martedì , Marzo 19 2024
Ultime Notizie
Home / Wireless & Networking / Mikrotik / Mikrotik Site to Site IPsec VPN

Mikrotik Site to Site IPsec VPN

Ciao Ragazzi,

dopo qualche giorno di pausa si ritorna alla carica!

Oggi vi spiego come mettere su una VPN tra due siti che utilizzano come punto di accesso alla rete.

mikrotik_vpn

Una VPN (Virtual Private Network) è una rete che permette a due punti, connessi ad internet, distanti fisicamente tra loro di apparire come se fossero sulla stessa rete fisica.

Generalmente questo tipo di tunnel viene cifrato per evitare lo “sniffing” dei pacchetti dalla rete.

Esistono diversi sistemi per realizzare VPN sui dispositivi Mikrotik ognuno con vantaggi e svantaggi, ma quello più diffuso è sicuramente IPSec.

Nella figura sopra possiamo vedere come le due rete private abbiano indirizzi ip di classi diverse, 192.168.1.0/24 e 192.168.2.0/24 questo non è fondamentale ma è preferibile per evitare conflitti IP tra le due sedi remote.

Gli indirizzi 1.1.1.1 e 2.2.2.2 sono invece gli IP Pubblici con i quali le due sedi “escono” su Internet.

Quello che dobbiamo configurare principalmente sono 3 cose:

– Policy IPSec;

– Peers IPSec;

– NAT Firewall per permettere il passaggio dei pacchetti

Iniziamo!

 SITO 1

IP Pubblico: 1.1.1.1

IP privato: 192.168.1.0/24

Configurazione Indirizzi IP:

/ip address
add address=192.168.1.1/24 interface=ether1-local network=192.168.1.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

 

Come avrete notato come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

/ip ipsec peer
add address=2.2.2.2/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes

Per il Sito 1 abbiamo finito…passiamo al Sito 2

SITO 2

IP Pubblico: 2.2.2.2

IP privato: 192.168.2.0/24

Configurazione Indirizzi IP:

/ip address
add address=192.168.2.1/24 interface=ether1-local network=192.168.2.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

Anche per il Sito 2 come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

/ip ipsec peer
add address=1.1.1.1/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes

Il gioco è fatto!

Enjoy!

 

Info Paolo Daniele

Ingegnere delle Telecomunicazioni, appassionato di informatica fin da piccolo ho trasformato la passione in lavoro. Con il PHP faccio tutto (o quasi...) ma non disprezzo altri linguaggi all'occorrenza. Se vi piace il mio sito, o vi è utile, o vi sto simpatico, offritemi una birra!

Ti potrebbe interessare

Mikrotik Site to Site Wireguard VPN

Ciao Ragazzi, a volte ritornano! Dopo diverso tempo che non posto nulla (per motivi lavorativi!) …

31 Commenti

  1. Ciao Paolo ho letto il tuo articolo , ho creato una vpn punto punto tra un router cisco ed un router microtik , la vpn sale e sembra funzionare ma attualmente dal sito 1 dove c’è il cisco sfoglio il sito 2 dove c’è microtik ma dal sito 2 non riesco a sfogliare il sito 1 ho ricontrollato tutte le impostazioni sembrano tutte corrette , tu hai qualche suggerimento ?
    ringraziandoti in anticipo.

    Quirino

  2. Paolo Daniele

    Ciao Quirino,
    quello che mi viene in mente potrebbe essere legato al routing lato Cisco. Se da dietro il Cisco vedi Mikrotik il routing lato Mikrotik funziona.
    Da un pc del sito 2, prova a fare un traceroute verso un ip del sito 1 e vedi che percorso fa, se cerca di arrivarci da fuori oppure se ruota correttamente ma viene bloccata dal cisco (ad esempio). Al massimo postami il risultato del traceroute che vediamo insieme!
    Ciao!
    Paolo

  3. Ciao,
    volendo creare invece un VPN server L2TP/IPSec su di una routerboard dietro ad un router ADSL?
    Ho seguito vari tutorial in rete, lato client da smartphone riesco anche a collegarmi mentre utilizzando il client incluso in Windows non c’è verso.
    Unico che sono riuscito a far funzionare è la PPTP, ma come è noto poco sicura.

