mi sono avvicinato da poco a RouterOs e quindi non ho ancora acquisito la necessaria dimestichezza per risolvere da solo questo problema, per il quale chiedo l'aiuto della comunità.
Posseggo uno switch dotato di RouterOs ultima versione ed un device (ZTE MF65M marchiato Wind) che viene visto dal sistema come un'interfaccia LTE. Questo device è in modalità HiLink, cioè si comporta come un router esterno che eroga servizi di DHCP server e NAT sui quali non ho controllo. Purtroppo a causa di questa modalità l'indirizzo pubblico della SIM non è esportato verso il RouterOs. Sono cosciente di questa limitazione ed infatti ho acquistato anche un Huawei E3372 con l'intenzione di trasformarlo in bridge mode. Ci sono riuscito ma poi ho fatto un mezzo casino ed ora è momentaneamente inutilizzabile (questo però è argomento per un altro mio post).
Il device viene regolarmente riconosciuto dal sistema come interfaccia LTE. Attivando il DHCP client l'interfaccia riceve l'indirizzo 192.168.0.136. Il default gateway e DNS server (erogato dal device) è 192.168.0.1. Lo spazio di indirizzamento in bridge da me utilizzato per la LAN nello switch è 192.168.24.0/24. L'IP dell'interfaccia primaria dello switch è 192.168.24.254.
Vorrei poter creare una VPN IPSec che esegua una LAN2LAN verso un Fritzbox.
Avendo il limite della HiLink mode mi aspetto che la connessione avvenga almeno in maniera monodirezionale, cioè dallo switch verso il Fritzbox.
Di seguito la configurazione lato RouterOs che ho ipotizzato possa andare bene:
- Codice: Seleziona tutto
/ip ipsec proposal add name=Proposal-Fritzbox auth-algorithms=sha1 enc-algorithms=3des pfs-group=modp1024 disabled=no
/ip ipsec peer add address=10.0.0.2 port=500 auth-method=pre-shared-key secret=test send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp1024 generate-policy=no comment="IPSec2FritzBox"
/ip ipsec policy add action=encrypt disabled=no src-address=192.168.24.0/24 dst-address=192.168.06.0/24 level=require ipsec-protocols=esp protocol=all tunnel=yes sa-src-address=10.0.0.1 sa-dst-address=10.0.0.2 proposal=Proposal-Fritzbox comment="IPSec2FritzBox"
/ip firewall nat add chain=srcnat src-address=192.168.24.0/24 dst-address=192.168.06.0/24 place-before=0 action=accept comment="IPsec traffic NAT bypass"
/ip firewall nat add chain=srcnat src-address=192.168.24.0/24 place-before=1 action=masquerade comment="Masquerade internal network"
L'indirizzo 10.0.0.1 dovrebbe essere l'IP pubblico con il quale esco su Internet. Questo non mi è noto a causa della limitazione HiLink appena citata. Tuttavia, mediante uno script, riesco a trovare l'indirizzo pubblico assegnato.
L'indirizzo 10.0.0.2 è l'indirizzo pubblico del mio Fritzbox, che mi è noto.
Gli indirizzi 192.168.24.0/24 e 192.168.06.0/24 sono, rispettivamente, gli spazi di indirizzamento delle LAN del mio switch e del Fritzbox.
Assumendo che la configurazione per la VPN lato Fritzbox sia corretta (anche se non ne ho la certezza) la connessione si ferma alla Phase1, dalla quale ottengo un errore di timeout. In altre parole, mi sembra che lo switch e il Fritzbox non riescano a "vedersi".
Ho il sospetto che il problema sia lato RouterOs, poichè non sono sicuro di aver utilizzato correttamente gli indirizzi sorgenti e di non aver configurato correttamente le regole di NAT e Firewall che mi permettano di stabilire la connessione IPSec.
C'è qualcuno della comunità che mi sa indirizzare verso la giusta soluzione ?
Grazie.
