Mikrotik Ipsec Dynamic Policy XAuth
In questo articolo vi mostrerò come effettuare una connessione ipsec site to site dove uno dei due peer ha un ip dinamico.
Il mio setup:
1. Routerboard che fa da server con Ip Statico
1. Routerboard che fa da cliente con Ip Dinamico
Ip Pubblico Server – 185.18.130.130
Network Lato Server – 192.168.11.0/24
Ip Privato Client – 192.168.67.1
Network Lato Client – 192.168.67.0/24
Partiamo dalla configurazione lato server:
/ip ipsec peer
add address=0.0.0.0/0 auth-method=pre-shared-key-xauth dpd-interval=1m generate-policy=port-override local-address=185.18.130.130 nat-traversal=no passive=yes secret=123
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.67.0/24 place-before=0
/ip ipsec user
add name=test password=345
/ip route
add comment=Ipsec-to-Client distance=1 dst-address=192.168.67.0/24 gateway=ether1
## La rotta serve solo per pingare direttamente dal server la rete del client ##Nella configurazione del server inseriamo una secret (123) e creiamo un utente (test – 345)
Poi configuriamo anche il generate-policy cosi crea delle regole di routing dinamiche
Vediamo ora la configurazione lato client:
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.11.0/24 place-before=0
/ip ipsec peer
add address=185.18.130.130/32 auth-method=pre-shared-key-xauth dpd-interval=1m local-address=192.168.67.1 nat-traversal=no secret=123 xauth-login=test xauth-password=345
/ip ipsec policy
add dst-address=192.168.11.0/24 sa-dst-address=185.18.130.130 sa-src-address=192.168.67.1 src-address=192.168.67.0/24 tunnel=yes
/ip route
add comment=Ipsec-to-Server distance=1 dst-address=192.168.11.0/24 gateway=ether1
## Server solo per pingare direttamente dalla Mikrotik ##Qui visto che il client ha un ip dinamico sulla parte wan mettiamo come local address l’ip della lan.
Se abbiamo configurato tutto per benino dovremmo poter riuscire a pingare la network remota.
Se vi sono stato di aiuto offritemi una birra 😀
Submit a Comment