Mikrotik Ipsec behind NAT
In questo articolo spiegherò come configurare la vpn ipsec tra due mikrotik dove una delle due è attraversata da un router cisco quindi è dietro ad un nat.
Ho voluto postare questo articolo oltre che raccontare come al solito la mia esperienza, ma anche perché googlando non ho trovate molte info utili sull’argomento.
Iniziamo dalla Mikrotik dietro il nat, e nel dettaglio vediamo prima di tutto come aprire le porte sul route Cisco:
Cisco 837
Porta 50 TCP – Encapsulation Headers (ESP)
Porta 500 UDP – Key Exchange (IKE)
#conf t
#configure> ip nat inside source static tcp 192.168.1.10 50 interface Dialer0 50
#configure> ip nat inside source static udp 192.168.1.10 500 interface Dialer0 500Mikrotik 951-2N dietro il Cisco
/ip address
add address=192.168.1.10/24 interface=ether1 network=192.168.1.0
/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.7.0/24
add action=masquerade chain=srcnat out-interface=ether1 (qui va specificata la ethernet verso il Cisco)
/ip ipsec peer
add address=87.222.243.96/32 dpd-interval=disable-dpd enc-algorithm=3des \
hash-algorithm=md5 nat-traversal=no secret=ubuntuserver01
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.7.0/24 sa-dst-address=185.195.140.141 sa-src-address=\
0.0.0.0 src-address=192.168.1.0/24 tunnel=yesMikrotik 951-2N diretta su Internet Tramite Modem Bridge e collegamento PPPOE
Anche in questo caso apriamo le porte ma qui direttamente sulla Mikrotik:
/ip firewall filter
add chain=input comment="IKE" dst-port=500 protocol=udp
add chain=input comment="ESP" protocol=ipsec-esp
/ip address
add address=192.168.7.1/24 interface=ether1 network=192.168.7.0
/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=pppoe-out1 (questa è la pppoe che parte da questa mikrotik)
/ip ipsec peer
add address=185.195.140.141/32 dpd-interval=disable-dpd enc-algorithm=3des \
hash-algorithm=md5 nat-traversal=no secret=ubuntuserver01
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.1.0/24 sa-dst-address=87.222.243.96 sa-src-address=\
0.0.0.0 src-address=192.168.7.0/24 tunnel=yesCome potete vedere in tutte e due le configurazioni ho omesso la configurazione del “sa-src-address” in quanto in uno dei lati
si presenta con l’ip provato invece che con il pubblico ed è questo che fa funzionare la vpn nonostante sia dietro un nat.
Spero che sia di aiuto a molti
Frank 😀
-
Ciao Frank,
prima di tutto complimenti per l’ottimo sito e per le tue guide molto esaustive.
Avrei un problema da esporti dal quale non riesco ad uscirne:
ho 2 sedi :
Sede 1 ip pubblico senza nat con uno zywall 200
Sede 2 ip pubblico fastweb nattato per via dell’hug con dietro un mikrotik 750gl
Avrei bisogno di fare una site 2 site tra le 2 sedi con una ipsec, ma nonostante abbia riconfigurato più volte tutto, riesco a passare la fase 1 e non si tira su la fase 2.
Ho preso spunto dalla tua guida per correggere un paio di impostazioni che credevo causassero il problema , ma nonostante nella fase 2 lato zywall metta la subnet di fastweb non si tira su.Per completezza ti espongo i miei dati:
sede 1
ip: 1.1.1.1
subnet : 192.168.10.0/24sede 2
ip pubblico : 2.2.2.2
ip fastweb : 192.168.1.0/24
ip mikrotik : 192.168.1.250 ether1 e subnet su altre interfacce 192.168.20.0/24sapresti aiutarmi con una configurazione tipo?
ps: sul hag di fw hoapero la porta 50 – 4500 e 500
grazie in anticpo 😉
Francesco
-
Ciao
Sono passati quasi 4 anni da questo post, ma spero che ti raggiunga ancora.
Vedo una cosa che non mi spiego in questa configurazione:
nella sezione “/ip ipsec policy”, dst-address e src-address sono identici nei due router, invece di essere invertiti come mi sarei aspettato. Come mai?
Comments