problema ipsec

[nirinny]

Buongiorno a tutti,

ho appena effettuato una configurazione ipsec su rb2011 e la vpn si è chiusa tranquillamente.
Il problema è che non pingo l'ip della lan opposta. Dall'altra parte mi hanno assicurato che la configurazione è tutto ok e vedono i pacchetti arrivare ma che non tornano indietro (così mi ha detto il tecnico), ma dal mio router ne dalla mia lan riesco a pingare l'ip interno dell'altra lan.
Vi inserisco la configurazione riguardo ipsec:

/ip ipsec policy
src-address=192.168.1.0/24 src-port=any dst-address=172.37.1.0/24 dst-port=any
protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes
sa-src-address=213.X.Y.Z sa-dst-address=130.X.Y.Z proposal=default
priority=0

/ip ipsec peers
address=130.X.Y.Z/32 local-address=0.0.0.0 passive=no port=500
auth-method=pre-shared-key secret="******" generate-policy=no
policy-template-group=default exchange-mode=main send-initial-contact=no
nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des
dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m
dpd-maximum-failures=5

/ip firewall nat
chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=172.37.1.0/2>
log=no log-prefix=""


Rimango in attesa di un vostro aiuto
grazie

[nirinny]

nessuno riesci ad aiutarmi?

[xanio]

forss devi applicare una regola di accept sulla chain di forward

[nirinny]

ciao,

ho provato ad aggiungere un accept della regola forward ma non funziona lo stesso!
Consigli?

[uniconnect]

in effetti sono un po' arrugginito riguardo ipsec ... cmq dovrebbe essere un problema di nat e rotte....prova ad aggiungere:
/ip firewall nat
chain=srcnat action=accept src-address=172.37.1.0/24 dst-address=192.168.1.0/24>
log=no log-prefix=""

e poi aggiungi la rotta in ip/routes

inoltre se nel firewall blocchi il traffico ricordati di aprire il protocollo ipsec-esp (50)

ciao

[nirinny]

aggiungo :
- dst-address=172.37.1.0/24 gateway=192.168.1.254 ???

[nirinny]

ragazzi nessuno?
Non riesco a venirne fuori....

[xanio]

hai provato a fare un ping tramite interfaccia lan, ovvero su quale lan hai l'ip 192.168.1.0/24? Se per esempio è sull'interfaccia ether1, allora fai un:

Codice: Seleziona tutto

ping 172.x.y.z interface=ether1

in questo modo viene generato il traffico come se parte dalla tua lan e quindi per raggiungere l'altro ip usa il tunnel. Inizialmente ti da un bel packej reject e poi salito il tunnel il ping va.

Se questo non funziona allora hai sbagliato qualcosa con u parametri del tunnel!

[nirinny]

Risolto!
Nella policy ipsec nel sa-src-address non va messo il mio ip pubblico ma il mio nattato.