Image Image Image Image Image Image Image Image Image Image

Ubuntu Server | June 7, 2020

Scroll to top

Top

4 Comments

Mikrotik Ipsec behind NAT

Mikrotik Ipsec behind NAT

In questo articolo spiegherò come configurare la vpn ipsec tra due mikrotik dove una delle due è attraversata da un router cisco quindi è dietro ad un nat.
Ho voluto postare questo articolo oltre che raccontare come al solito la mia esperienza, ma anche perché googlando non ho trovate molte info utili sull’argomento.

Iniziamo dalla Mikrotik dietro il nat, e nel dettaglio vediamo prima di tutto come aprire le porte sul route Cisco:

Cisco 837

Porta 50 TCP – Encapsulation Headers (ESP)
Porta 500 UDP – Key Exchange (IKE)

#conf t
#configure> ip nat inside source static tcp 192.168.1.10 50 interface Dialer0 50
#configure> ip nat inside source static udp 192.168.1.10 500 interface Dialer0 500

Mikrotik 951-2N dietro il Cisco

/ip address
add address=192.168.1.10/24 interface=ether1 network=192.168.1.0
 
/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.7.0/24
add action=masquerade chain=srcnat out-interface=ether1 (qui va specificata la ethernet verso il Cisco)
 
/ip ipsec peer
add address=87.222.243.96/32 dpd-interval=disable-dpd enc-algorithm=3des \
    hash-algorithm=md5 nat-traversal=no secret=ubuntuserver01
 
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.7.0/24 sa-dst-address=185.195.140.141 sa-src-address=\
    0.0.0.0 src-address=192.168.1.0/24 tunnel=yes

Mikrotik 951-2N diretta su Internet Tramite Modem Bridge e collegamento PPPOE

Anche in questo caso apriamo le porte ma qui direttamente sulla Mikrotik:

/ip firewall filter
add chain=input comment="IKE" dst-port=500 protocol=udp
add chain=input comment="ESP" protocol=ipsec-esp
 
/ip address
add address=192.168.7.1/24 interface=ether1 network=192.168.7.0
 
/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=pppoe-out1 (questa è la pppoe che parte da questa mikrotik)
 
/ip ipsec peer
add address=185.195.140.141/32 dpd-interval=disable-dpd enc-algorithm=3des \
    hash-algorithm=md5 nat-traversal=no secret=ubuntuserver01
 
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.1.0/24 sa-dst-address=87.222.243.96 sa-src-address=\
    0.0.0.0 src-address=192.168.7.0/24 tunnel=yes

Come potete vedere in tutte e due le configurazioni ho omesso la configurazione del “sa-src-address” in quanto in uno dei lati
si presenta con l’ip provato invece che con il pubblico ed è questo che fa funzionare la vpn nonostante sia dietro un nat.
Spero che sia di aiuto a molti

Frank 😀

Comments

  1. francesco

    Ciao Frank,

    prima di tutto complimenti per l’ottimo sito e per le tue guide molto esaustive.
    Avrei un problema da esporti dal quale non riesco ad uscirne:
    ho 2 sedi :
    Sede 1 ip pubblico senza nat con uno zywall 200
    Sede 2 ip pubblico fastweb nattato per via dell’hug con dietro un mikrotik 750gl
    Avrei bisogno di fare una site 2 site tra le 2 sedi con una ipsec, ma nonostante abbia riconfigurato più volte tutto, riesco a passare la fase 1 e non si tira su la fase 2.
    Ho preso spunto dalla tua guida per correggere un paio di impostazioni che credevo causassero il problema , ma nonostante nella fase 2 lato zywall metta la subnet di fastweb non si tira su.

    Per completezza ti espongo i miei dati:
    sede 1
    ip: 1.1.1.1
    subnet : 192.168.10.0/24

    sede 2
    ip pubblico : 2.2.2.2
    ip fastweb : 192.168.1.0/24
    ip mikrotik : 192.168.1.250 ether1 e subnet su altre interfacce 192.168.20.0/24

    sapresti aiutarmi con una configurazione tipo?

    ps: sul hag di fw hoapero la porta 50 – 4500 e 500

    grazie in anticpo 😉

    Francesco

    • Grazie per i complimenti, postami la config della Mikrotik facendo questo comando da terminale:
      export compact
      Cosi gli do un occhiata 😉

  2. Christian

    Ciao

    Sono passati quasi 4 anni da questo post, ma spero che ti raggiunga ancora.

    Vedo una cosa che non mi spiego in questa configurazione:

    nella sezione “/ip ipsec policy”, dst-address e src-address sono identici nei due router, invece di essere invertiti come mi sarei aspettato. Come mai?

    • Ciao Christian,
      hai ragione è stato un copia ed incolla sbagliato, ora sono corretti.
      Fammi sapere se ti funziona

Submit a Comment

*

adidas yeezy 650 boost adidas yeezy boost 650 adidas yeezy 650 boost colorways adidas yeezy 650 350 2 0 boost yeezy boost 650 adidas yeezy boost 650 supreme x nike air uptempo release info adidas yeezy boost 650 v1 sample detailed look adidas yeezy boost 650 v1 sample adidas yeezy boost 650 v1 sample adidas yeezy boost 650 v1 adidas yeezy 650 boost adidas yeezy boost 650 adidas yeezy 650 boost colorways adidas yeezy 650 350 2 0 boost yeezy boost 650 adidas yeezy boost 650 supreme x nike air uptempo release info adidas yeezy boost 650 v1 sample detailed look adidas yeezy boost 650 v1 sample