martedì , Marzo 19 2024
Ultime Notizie
Home / Wireless & Networking / Mikrotik / Mikrotik VPN site-to-site L2TP/IPSec

Mikrotik VPN site-to-site L2TP/IPSec

A volte è necessario combinare diverse tecnologie di vpn (cause tecniche,scelte commerciali, etc. etc.).

In questo caso vi spiego come creare una vpn tra due siti che hanno ip dinamico sfruttando sia IPSec che L2TP.

Se avessere ip statico sarebbe molto semplice, un tunnel IPSec e via, ma in questo caso se gli ip sono dinamici il tunnell IPSec da solo non basta: allora incapsuliamo il tunnel in un altro fatto con L2TP ovviamente utilizzando 2 router Mikrotik.

###Server
 
/interface l2tp-server server
set authentication=pap,chap,mschap1,mschap2 keepalive-timeout=disabled
 
/ppp secret
add local-address=172.16.200.1 name=sito2 password=sito2 remote-address=172.16.200.2 service=l2tp
 
/ip ipsec peer
add address=172.16.200.2/32 comment=Sito1_ipsec dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=1234567
 
/ip ipsec policy
add comment="Sito2 > Sito1" dst-address=192.168.1.0/24 level=unique sa-dst-address=172.16.200.2 sa-src-address=172.16.200.1 src-address=192.168.2.0/24 tunnel=yes
 
/ip route
add check-gateway=ping comment=ReteSito1 distance=1 dst-address=192.168.1.0/24 gateway=172.16.200.2
 
/ip firewall nat
add chain=srcnat comment="Nat Bypass Sito1 > Sito2" dst-address=192.168.1.0/24
 
 
###Client
 
/interface l2tp-client
add allow=mschap2 connect-to=xx.xx.xx.x disabled=no name=l2tp-sito2 password=sito2 user=sito2
 
/ip ipsec peer
add address=172.16.200.1/32 comment=Sito2 dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=1234567
 
/ip ipsec policy
add comment="Sito2 > Sito1" dst-address=192.168.2.0/24 level=unique sa-dst-address=172.16.200.1 sa-src-address=172.16.200.2 src-address=192.168.1.0/24 tunnel=yes
 
/ip route
add check-gateway=ping comment=ReteSito2 distance=1 dst-address=192.168.2.0/24 gateway=172.16.200.1
 
/ip firewall nat
add chain=srcnat comment="Nat Bypass Sito2 > Sito1" dst-address=192.168.2.0/24

Have fun!

Info Paolo Daniele

Ingegnere delle Telecomunicazioni, appassionato di informatica fin da piccolo ho trasformato la passione in lavoro. Con il PHP faccio tutto (o quasi...) ma non disprezzo altri linguaggi all'occorrenza. Se vi piace il mio sito, o vi è utile, o vi sto simpatico, offritemi una birra!

Ti potrebbe interessare

Mikrotik Site to Site Wireguard VPN

Ciao Ragazzi, a volte ritornano! Dopo diverso tempo che non posto nulla (per motivi lavorativi!) …

27 Commenti

  1. Ciao Paolo, ho provato a creare una VPN come da te descritto ma non riesco a farla partire, probabilmente sbaglio io qualcosa perchè non ho una grande esperienza.
    Ho 2 routerboard rb2011il-in collegati rispettivamente a una adsl con dlink (ip dinamico con il servizio mynetname.net interno al mikrotik) e a un router huawei 4g (lato client) , in entrambe ho creato il virtual server sulla porta 1723 verso l’inidirizzo ip della porta dei routerboard.
    ho un dubbio sul’user e password sul cliet l2tp , tu la descrivi come sito1 ma dovrebbe essere la stessa che sul server (ppp secret) definisci come sito2 ??
    Come posso verificare in che punto non va?
    Premetto di aver provato a creare una vpn pptp tra il router mikrotik del server e un pc windows dal lato client e funziona senza problemi (sfruttando mynetname.net come indirizzo ip del server).
    Grazie per l’aiuto!!
    Mauro

    • Paolo Daniele

      Ciao Mauro, c’era un errore nella parte l2tp client, l’ho corretto. Giustamente user e pwd del client devono essere uguali a quelle impostate lato server. Sicuramente era questo che ti bloccava. Grazie per la segnalazione.

  2. Paolo Tomiato

    Ciao Paolo, e se le reti sono 3 o più con ip statico come si collegano con ipsec?

    • Paolo Daniele

      Ciao Paolo,
      in quel caso il concetto cambia perchè non è più 1-1 ma diventa 1-molti o molti-molti. In questo caso conviene centralizzare su uno dei tre siti e fare in modo che dal sito “concentratore” vedi il resto della rete.
      P.

  3. Ciao Paolo,
    vorrei fare una cosa del genere solo che uno dei due ha IP statico e l’altro dinamico. Inoltre vorrei avere un server VPN (magari OpenVPN) per poter collegarmi quando sono fuori.
    Che hardware consigli?

