VPN lan to lan HELPPPPPPPPPPPPPPPPPP

[nirinny]

Buongiorno ragazzi,

sto cercando di configurare una vpn lan to lan tra un 951 e una rb1100.
Vi inserisco le configurazioni:

RB951
/ip address
add address=82.a.b.3/29 comment=WAN interface=ether2 network=82.a.b.0
add address=172.16.20.1/24 comment=LAN interface=ether5 network=172.16.20.0
/ip firewall filter
add chain=forward protocol=ipsec-esp
add chain=forward protocol=ipsec-ah
add chain=forward dst-port=500 protocol=udp
add chain=forward dst-port=4500 protocol=udp
/ip firewall nat
add chain=srcnat dst-address=172.16.30.0/24 src-address=172.16.20.0/24
add action=masquerade chain=srcnat out-interface=ether2
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-256-cbc lifetime=8h
add enc-algorithms=3des name=proposal1 pfs-group=none
/ip ipsec peer
add address=89.a.b.214/32 lifetime=8h nat-traversal=yes secret=test
/ip ipsec policy
add dst-address=172.16.30.0/24 src-address=172.16.20.0/24 template=yes

RB1100
/ip address
add address=82.a.b.4/29 disabled=no interface=ether1 network=82.a.b.0
add address=172.16.30.1/24 disabled=no interface=ether2 network=172.16.30.0
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=\
10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \
tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s \
udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=accept chain=forward disabled=no protocol=ipsec-esp
add action=accept chain=forward disabled=no protocol=ipsec-ah
add action=accept chain=forward disabled=no dst-port=4500 protocol=udp
add action=accept chain=forward disabled=no dst-port=500 protocol=udp
/ip firewall nat
add action=accept chain=srcnat disabled=no dst-address=172.16.20.0/24 \
src-address=172.16.30.0/24
add action=masquerade chain=srcnat disabled=no out-interface=ether1
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061 sip-direct-media=yes
set pptp disabled=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=\
3des,aes-128,aes-256 lifetime=30m name=default pfs-group=modp1024
/ip ipsec peer
add address=89.a.b.213/32 auth-method=pre-shared-key dh-group=modp1024 \
disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=aes-128 \
exchange-mode=main generate-policy=no hash-algorithm=sha1 lifebytes=0 \
lifetime=1d my-id-user-fqdn="" nat-traversal=yes port=500 proposal-check=\
obey secret=test send-initial-contact=yes
/ip ipsec policy
add action=encrypt disabled=no dst-address=172.16.20.0/24 dst-port=any \
ipsec-protocols=esp level=require priority=0 proposal=default protocol=all \
sa-dst-address=89.a.b.213 sa-src-address=89.a.b.214 src-address=\
172.16.30.0/24 src-port=any tunnel=yes


Vi ringrazio in anticipo
Nicola

[ppraz]

Ciao, ho mascherato alcuni IP che avevi messo, nascondi sempre gli ip pubblici e le password mi raccomando!
L'unica stranezza che noto è che hai dato IP della stessa subnet alle due RB
Inoltre li fai collegare a IP terzi su una classe remota differente
Forse non ti è chiaro che se la RB1 ha IP_pubblico_1 e la RB2 ha IP_pubblico_2 quando fai il tunnel ipsec devi far si che RB1 contatti il peer IP_pubblico_2 e che vicendevolmente RB2 contatti IP_pubblic_1
altro di sbagliato non noto

[nirinny]

Ciao ppraz grazie per la risposta.
Allora ti spiego, io sto facendo delle prove in ufficio e ho una HDSL con 4 ip pubblici, 89.x.x.21x (e altri tre), ognuno dei quali è nattato su un indirizzo ip 82.x.x.2 (e altri tre).
Io sto facendo le prove con due di quell'ip ma non funziona. Comunque ora prova a fare una prova tra HDSL e ADSL in modo che gli ip pubblici siano completamente diversi e non appartanenti alla stessa subnet.
La configurazione da me scritta è corretta?

[ppraz]

Mi pare di sì, verifica solo di aver messo le stesse identiche opzioni (non l'ho letta in dettaglio ma mi sembra così) solo "rovesciate" in maniera reciproca.
Per quanto riguarda le regole di filter dapprima fai senza, poi se tutto funziona aggiungile, come dire, un pezzo alla volta.
Ciao!

