VPN lan to lan HELPPPPPPPPPPPPPPPPPP

[ppraz]

Ciao,
quello che ti serve non va specificato nelle regole di firewall dell'apparato (che peraltro sono inutili perché come dicevo in un post poco fa di default RouterOS si comporta, a livello firewall, con un ACCEPT ANY, quindi se non hai messo una regola in calce con DROP non serve a nulla mettere queste regole di ACCEPT)
Quello che ti serve per pingare da una parte all'altra è una policy ipsec, vedi nell'esempio che ho fatto io, gli dico di obbligare i pacchetti che vengono dalla mia subnet e vanno verso la subnet che c'è dall'altra parte a passare per il tunnel ipsec.

Codice: Seleziona tutto

[admin@ROUT] > ip ipsec policy pri
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0     src-address=10.0.0.0/24 src-port=any dst-address=10.1.0.0/24
       dst-port=any protocol=all action=encrypt level=require
       ipsec-protocols=esp tunnel=yes sa-src-address=X.Y.Z.W
       sa-dst-address=A.B.C.D proposal=default priority=0

Spero di essere stato chiaro.
ciao!

[nirinny]

Ti ringrazio per la risposta, nel src-address va messa la mia LAN o viceversa?
Ho creato la regola (che c'era già) ma ancora niente!!!!
Ti allego il print:
src-address=172.37.1.0/24 src-port=any dst-address=172.16.20.0/24
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=89.X.T.V
sa-dst-address=130.X.Y.Z proposal=default priority=0

[ppraz]

I campi devono essere:
src-address=lan della sede in cui fai la configurazione
dst-address=lan della sede remota
sa-src-address=ip del tuo apparato, in caso di nat quello privato
sa-dst-address=ip pubblico dell'apparato remoto, in caso di nat l'ip pubblico appunto e non il privato

[nirinny]

ti ringrazio, ho chiuso la vpn!!!!!!!!!!! grazie mille