    • Paolo Daniele

      Ciao e scusami per il ritardo nella risposta. Se l’hai fatta funzionare, ossia con lo smartphone ti funziona, quello che mi viene da pensare è legato alla Encryption impostata di default nel client Windows. Guarda l’immagine seguente per capire dove modificare.
      L2TP Windows Client Encryption

      • Grazie per la risposta, si come specificato da smartphone con la L2TP/IPSec funziona regolarmente mentre con applicativo Windows nulla. Provo comunque a seguire le indicazioni da te fornite. Grazie ancora.

  4. Ciao Paolo,
    stavo vedendo i tuoi articoli relativi agli apparati mikrotik, sono molto interessanti.
    Mi chiedevo quali fossero i modelli attualmenti disponibili (uso casalingo) per creare un server (apparato mikrotik) VPN e due client(apparati mikrotik da collegare in 2 siti distinti con in cascata alcuni PC) per permettere un collegamento automatico al server in questione e sfruttrane la connettività internet (presentarsi con l’IP del sito dove presente il server)?

    Spero sia chiaro.
    Grazie

    • Paolo Daniele

      Ciao Daniel,
      grazie per l’apprezzamento. Se ho capito bene, tu hai un VPN server e due client, ma i client non hanno IP Pubblico statico giusto?
      Perchè se hanno IP statico allora non ci sono problemi puoi usare tranquillamente l’IPSec, altrimenti con IP dinamico, se vuoi usare l’IPSec devi prima farlo passare per un altro tipo di tunnel (es. L2TP) oppure con una VPN dove però non risolvi un IP statico nel file di configurazione ma l’hostname (ad esempio sfruttando il DDNS di Mikrotik).
      In entrambi i casi direi che l’apparato ideale è la RB750GL (oppure un qualunque apparato simile con licenza di tipo 4)
      Spero di averti aiutato! A presto

  5. Paolo Tomiato

    Ciao Paolo, ancora una volta ho bisogno di un tuo chiarimento: ho configurato la vpn ipsec tra 2 mikrotik RB3011 e funziona quasi tutto. Le uniche cose che non mi vanno sono credo collegate: in risorse di rete non vedo di pc e le apparecchiature di entrambe le reti e se cerco di raggiungere le macchie tramite il NetBIOS name tipo \\nomepc i nomi non vengono risolti. Ovviamente se uso \\192.168.x.x funziona perfettamente.

    Mi sai spiegare dove ho sbagliato?

    • Paolo Daniele

      Ciao Paolo,
      scusa il ritardo nella risposta ma non mi è possibile “presidiare” sempre il sito!
      In realtà non hai sbagliato niente, NETBIOS non è un protocollo che viene ruotato via IP, ma deve esserci qualcuno a monte che glielo dice.
      Per prima cosa sulla macchina Windows devi abilitare il Netbios over TCP e poi ti serve un server WINS che risolva i nomi (o banalmente se è poca cosa usi il file hosts delle macchine).

  6. Ciao Paolo,

    io ho una situazione un pò differente, ti spiego:
    LAN1: 172.30.x.x/19 (subnet 255.255.224.0)
    LAN2: 172.30.10.10/19 (subnet 255.255.224.0)

    E’ consigliabile modificare la classe di rete su LAN2 e passarla ad una 192.168.10.x/24? (i client sono una 50ina)
    In tal caso come andrebbe fatta la configurazione tra due reti?

    LAN1: 172.30.x.x/19 (subnet 255.255.224.0)
    LAN2: 192.168.10.x/24 (subnet 255.255.255.0)

    Grazie!!!

    • Paolo Daniele

      Ciao,
      in questo caso ti conviene perchè potrebbe incasinarsi il routing.
      La configurazione puoi seguire esattamente la guida semplicemente nella parte di bypass (dentro il IP-Firewall) aggiungi su LAN1 gli ip di LAN2 e viceversa come dst-address.
      A presto!

