Problema con doppia WAN e VPN IPSEC

[rspadar]

Ciao a tutti,

ho configurato una router board RB450G per utilizzare due WAN.
Internamente agli uffici ho due reti LAN separate con classi differenti. Una LAN1 192.168.100.0/23 ed una LAN2 192.168.200.0/24
Ogni Lan è abilitata ad uscire per la sua WAN. Ad esempio la LAN1 esce con la WAN1, la LAN2 esce con la WAN2.
Marcando il traffico in prerouting ed utilizzando delle rotte e la metrica, faccio in modo che se cade la WAN1 tutti navigano dalla WAN2 e viceversa.

Ho però un grosso problema. Vorrei realizzare una VPN IPSEC con una nostra sede sulla WAN1. IL tunnel non sale e si blocca già in Phase 1.
Da verifiche fatte mi sono accorto che:
1) Non riesco a pingare le interfacce WAN1 e WAN2 dall'esterno, nonostante l'icmp sia abilitato
2) Non riesco ad accedere alla routerboard dall'esterno su nessuna delle due interfacce nonostante la porta sia aperta

Da quello che ho potuto vedere quando tento di fare qualcosa dall'esterno sulle due interfacce arrivo alle WAN1 e 2 perchè vedi che i contatori avanzano ma comunque non ho risposta.

Qualcuno ha qualche indicazione da darmi?


Raffaele

[radiation]

Sulla RB c’è attestata direttamente una pppoe? Oppure è in bridge con qualcos’altro?
In teoria non serve aprire nulla sulla RB;

[rspadar]

No non ho una pppoe ma ogni WAN è sotto al suo router con IP Pubblico differente

Raffaele

[radiation]

Ma alla RB c’è impostato ip pubblico diretto?

[rspadar]

WAN1 ha un ip pubblico relativo al router del provider 1
WAN2 ha un ip pubblico relativo al router del provider 2

LAN1 ha un indirizzo della classe 192.168.100.0/23
LAN2 ha un indirizzo della classe 192.168.200.0/24

Spero sia stato chiaro, o forse non ho capito la domanda.

Raffaele

[radiation]

Ok, quindi nella RB hai messo direttamente alla WAN1 il suo pubblico, senza passare per un IP privato.Era per capire se c'era un'altro NAT di mezzo oppure no.
Do per scontato che il provider non abbia limitazioni sulla connettività.
Hai provato ad abilitare i log della IPsec per vedere cosa succede?

[rspadar]

Ho parlato con entrambi i provider e non hanno limitazioni.
Praticamente il firewall remoto non riesce a parlare con il mikrotik non negozia nemmeno la phase 1.
Nonostante la configurazione sembri corretta, ne ho configurato a centinaia, ma questa è la mia prima volta con 2 WAN e questo sistema di failover


Quello che è strano che non riesco nemmeno a fare un telnet sulla 8291 da remoto che è aperta su entrambi gli indirizzi WAN


Raffaele

[radiation]

Ma cosa vuol dire che è aperta la porta?
Se il Mikrotik fa da router non devi aprire nulla per lui. è lui il router, lui riceve tutto.

Comunque i log della VPN cosa dicono?

[rspadar]

Scusami,

ma se voglio accedere alla RB da remoto devo impostare il firewall per dare accesso alla 8291 o no?

[radiation]

Se la RB è quella che fa da router/firewall non va aperto nulla. E anche per questo che chiedevo se prima della RB c’era altro.