Ipsec site to site

da **varton27** » mar 17 mag 2016, 22:06

Ciao a tutti,

sono nuovo del forum, spero che sia la sezione giusta per il mio problema.
Ho due routerboard Mikrotik rb493ab vers. 6.23 è dovrei creare un ipsec site to site tra due sedi.
In entrambi le sedi ho un modem telecom (con porte aperte UDP 500,4500 e tcp 50,51) e le routerboard sono configurate tramite ip statico sui modem.
Ho provato varie configurazioni ipsec ma tutte senza successo (forse perchè tutte orientate su connessioni pppoe) Come guida quella che si avvicina più al mio caso si trova su questo link http://www.ubuntuserver.it/mikrotik-ipsec-behind-nat/ ma anche essa senza successo. Esiste una guida adatta al mio caso?
Grazie
Antonio

da **Nirinny93** » mar 17 mag 2016, 23:24

Gli ip pubblici sono nattati o sono configurati direttamente sulle rb?

Inviato dal mio iPhone utilizzando Tapatalk

da **varton27** » mar 17 mag 2016, 23:51

I miei ip pubblici sono nattati...le rb sono configurate cn ip statico sui modem wan1=192.168.10.1 e wan2=192.168.30.1

da **Nirinny93** » mer 18 mag 2016, 0:19

Fammi un report della configurazione dell ipsec e delle policy

Inviato dal mio iPhone utilizzando Tapatalk

da **Nirinny93** » mer 18 mag 2016, 0:20

*export non report

Inviato dal mio iPhone utilizzando Tapatalk

da **varton27** » mer 18 mag 2016, 0:40

Rb1 (dove Ip pubblico modem 79.xx.xx.xx e ip statico rb 192.168.10.99)

/ip ipsec peer
add address=151.xx.xx.xx/32 comment="IpSec -> Potenza" dpd-interval=\
disable-dpd enc-algorithm=aes-128 nat-traversal=no secret=xxxxxx
/ip ipsec policy
set 0 disabled=yes
add comment="IPsec -> P2" dst-address=192.168.2.0/24 sa-dst-address=\
151.xx.xx.xx sa-src-address=192.168.10.99 src-address=192.168.1.0/24 \
tunnel=yes
/ip firewall filter
add chain=input comment=IKE dst-port=500 in-interface=WAN1 protocol=udp
add chain=input comment=ESP in-interface=WAN1 protocol=ipsec-esp
add chain=input comment=AH in-interface=WAN1 protocol=ipsec-ah
/ip firewall nat
add chain=srcnat comment="Nat Vpn " dst-address=192.168.2.0/24 src-address=\
192.168.1.0/24

Rb2 (dove indirizzo pubblico 151.xx.xx.xx e ip statico rb 192.168.30.99)

/ip firewall filter
add chain=input comment=IKE dst-port=500 in-interface=WAN1 protocol=udp
add chain=input comment=ESP in-interface=WAN1 protocol=ipsec-esp
add chain=input comment=AH in-interface=WAN1 protocol=ipsec-ah
/ip firewall nat
add chain=srcnat comment="Nat Vpn" dst-address=192.168.1.0/24 src-address=\
192.168.2.0/24
add action=masquerade chain=srcnat
/ip ipsec peer
add address=79.xx.xx.xx/32 dpd-interval=disable-dpd enc-algorithm=aes-128 \
nat-traversal=no secret=xxxxxxxx
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.1.0/24 sa-dst-address=79.xx.xx.xx sa-src-address=\
192.168.30.99 src-address=192.168.2.0/24 tunnel=yes

da **varton27** » mer 18 mag 2016, 20:53

Finalmente ho capito il problema....risolto. Cmq grazie x l interessamento.

da **pioccd** » mer 18 mag 2016, 22:51

In che modo hai risolto? potrebbe essere utile a qualcun altro

da **varton27** » gio 19 mag 2016, 15:35

Ho eliminato queste regole in entrambe le routerboard
add chain=input comment=IKE dst-port=500 in-interface=WAN1 protocol=udp
add chain=input comment=ESP in-interface=WAN1 protocol=ipsec-esp
add chain=input comment=AH in-interface=WAN1 protocol=ipsec-ah
la restante parte della configurazione è ok.

Poi ho aggiunto le rb nella DMZ

Funziona.