  7. Ciao Paolo,
    e se tra i due siti non avessi degli indirizzi statici posso sfruttare il DDNS Mikrotik? Mi basta sostituire gli indirizzi “IP pubblici” con “xxxxxxxx.sn.mynetname.net”?

    Grazie

    Emanuele

    • Paolo Daniele

      Ciao Emanuele,
      non è così facile perchè quando tu definisci le policy ipsec specifiche l’ip sorgente. Non puoi specificare un hostname. Per cui no non va bene.
      Si può fare con i roadwarrior (0.0.0.0) ma solo i client vedranno la sorgente e non viceversa.
      A questo punto fai o un EoIP oppure un L2TP + IPsec.
      Ciao!

  8. Buongiorno Paolo , ho letto il tuo articolo molto interessante, stato valutando di metere in piedi una vpn tra due sede dello studio la principale con 6 utenti e la secondaria con 2 utenti, lo scopo è far accedere dalla sede secondaria al server presente nella sede principale dove risiede il tool gestionale e permettere ad un telefono ip di registrarsi come client del centralino presente sempre nella sede principale.
    Che modelli mi consigli ?

    Grazie
    saluti

    • Paolo Daniele

      Ciao Stefano,
      se il throughput che devi gestire non è altissimo anche le RB750.
      Il Modello Hex RB750Gr3 supporto IPSec Hardware Encryption per migliorare le prestazioni delle connessioni ipsec.
      Ciao,
      P.

  9. Salve avrei bisogno di una mano…ho una 941 che mi fa da router da un cliente ..un’altra ditta ha installato un firebox sulla rete con ip interno 192.169.0.253 e mi ha chiesto questa configurazione:
    Da Internet verso l’IP del firewall AB (192.168.0.253): 500-UDP, 4500-UDP, 1701-UDP, 1723-TCP, 443-TCP;
    Porte in uscita aperte;
    Nessun filtro IP in ingresso.

    Inoltre, specifico che il nostro firewall non deve essere nattato (masquerading) e sul Router/Firewall del cliente:

    devono essere consentiti i protocolli ESP e GRE;
    devono essere attive le modalità VPN Passthrough L2TP, PPTP e IPSec.
    Fatto il tutto abbiamo problemi a fare salire il tunnel IPsec il resto funziona tutto..dove ho potuto sbagliare?

    • Paolo Daniele

      Ciao,
      quello che mi stai chiedendo è una consulenza informatica e non è gestibile tramite semplici commenti sul sito, se hai bisogno mandami una mail che ti faccio una quotazione 🙂
      A presto,
      P.

  10. Ciao Paolo,
    avrei bisogno di una tua consulenza per configurare un microtik , per poter fare accedere dall’esterno 12 utenti su 12 pc tutti sulla stessa rete , Smart Working , per il mio ufficio .
    ti ringrazio aspetto una tua quotazione per la consulenza .

    SALUTI
    lUIGI

    • Paolo Daniele

      Ciao Luigi,
      purtroppo Mikrotik non è molto elastica con clienti roadwarrior per cui o usi una connessione VPN di tipo PPTP o L2TP che puoi avviare direttamente da windows dei tuoi collaboratori.
      Non ho ancora fatto una guida.
      Mandami una mail che ti mando una quotazione.

  11. Ciao Paolo,
    volevo per il momento chiederti se è fattibile creare una rete VPN site to site tra un fritzbox connesso a internet con adsl con ip pubblico dinamico e un mikrotik connesso a internet tramite tethering di un cellulare HO. Grazie

    • Paolo Daniele

      Buongiorno Sandro, perdonami per il ritardo nella risposta.
      Diciamo che proprio semplice la vita non vuoi rendertela 🙂
      IPsec puro non lo puoi fare sicuramente perchè entrambi sono ip dinamici, inoltre se a questo metti il fatto che la mikrotik va su internet con una connessione dati, dove sei ovviamente nattato, ti dico no, non è possibile.
      A seconda del modello del fritz potresti prendere una SIM M2M con ip pubblico statico (se ti serve ti posso indicare chi le fornisce per un buon prezzo) lato mikrotik e fare una L2TP o una PPTP dal fritz verso la Mikrotik.
      P.