    Grazie e ottimo lavoro

    • Paolo Daniele

      Ciao Gianni,
      la configurazione funziona tranquillamente anche se uno dei due IP è statico.
      In questo caso potresti modificarla utilizzando la modalità RoadWarrior da un lato e fare tutto in IPSec puro senza passare da L2TP. Altrimenti se lo lasci così funziona.
      Per quanto riguarda OpenVPN non ti consiglio di farlo con Mikrotik, ma di utilizzare una Raspberry con piVPN per la gestione delle utenze. Fammi un fischio se hai bisogno di configurarla 😉

      • Potresti fare un tutorial, magari video.
        Per spiegare come si configurano 3 o piu siti in VPN tramite IPSec, con unonche fa da concentratore VPN con tutto mikrotik.
        Sarebbe utile

        • Paolo Daniele

          Ciao,
          le mie guide sono amatoriali per far capire sia le potenzialità di Mikrotik che quello che so fare, per il resto c’è la consulenza 😉

  4. Alex Quartaroli

    Ciao Paolo,
    Che modello di router mi consigli di prendere per questo scopo?

    • Paolo Daniele

      Ciao Alex,
      la bellezza di Mikrotik è che anche con i modelli più light riesci a fare grandi cose!
      Se ti servono solo interfacce ETH vai di Hex Lite oppure se ti serve anche la WIFI vai di hAP!

  5. Ciao,
    c’è un errore in questa voce, non si riesce a proseguire:

    /ip ipsec peer
    add address=172.16.200.2/32 comment=Sito1_ipsec dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=1234567

    • Paolo Daniele

      Ciao, se stai usando una versione più nuova rispetto a quella che ho usato io potrebbe essere qualche parametro che è cambiato.
      Basta che vedi quale parametro ti da errore!

      • Vincenzo Antonio Orlando

        Ciao, anche a mè da un errore e non si riece a proseguire. ho l’ultima versione della stable ROS 6.47.8 che gira su un hEX S.

        copiando in terminale la stringa: /ip ipsec peer
        add address=172.16.200.2/32 comment=Sito1_ipsec dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=1234567

        dà un errore nella colonna 49 ovvero il comando “dpd-interval=10s”

        ho visto sulla wiki ed il comando esiste…..

        Non capisco il perchè dell’errore…….

        Puoi per favore aiutarmi? GRAZIE

        • Paolo Daniele

          Ciao!
          Con la versione 6.47 hanno cambiato la posizione di alcuni parametri. (non sarebbe mikrotik se non lo facessero!!)
          Comunque puoi tranquillamente ometterlo, il dpd (Dead Peer Detection) dice dopo quanto tempo il peer remoto viene considerato inattivo.
          P.

  6. Carlo Piga

    Scusa ma in:

    /interface pptp-server server
    set authentication=pap,chap,mschap1,mschap2 keepalive-timeout=disabled

    non dovrebbe essere invece:
    /interface l2tp-server server ….

    il client l2tp non dovrebbe collegarsi ad un server l2tp? Perchè pptp-server?

    • Paolo Daniele

      Ciao,
      grazie della segnalazione ovviamente era l2tp-server 🙂
      Ho provveduto a correggere!
      P.

  7. Perdonami, premettendo che sono discretamente nubbio, ma in questa istruzione

    /interface l2tp-client
    add allow=mschap2 connect-to=xx.xx.xx.x disabled=no name=l2tp-sito2 password=sito2 user=sito2

    le xx indicano un ip pubblico ?

    se si, come si fa a raggiungere l’altra sede? (magari con il cloud immagino)

    grazie e complimenti

  8. Walter Martini

    Buona Domenica Paolo, siccome ho dei problemi con una stringa che persiste a darmi un errore e vedo che in un post precedente di Enrico asserisci che sta usando una versione più nuova rispetto la tua , potresti comunicarmi quale versione hai utilizzato ?
    grazie

    • Paolo Daniele

      Ciao Walter,
      non ricordo che versione ho usato (faccio mille milioni di prove e cambi versione) sicuramente se ti da un errore da linea di comando vedi che errore ti da e capisci quale parametro ha subito delle variazioni.
      Fammi sapere!

  9. Ciao Paolo.
    Ho bisogno di una tua consulenza.
    Posso contattarti in privato?
    Se si a quale indirizzo?

  10. [admin@MikroTik] /ip ipsec peer>> add disabled=d address=172.16.200.1/32 comment=Sito2 dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=xxxxxxxxxxx
    syntax error (line 1 column 14)
    [admin@MikroTik] /ip ipsec peer>>

  11. Ciao,
    Io ho la necessità di poter raggiungere un PC (192.168.100.2) che sta dietro un router Mikrotik LTE (192.168.100.1) con SIM classica che non ha un ip pubblico. L’origine della connessione parte invece da un’altra rete con IP pubblico fisso con un router UNIFI (secondo PC 192.168.2.4).
    Ho configurato l’UNIFI che faccia da server VPN L2TP. Ho configurato il Mikrotik come se fosse un client L2TP ed effettivamente si collega all’UNIFI. Se dal MIKROTIK eseguo in ping su 192.168.2.4 sull’interfaccia VPN funziona correttamente. Ma se dal PC 192.168.100.2 verso 192.168.2.4 questo non funziona. Ho messo anche una route statica nel PC 192.168.100.2 che invia il traffico 192.168.2.4 verso il gateway che è il mikrotik ma non funziona. Come se il Mikotrik ricevesse la richiesta dal PC 192.168.100.2 per il traffico 192.168.2.4 ma non lo dirige verso la VPN.

    Grazie per eventuali suggerimenti

    • Paolo Daniele

      Ciao,
      ti servono le rotte statiche perchè tu ti presenti con un ip diverso.
      P.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *