Image Image Image Image Image Image Image Image Image Image

Ubuntu Server | November 27, 2022

Scroll to top

Top

vpn
2 Comments

MikroTik L2tp/IPSec – site-to-site

MikroTik L2tp/IPSec – site-to-site

Può capitare di dover configurare una vpn ipsec site to site con Mikrotik ed avere uno dei due end point che ha l’ip dinamico. In questo caso possiamo innalzare la vpn ipsec su un vpn l2tp quindi un tunnel su un tunnel 😀

Nell’esempio qui sotto c’è una Mikrotik che ha ip statico che fa da server L2tp e la Mikrotik con l’ip dinamico che fa da client e poi viene configurato la vpn ipsec usando gli ip privati del client/server l2tp.

 

192.168.15.0/24
LAN-CALTANISSETTA
  ----------
  | client |
  ----------
 91.154.121.28
WAN-CALTANISSETTA
      |
  172.16.200.2
  l2tp tunnel
  172.16.200.1
      |
   WAN-ROMA
185.19.110.41
  ----------
  | server |
  ----------
   LAN-ROMA
192.168.50.0/24

 

Server
/interface l2tp-server server set authentication=mschap2 enabled=yes
 
/ppp secret
add local-address=172.16.200.1 name=caltanissetta password=roma remote-address=172.16.200.2 service=l2tp
 
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des lifetime=1d
 
/ip ipsec peer
add address=172.16.200.2/32 comment=Caltanissetta dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=1234
 
/ip ipsec policy
add comment="Roma > Caltanissetta" dst-address=192.168.15.0/24 level=unique sa-dst-address=172.16.200.2 sa-src-address=172.16.200.1 src-address=192.168.50.0/24 tunnel=yes
 
/ip route
add check-gateway=ping comment=ReteCaltanissetta distance=1 dst-address=192.168.15.0/24 gateway=172.16.200.2
 
/ip firewall nat
add chain=srcnat comment="Nat Bypass Roma > Caltanissetta" dst-address=192.168.15.0/24
 
 
Client
 
/interface l2tp-client
add allow=mschap2 connect-to=91.154.121.28 disabled=no name=l2tp-roma password=roma user=caltanissetta
 
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des lifetime=1d
 
/ip ipsec peer
add address=172.16.200.1/32 comment=Roma dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=1234
 
/ip ipsec policy
add comment="Caltanissetta > Roma" dst-address=192.168.50.0/24 level=unique sa-dst-address=172.16.200.1 sa-src-address=172.16.200.2 src-address=192.168.15.0/24 tunnel=yes
 
/ip route
add check-gateway=ping comment=ReteRoma distance=1 dst-address=192.168.50.0/24 gateway=172.16.200.1
 
/ip firewall nat
add chain=srcnat comment="Nat Bypass Roma > Caltanissetta" dst-address=192.168.50.0/24

Comments

  1. ricky

    ciao,hai qualche suggerimeto sul da farsi per fare un vpn su una linea nattata dal provider mobile? vorrei farla su una scheda wind ma non ho il natting da parte del provider…grazie e complimenti!
    e se nell’esempio sopra,tutte e due le wan avessero l’ip dinamico cosa si potrebbe fare?

    • I provider GSM solitamente non danno un ip pubblico ma un ip nattato, por poter accedere dovresti mettere un server intermedio magari un vps low cost con una mini ubuntu/debian dove configurare la vpn ex. Openvpn e fare il modo che il tuo router con la sim ci collega come client alla vpn di questo vps. Poi configuri il client del tuo telefono o notebook su questa vpn e da li dovresti raggiungere la tua sede ovviamente vanno fatte un po di modifiche in openvpn per routare la sottorete che sta dietro la sim.
      Fammi sapere se ti servono altre info

Submit a Comment

*

adidas yeezy 650 boost adidas yeezy boost 650 adidas yeezy 650 boost colorways adidas yeezy 650 350 2 0 boost yeezy boost 650 adidas yeezy boost 650 supreme x nike air uptempo release info adidas yeezy boost 650 v1 sample detailed look adidas yeezy boost 650 v1 sample adidas yeezy boost 650 v1 sample adidas yeezy boost 650 v1 adidas yeezy 650 boost adidas yeezy boost 650 adidas yeezy 650 boost colorways adidas yeezy 650 350 2 0 boost yeezy boost 650 adidas yeezy boost 650 supreme x nike air uptempo release info adidas yeezy boost 650 v1 sample detailed look adidas yeezy boost 650 v1 sample