      • Vincenzo164

        Ciao Paolo, ho visto la risposta che hai dato a sandro, e la cosa mi ha incuriosito.
        In pratica, anche io avrei l’esigenza di collegare casa mia dotata di FTTC (con router 7590 fritz) quindi ip dinamico pubblico con la mia casa di campagna dotata di connessione lte tramite una stx mikrotik lte6kit dotata di una normale sim dati con indirizzo privato e nattato dall’operatore iliad. La mia esigenza è accedere tramite il mio ip pubblico di casa ad una vpn fatta tra casa di citta e la campagna per sorvegliare il corretto funzionamento degli apparati (telecamere e router stx).
        Mi pare di aver capito dalla risposta che hai dato a Sandro, che questo collegamento non è fattibile se non con una sim m2m lato stx. non ci sono altre alternative per aggirare l’indirizzo ip nattato fornito dal mio isp lte?
        Spero di essere stato chiaro su cosa mi serve fare.
        Grazie anticipate per eventuali risposte, e, complimenti per il bel sito internet che gestisci, sempre pieno di spunti e guide interessanti.
        Saluti.

        • Paolo Daniele

          Ciao Vincenzo,
          perdonami nel ritardo ma ho monitorato poco il sito in questo periodo. Il problema dell’LTE lo risolvi o con una M2M oppure con una connessione L2TP, ma ti serve una mikrotik da ambo i lati o comunque un modem che fa da L2TP server.
          Se ti serve scrivi che possiamo approfondire.

  12. Ciao, ho un modem telecom non gestibile indirizzo 192.168.0.1, mi sono fatto attivare la dmz per gestire tutto da microtik. per fare la vpn ho messo attivato la vpn dalla pagina del “quick set” e su ppp ho inserito 5 utenti che si dovranno connettere ad un indirizzo del nas interno 192.168.1.200
    Si riesce a connettere solo un utente alla volta, sai dirmi perché? Grazie

    • Paolo Daniele

      Ciao dovrei vedere la config altrimenti mi viene un po’ difficile capire 🙂

  13. Ciao,
    volevo chiederti se riesci a darmi un aiuto, ho installato sul mio microtik os router il servizio nordvpn, ma non mi pare stia funzionando, nel senso che vedo nella sezione IPSEC la NORD VPN ma credo che non vada su. se faccio da un browser il mio ip mi riporta sempre l’ip della connessione e non quello del NORDVPN ho seguito la procedura presente nel sito NORD VPN. come posso verificare che la VPN vada su in automatico e che risalga in caso di sconnessione grazie

    • Paolo Daniele

      Ciao,
      ma sei sicuro che sia IPSec la VPN che hai acquistato? Oppure che non sia quella classica client-server?
      Perchè IPSec presuppone pre-shared key, configurazioni di PH1 e PH2.
      Comunque puoi facilmente attivare la modalità debug (System Logging e poi attivi ipsec e debug insieme) e vedere cosa non ti sale.
      A presto,
      P.

  14. Buongiorno, complimenti per i vari tutorial. Scrivo per un motivo semplicissimo.
    2 MK in versione 7, tunnel ipsec con ip pubblici statici creato e apprantemente sembra attivo.
    NAT fra le due lan interne disattivato.
    Nulla da fare, le reti interne dei due siti non si vedono fra di loro.

    C’è da dire che l’interfaccia è cambiata in alcune sue parti e non vorrei che mi mancasse qualcosa.

    Grazie e complimenti ancora
    Giuseppe

    • Paolo Daniele

      Ciao,
      ma il tunnel è up?
      Sei sicuro?
      Da quello che mi dici gli endpoint almeno si devono pingare. Se non li pinghi vuol dire che il tunnel è up solo per finta.
      Hai controllato nei log?
      Vai in Logging e abilita il debug sulla ipsec così capisci dove sta il problema o postami i log e le conf.
      P.

      • Ciao scusami, non riesco a postare i log.
        Al momento mi da errore sulla negoziazione della fase 2.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *