotik.
  • AllowedIPs: aquí se agregan los segmentos de red a los que se va a tener acceso cuando nos conectemos a la VPN.
  • Endpoint: es la IP pública del proveedor de internet que se tiene configurado en el Mikrotik, la cual se puede encontrar en la siguiente ruta IP ---> Cloud.
  • PersistentKeepalive: no se cambia.

Ejemplo.

[Interface]

PrivateKey = IIBh+ZIqrwYfb8LunAlel8+Ln5x67kq9bBMnFYdQ3mU=

Address = 192.168.54.2/32

DNS = 8.8.8.8

[Peer]

PublicKey = WR6GxeH+tyGh/l08G3SbB0xSjwWr2IDhAg5CAa9htSY=

AllowedIPs = 10.30.0.0/16

Endpoint = 172.172.67.92:13231

PersistentKeepalive = 25

4.     Volvemos al Mikrotik para crear el perfil con el que se va a conectar nuestro cliente VPN, nos vamos a WireGuard, y damos clic en la pestaña de Peers.

5.     Damos clic en el ícono de + y llenamos los siguientes campos:

·         Name: asignamos un nombre al perfil.

·         Interface: seleccionamos la interfaz que creamos anteriormente, en este caso la del wireguard1.

·         Publickey: aquí pegamos la Publickey que nos da el cliente VPN que instalamos.

·         Allowed Address: aquí primero agregamos la IP con la que se va a identificar el cliente VPN cuando se conecte (192.168.54.2/32), importante que este segmento quede con red /32, para evitar bloqueos de la VPN, luego en este mismo campo damos clic hacía en la flecha hacia abajo que está en el lado derecho para que nos agregue otro campo, en este campo agregamos el rango de IP al cual se va a tener acceso cuando tengamos la VPN conectada.

·         Clic en Apply y OK.

 

Apertura de puerto en el Net Security Group de la VM.

  1.   Vamos a Azure, a la VM donde está montado el OS de RouterOS.
  2. Vamos a la opción de Redes.
  3. En la opción de Reglas vamos a crear una nueva.
  4. Damos clic en Crear ACL del puerto ----> Regla de puerto de entrada.
  5. En Intervalos de puertos de destino agregamos el puerto 13231, el cual es el que por defecto que nos entrega la interfaz del WireGuard cuando la creamos.
  6. En protocolo seleccionamos UDP
  7. Le asignamos un nombre para identificar la regla y damos clic en Guardar.

 

Creación de Reglas de Firewall y NAT Mikrotik

Crear reglas de Firewall y Nat para permitir el tráfico entre redes en el Forward.

  1. Nos conectamos al Mikroitk y vamos a la siguiente ruta IP ---> Firewall.
  2. En la ventana que se nos abre damos Clic en la pestaña Filter Rules luego en el ícono +.
  3. En la venta que se nos abre realizamos los siguientes ajustes:
  • En el campo Chain seleccionamos Forward.
  • En el campo Src. Address agregamos la subred origen.
  • En el campo Dst. Address agregamos la subred destino.
  • Damos Clic en Apply y OK.

    4. Realizamos este miso paso, pero cambiando de lugar las subredes, como se muestra en la imagen de más abajo.

   5. Damos Clic en la pestaña NAT luego en el ícono +.

   6. En la venta que se nos abre realizamos los siguientes ajustes:

  • En el campo Chain seleccionamos srcnat.
  • En el campo Src. Address agregamos la subred origen.
  • En el campo Dst. Address agregamos la subred destino.
  • Damos Clic en Apply y OK.

Realizamos este miso paso, pero cambiando de lugar las subredes, como se muestra en la imagen de más abajo.

 

Con estas configuraciones ya realizadas solo queda conectar la VPN y realizar pruebas.

¿Le ha resultado útil este artículo?

Articulos relacionados