lunedì , dicembre 11 2017
Ultime Notizie
Home / Wireless & Networking / Mikrotik / Mikrotik Site to Site IPsec VPN

Mikrotik Site to Site IPsec VPN

Ciao Ragazzi,

dopo qualche giorno di pausa si ritorna alla carica!

Oggi vi spiego come mettere su una VPN tra due siti che utilizzano come punto di accesso alla rete.

mikrotik_vpn

Una VPN (Virtual Private Network) è una rete che permette a due punti, connessi ad internet, distanti fisicamente tra loro di apparire come se fossero sulla stessa rete fisica.

Generalmente questo tipo di tunnel viene cifrato per evitare lo “sniffing” dei pacchetti dalla rete.

Esistono diversi sistemi per realizzare VPN sui dispositivi Mikrotik ognuno con vantaggi e svantaggi, ma quello più diffuso è sicuramente IPSec.

Nella figura sopra possiamo vedere come le due rete private abbiano indirizzi ip di classi diverse, 192.168.1.0/24 e 192.168.2.0/24 questo non è fondamentale ma è preferibile per evitare conflitti IP tra le due sedi remote.

Gli indirizzi 1.1.1.1 e 2.2.2.2 sono invece gli IP Pubblici con i quali le due sedi “escono” su Internet.

Quello che dobbiamo configurare principalmente sono 3 cose:

– Policy IPSec;

– Peers IPSec;

– NAT Firewall per permettere il passaggio dei pacchetti

Iniziamo!

 SITO 1

IP Pubblico: 1.1.1.1

IP privato: 192.168.1.0/24

Configurazione Indirizzi IP:

/ip address
add address=192.168.1.1/24 interface=ether1-local network=192.168.1.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

 

Come avrete notato come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

/ip ipsec peer
add address=2.2.2.2/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes

Per il Sito 1 abbiamo finito…passiamo al Sito 2

SITO 2

IP Pubblico: 2.2.2.2

IP privato: 192.168.2.0/24

Configurazione Indirizzi IP:

/ip address
add address=192.168.2.1/24 interface=ether1-local network=192.168.2.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

Anche per il Sito 2 come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

/ip ipsec peer
add address=1.1.1.1/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes

Il gioco è fatto!

Enjoy!

 

Info Paolo Daniele

Ingegnere delle Telecomunicazioni, appassionato di informatica fin da piccolo ho trasformato la passione in lavoro. Con il PHP faccio tutto (o quasi…) ma non disprezzo altri linguaggi all’occorrenza. Se vi piace il mio sito, o vi è utile, o vi sto simpatico, offritemi una birra!

Ti potrebbe interessare

Mikrotik – Visualizzare password Winbox

Ciao Ragazzi, quante volte è capitato di dimenticare una password? Winbox (il tool sviluppato da …

8 Commenti

  1. Ciao Paolo ho letto il tuo articolo , ho creato una vpn punto punto tra un router cisco ed un router microtik , la vpn sale e sembra funzionare ma attualmente dal sito 1 dove c’è il cisco sfoglio il sito 2 dove c’è microtik ma dal sito 2 non riesco a sfogliare il sito 1 ho ricontrollato tutte le impostazioni sembrano tutte corrette , tu hai qualche suggerimento ?
    ringraziandoti in anticipo.

    Quirino

  2. Paolo Daniele

    Ciao Quirino,
    quello che mi viene in mente potrebbe essere legato al routing lato Cisco. Se da dietro il Cisco vedi Mikrotik il routing lato Mikrotik funziona.
    Da un pc del sito 2, prova a fare un traceroute verso un ip del sito 1 e vedi che percorso fa, se cerca di arrivarci da fuori oppure se ruota correttamente ma viene bloccata dal cisco (ad esempio). Al massimo postami il risultato del traceroute che vediamo insieme!
    Ciao!
    Paolo

  3. Ciao,
    volendo creare invece un VPN server L2TP/IPSec su di una routerboard dietro ad un router ADSL?
    Ho seguito vari tutorial in rete, lato client da smartphone riesco anche a collegarmi mentre utilizzando il client incluso in Windows non c’è verso.
    Unico che sono riuscito a far funzionare è la PPTP, ma come è noto poco sicura.

    • Paolo Daniele

      Ciao e scusami per il ritardo nella risposta. Se l’hai fatta funzionare, ossia con lo smartphone ti funziona, quello che mi viene da pensare è legato alla Encryption impostata di default nel client Windows. Guarda l’immagine seguente per capire dove modificare.
      L2TP Windows Client Encryption

      • Grazie per la risposta, si come specificato da smartphone con la L2TP/IPSec funziona regolarmente mentre con applicativo Windows nulla. Provo comunque a seguire le indicazioni da te fornite. Grazie ancora.

  4. Ciao Paolo,
    stavo vedendo i tuoi articoli relativi agli apparati mikrotik, sono molto interessanti.
    Mi chiedevo quali fossero i modelli attualmenti disponibili (uso casalingo) per creare un server (apparato mikrotik) VPN e due client(apparati mikrotik da collegare in 2 siti distinti con in cascata alcuni PC) per permettere un collegamento automatico al server in questione e sfruttrane la connettività internet (presentarsi con l’IP del sito dove presente il server)?

    Spero sia chiaro.
    Grazie

    • Paolo Daniele

      Ciao Daniel,
      grazie per l’apprezzamento. Se ho capito bene, tu hai un VPN server e due client, ma i client non hanno IP Pubblico statico giusto?
      Perchè se hanno IP statico allora non ci sono problemi puoi usare tranquillamente l’IPSec, altrimenti con IP dinamico, se vuoi usare l’IPSec devi prima farlo passare per un altro tipo di tunnel (es. L2TP) oppure con una VPN dove però non risolvi un IP statico nel file di configurazione ma l’hostname (ad esempio sfruttando il DDNS di Mikrotik).
      In entrambi i casi direi che l’apparato ideale è la RB750GL (oppure un qualunque apparato simile con licenza di tipo 4)
      Spero di averti aiutato! A presto

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *