Problema con VPN

[rspadar]

Buonasera a tutti,

ho un problema nel creare una VPN tra due uffici. Nella sede 1 ho una connettività sola con un RB1100AHx2.
Nell'altra sede ho un RB1100 dove però ho 3 WAN.

In pratica attualmente ho due reti, 1 con classe 10.10.8.0/24 e 1 con classe 10.10.9.0/24
Utilizzando il Mangle marchio i pacchetti a secondo della rete di provenienza e faccio uscire ogni classe di rete attraverso WAN_8 per la prima classe e WAN_9 per la seconda.
La WAN_X è a disposizione per un eventuale guasto di una delle 2.

Devo creare una VPN con una rete di classe 10.10.10.0/23.
Ho configurato il tutto e non mi funziona un bel niente. Premetto che tutte le altre sedi sono in VPN e funzionanti.

Probabilmente è un problema di routing ma non riesco a capire come individuarlo e risolverlo.

Avete qualche indicazione?


Raffaele

[radiodenis]

Ciao, premetto che non sono un esperto ma di solito di fronte a questo tipo di problema parto dalle cose supersemplici ed inizio con un traceroute e vedo dove vanno a finire i pacchetti. Poi cerco di capire se manca qualche rotta ed eventualmente disattivo temporaneanente le regole di drop del firewall e strada facendo le riattivo. Spero di esser stato un poco utile; se riuscissi a postare la configurazione magari riuscirei a vedere meglio.

Inviato dal mio GT-I9082 con Tapatalk 2

[rspadar]

Ciao ecco la configurazione:

/ip address
add address=10.10.8.253/24 disabled=no interface=LAN_2_O network=10.10.8.0
add address=99.88.111.202/29 disabled=no interface=WAN_9_O network=99.88.111.200
add address=10.10.9.253/24 disabled=no interface=LAN_3_IF network=10.10.9.0
add address=99.88.111.194/29 disabled=no interface=WAN_8_IF network=99.88.111.192

/ip firewall filter
add action=accept chain=input disabled=no protocol=icmp
add action=accept chain=input connection-state=established disabled=no in-interface=WAN_9_O
add action=accept chain=input connection-state=established disabled=no in-interface=WAN_8_IF
add action=accept chain=input connection-state=related disabled=no in-interface=WAN_9_O
add action=accept chain=input connection-state=related disabled=no in-interface=WAN_8_IF
add action=accept chain=input disabled=no protocol=ipsec-esp src-address=2.288.288.253
add action=accept chain=customer disabled=no dst-address=10.10.8.0/24 in-interface=WAN_9_O out-interface=LAN_2_O src-address=10.10.10.0/23
add action=accept chain=customer disabled=no dst-address=10.10.9.0/24 in-interface=WAN_8_IF out-interface=LAN_3_IF src-address=10.10.10.0/23
add action=drop chain=input disabled=no in-interface=WAN_9_O
add action=drop chain=input disabled=no in-interface=WAN_8_IF

/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no new-routing-mark=mark_op passthrough=no src-address=10.10.8.0/24
add action=mark-routing chain=prerouting disabled=no new-routing-mark=mark_ifg passthrough=no src-address=10.10.9.0/24

/ip firewall nat
add action=accept chain=srcnat disabled=no dst-address=10.10.10.0/23 src-address=10.10.8.0/24
add action=accept chain=srcnat disabled=no dst-address=10.10.10.0/23 src-address=10.10.9.0/24
add action=masquerade chain=srcnat disabled=no out-interface=WAN_9_O src-address=10.10.8.0/24
add action=masquerade chain=srcnat disabled=no out-interface=WAN_8_IF src-address=10.10.9.0/24

/ip ipsec peer
add address=222.288.288.253/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=obey secret=1234567890 send-initial-contact=yes

/ip ipsec policy
add action=encrypt disabled=no dst-address=10.10.10.0/23 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=default protocol=all sa-dst-address=222.288.288.253 sa-src-address=99.88.111.202 src-address=10.10.8.0/24 src-port=any tunnel=yes
add action=encrypt disabled=no dst-address=10.10.10.0/23 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=default protocol=all sa-dst-address=222.288.288.253 sa-src-address=99.88.111.194 src-address=10.10.9.0/24 src-port=any tunnel=yes

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=99.88.111.201 routing-mark=mark_op scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=99.88.111.193 routing-mark=mark_ifg scope=30 target-scope=10

/ip route rule
add action=lookup disabled=no interface=WAN_9_O routing-mark=mark_op src-address=10.10.8.0/24 table=mark_op
add action=lookup disabled=no interface=WAN_8_IF routing-mark=mark_op src-address=10.10.9.0/24 table=mark_ifg

Spero non abbia dimenticato nulla.

Raffaele

[rspadar]

Ho fatto un po' di test, le connessioni ad internet funzionano contemporaneamente per ogni sottorete solo se utilizzo il mangle, in questo caso però le VPN non vanno.

Nel caso in cui disattivo il mangle funziona la navigazione solo per 1 sottorete ed una sola VPN.


Qualche idea?


Raffaele

[radiodenis]

Ciao, le vpn come le hai create di preciso? Io da profano le ho fatte poche volte ma se ti può aiutare a riflettere dai uno sguardo qui https://www.routerositalia.net/forum/viewtopic.php?t=1085
Saluti.

Inviato dal mio GT-I9082 con Tapatalk 2