Problema con VPN

[rspadar]

Ciao a tutti,

devo realizzare una vpn tra il mio ufficio ed un cliente ma ho un problema.

La mia rete ha classe 192.168.1.0/24 il cliente ha detto che devo presentarmi con una classe di rete 10.111.252.0/24

Ho provato a mettere su la VPN dovrei raggiungere una macchina con indirizzo 10.30.89.95/32 ma in nessun modo riesco a far salile i tunnel.

Come posso impostare la regola di NAT?

Qualcuno può aiutarmi e darmi qualche indicazione?

Raffaele

[xanio]

Ciao rspadar, diciamo che hai detto tutto e niente, visto che:
1. manca la tipologia di vpn che devi usare;
2. la vpn deve essere site-to-site?
3. il cliente ha detto che ti devi presentare come una classe 10.111.252.0/24 per il tunnel, ma il cliente che classe ha, 10.38.89.0/24?
4. che tipo di routing vuoi imporre?
5. come puoi provare a raggiungere l'ip 10.30.89.95 se non sale nemmeno il tunnel?

Esplicita tutti i punti, e forse possiamo darti qualche aiuto o indirizzamento

[rspadar]

Chiedo venia, ecco le info che ti mancano:

1) VPN IPSEC
2) Site to Site
3) Le network che mi hanno dato sono le seguenti: 10.89.30.95/32 e 10.89.30.96/32
4) Devo fare in modo che tutti i miei client su rete 192 devo poter arrivare dal cliente

Raffaele

[xanio]

Una IPSEC site to site, dove la lan remota non può essere 10.89.30.95/32 o 10.89.30.96/32, visto che sono DUE SUBNET DIVERSE!

Quindi la lan remota deve essere 10.111.252.0/24 e la tua 192.168.1.0/24, detto questo con quale ip contatti la sede remota per far salire il tunnel? Essendo un tunnel IPSEC, tu lo contatti con un ip pubblico, e poi con questo instauri il tunnel attraverso il quale puoi fai ruotare la tua e la sua network.

Step2: POSTA UN SAMPLE DELLA TUA CONFIGURAZIONE, e cerchiamo di capire dove sbagli!

[rspadar]

Ecco qua la configurazione che ho fatto:

ipsec
src-address=10.111.252.0/24 src-port=any dst-address=10.89.30.95/32
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=MIOPUBBLICO
sa-dst-address=PUBBLICOCLIENTE proposal=default priority=0


peers

address=PUBBLICOCLIENTE local-address=:: passive=no port=500
auth-method=pre-shared-key secret="Password_1234" generate-policy=no
policy-template-group=default exchange-mode=main send-initial-contact=yes
nat-traversal=no proposal-check=obey hash-algorithm=sha1
enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0
dpd-interval=2m dpd-maximum-failures=5

filter Rules
chain=input action=accept protocol=ipsec-esp src-address=PUBBLICOCLIENTE log=no log-prefix=""


Normalmente questa è la regola di NAT che uso per far funzionare le VPN:
NAT
chain=srcnat action=accept src-address=MIA RETE INTERNA dst-address=RETE REMOTA CLIENTE log=no log-prefix=""


Spero sia sufficiente, è la prima volta che mi capita di dovermi presentare con un altra rete. In allegato c'è anche la scheda che mi hanno passato.

Raffaele

[Sivics]

Se la tua rete è la 192 allora sul nat devi fare una regola che natti il traffico dalla 192 verso la 10.89 mascherando il tuo 192 con la 10.111.
In teoria in questo modo l'IPsec dovrebbe funzionare perchè può identificare il traffico che proviene dalla 10.111 fittizia e va verso la 10.89.

Bibbia: http://wiki.mikrotik.com/wiki/Manual:Packet_Flow