[nirinny]

Ciao ragazzi, non ho ancora risolto: ora sto ancora provando, vi metto la configurazione:

Router1
/ip address
add address=82.1XX.1XX.3/29 eth5
add address=172.16.20.1/24 eth1

/ip route
add gateway=82.1XX.1XX.5

/ip firewall
add chain=srcnat out-interface=eth5 action=masquerade

Router 2:
/ip address
add address=95.2XX.1XX.165 eth1
add address=10.0.1.254/24 eth5

/ip route
add gateway=95.2XX.1XX.1

/ip firewall
add chain=srcnat out-interface=eth1 action=masquerade


Router1
/ip ipsec peer
add address=95.2XX.1XX.165/32 port=500 auth-method=pre-shared-key secret=****

Router 2
/ip ipsec peer
add address=89.9X.2XX.213 port=500 auth-method=pre-shared-key secret=****

Router 1:
/ip ipsec policy
add src-address=172.16.20.0/24 src-port=any dst-address=10.0.1.0/24 dst-port=any \ sa-src-address=89.9X.2XX.213 sa-dst-address=95.2XX.1XX.165 \ tunnel=yes action=encrypt proposal=default

Router 2:
/ip ipsec policy
add src-address=10.0.1.0/24 src-port=any dst-address=172.16.20.0/24 dst-port=any \ sa-src-address=95.2XX.1XX.165 sa-dst-address=89.9X.2XX.213 \ tunnel=yes action=encrypt proposal=default

Router 1:
/ip firewall nat
add chain=src-nat action=Accept place-before=0 \ src-address=172.16.20.0/24 dst-addres=10.0.1.0/24

Router 2:
/ip firewall nat
add chain=src-nat action=Accept place-before=0 \ src-address=10.0.1.0/24 dst-addres=172.16.20.0/24


Come mai non funziona? Ho anche aperto le porte 500 e 4500 udp ed i protocolli 50 e 51, ma anche se sono in funzione la vpn non va! In Remote Peers del router 2 arrivano sempre connessioni da parte del router 1 ma lo stato rimani in responder. Qualcuno riesce a darmi una mano?

L'ip che ho utilizzato nel router 1 è nattato, ovvero ip pubblico è 89.9X.2XX.213 nattato su 82.1XX.1XX.3!!!

Vi ringrazio in anticipo

Nicola

[nirinny]

Nessuno?
Sono riuscito a far "collegare i due ip pubblici" ovvero adesso nei remote peers del responder non vi sono più continue richieste, ma la connessione si è stabilita; ma non riesco a pingare le lan che stanno dietro agli ip pubblici

[ppraz]

Nella definizione del peer ipsec specifica "nat-traversal"
lo devi fare perché uno dei due estremi è nattato

[ppraz]

Ti metto la configurazione di un mio router RB1100 che fa IPSEC con un altro apparato remoto

Codice: Seleziona tutto

[admin@ROUT] > ip ipsec peer print
Flags: X - disabled, D - dynamic
0    address=A.B.C.D/32 local-address=0.0.0.0 passive=no port=500
      auth-method=pre-shared-key secret="password" generate-policy=no
      policy-group=default exchange-mode=main send-initial-contact=no
      nat-traversal=yes proposal-check=obey hash-algorithm=md5
      enc-algorithm=des dh-group=modp1024 lifetime=16h lifebytes=0
      dpd-interval=2m dpd-maximum-failures=5

    
[admin@ROUT] > ip ipsec proposal pri
Flags: X - disabled, * - default
0  * name="default" auth-algorithms=md5 enc-algorithms=des lifetime=16h
      pfs-group=none

    
[admin@ROUT] > ip ipsec policy pri
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0     src-address=10.0.0.0/24 src-port=any dst-address=10.1.0.0/24
       dst-port=any protocol=all action=encrypt level=require
       ipsec-protocols=esp tunnel=yes sa-src-address=X.Y.Z.W
       sa-dst-address=A.B.C.D proposal=default priority=0


Nella policy gli imponi gli ip src e dst che devono essere "catturati" dal tunnel e inoltrati attraverso di esso, non servono quindi le regole di ip firewall nat (che servono invece per far navigare gli ip di rete interna su internet)
E' importante che siano coincidenti il lifetime della policy, il clock assoluto! (io una volta avevo ntp attivo ma senza fuso orario e non ne voleva sapere di instaurarsi il tunnel)
Per il resto prova a leggere gli errori che ti restituisce e usa la stessa release software (6.X possibilmente) ai due estremi

[nirinny]

Ciao, sono riuscito a far collegare il tutto, ma sempre il solito problema non pingo la lan opposta e viceversa!!!! AIUTO!!!!!!!!!!!!!!! mi potresti dire le regole che devo creare sia in filter rules che in nat?
io ho creato le regole di input per porte 500 e 4500, protocolli 50 e 51 e tcp 1701!

aiutooooooooooooooooooo

[nirinny]

ti allego la config del firewall

FILTER RULES:
0 chain=input action=accept protocol=udp

1 chain=input action=accept protocol=udp dst-port=500

2 chain=input action=accept protocol=udp dst-port=4500

3 chain=input action=accept protocol=ipsec-esp

4 chain=input action=accept protocol=ipsec-ah

5 chain=input action=accept protocol=tcp dst-port=1701


NAT:
0 chain=srcnat action=accept src-address=172.16.20.0/24
dst-address=172.37.1.0/24

1 chain=srcnat action=masquerade out-interface=ether5

NON PINGO LA LAN OPPOSTA, OVVERO LA 172.37.1.0/24