Image Image Image Image Image Image Image Image Image Image

Ubuntu Server | April 9, 2020

Scroll to top

Top

No Comments

Site to Site IpSec Tunnel Mikrotik

Site to Site IpSec Tunnel Mikrotik

Molte aziende con sedi dislocate in varie zone geografiche hanno la necessità di interconnettere le reti per un continuo scambio di dati.
In questo ci viene in aiuto la tecnologia VPN ed una delle più utilizzate è IPSEC.
IPsec è un protocollo che opera a livello 3 del modello ISO/OSI, rimanendo trasparente alle applicazioni che non devono avere nessun particolare prerequisito per inter-operare.

Quando si decide di usare questo tipo di vpn c’è una cosa che va tenuta
in mente nella progettazione del tunnell, IPSEC non fa routing e non crea interfacce virtuali per come avviente nelle vpn PTP/L2TP o Gre, IPSEC non si basa sul routing ma sulle policy che vengono
configurate nella negoziazione dei protocolli quindi nella configurazione le regole vanno specificate in modo da non creare conflitti con altre sotto-reti presenti su i due end point.

Ip Pubblico Roma – 32.195.163.164
Ip Pubblico Vibo – 39.205.135.50
Rete Interna Roma – 192.168.17.0/24
Rete Interna Vibo – 192.168.6.0/24

 

Vibo
/ip ipsec peer
add address=32.195.163.164/32 comment=Roma nat-traversal=no secret=s3cur3pass2016
 
/ip ipsec policy
add comment="Roma > Vibo" dst-address=192.168.6.0/24 level=unique sa-dst-address=32.195.163.164 sa-src-address=39.205.135.50 src-address=192.168.17.0/24 tunnel=yes
 
/ip route
add check-gateway=ping comment="ReteVibo" distance=1 dst-address=192.168.6.0/24 gateway=ether3 (Interfaccia Lan)
 
/ip firewall nat
add chain=srcnat comment="Nat Bypass Roma > Vibo" dst-address=192.168.17.0/24 action=accept place-before=0
 
 
Roma
/ip ipsec peer
add address=39.205.135.50/32 comment=Vibo nat-traversal=no secret=s3cur3pass2016
 
/ip ipsec policy
add comment="Vibo > Roma" dst-address=192.168.6.0/24 level=unique sa-dst-address=39.205.135.50 sa-src-address=32.195.163.164 src-address=192.168.17.0/24 tunnel=yes
 
/ip route
add check-gateway=ping comment="ReteRoma" distance=1 dst-address=192.168.17.0/24 gateway=ether2 (Interfaccia Lan)
 
/ip firewall nat
add chain=srcnat comment="Nat Bypass Vibo > Roma" dst-address=192.168.6.0/24 action=accept place-before=0

Se non voglia fare la rotta statica con ip route per testare il collegamento, possiamo fare un ping in questo modo da terminale:
ping 192.168.6.254 src-address=192.168.17.254
Qui viene specificato il source address configurato nelle politiche IPSEC

Con questo è tutto 🙂

C’è molto di più che possiamo fare con una VPN IPSec, come ad ex. la configurazione sopra un tunnel GRE o L2TP per il routing magari utilizzando OSPF, ma questo è un altra storia 🙂

Submit a Comment

*

adidas yeezy 650 boost adidas yeezy boost 650 adidas yeezy 650 boost colorways adidas yeezy 650 350 2 0 boost yeezy boost 650 adidas yeezy boost 650 supreme x nike air uptempo release info adidas yeezy boost 650 v1 sample detailed look adidas yeezy boost 650 v1 sample adidas yeezy boost 650 v1 sample adidas yeezy boost 650 v1 adidas yeezy 650 boost adidas yeezy boost 650 adidas yeezy 650 boost colorways adidas yeezy 650 350 2 0 boost yeezy boost 650 adidas yeezy boost 650 supreme x nike air uptempo release info adidas yeezy boost 650 v1 sample detailed look adidas yeezy boost 650 v1 sample