Supongamos que tenemos routers Cisco en casa de clientes funcionando desde tiempo inmemorial, estupendamente, y que no se quieren cambiar.
Supongamos además que, por el motivo que sea, necesitamos una VPN entre uno de esos routers Cisco y un Mikrotik que tenemos funcionando en otro sitio, como por ejemplo en un centro de datos.
Supongamos que nos ponemos a buscar documentación sobre el asunto… Y el resultado puede ser más descorazonador, pero por poco. Para saber qué versión de L2TP habla el Mikrotik, hay que remitirse al RFC (en resumen: La 2). Muchos IOS, no tienen una implantación completa de L2TP como la que he usado; si no existe pseudowire-class, lo mejor es ir directamente a otro IOS. Por ejemplo, en los 2801 que corren un venerable pero estabilísimo 12.4T, no hay en la IP Voice, pero sí en la IP Base. Los caminos del señor (el señor que empaqueta las versiones de IOS, quiero decir) son inescrutables.
Por resumir una horita de pelea: Esta configuración que adjunto, funciona. Ciertamente admite mejoras: Poner algo de encriptación, para empezar. Y seguramente sobre alguna cosilla, como por ejemplo la doble clave el en caso del Cisco. Pero tal como me ha quedado, lo cuento. Y cuando la mejore en un futuro, prometo intentar vencer la pertinaz procrastinación y actualizar el artículo.
Como ejercicio para el lector, dejo adivinar qué parte va en el Cisco, y qué parte en el Mikrotik.
El cliente:
l2tp-class Voz hostname l2tp-cliente password laclavequesea ! pseudowire-class PseudoHilillo encapsulation l2tpv2 protocol l2tpv2 EncapsulacionL2TP ip local interface Loopback0 ! interface Virtual-PPP1 ip address negotiated ip mtu 1460 ip tcp adjust-mss 1420 ppp chap hostname l2tp-mikrotik ppp chap password laclavequesea pseudowire 10.0.0.1 11 pw-class PseudoHilillo !
Y el servidor:
/interface l2tp-server add comment=cliente name=l2tp-cliente user=l2tp-cliente /interface l2tp-server server set enabled=yes max-mru=1460 max-mtu=1460 /ppp secret add local-address=10.0.0.1 name=l2tp-cliente password=laclavequesea profile=l2tp-tunnel remote-address=10.0.0.2
0 Comentarios.