paolodaniele.it – linux & networking
A volte è necessario combinare diverse tecnologie di vpn (cause tecniche,scelte commerciali, etc. etc.).
In questo caso vi spiego come creare una vpn tra due siti che hanno ip dinamico sfruttando sia IPSec che L2TP.
Se avessere ip statico sarebbe molto semplice, un tunnel IPSec e via, ma in questo caso se gli ip sono dinamici il tunnell IPSec da solo non basta: allora incapsuliamo il tunnel in un altro fatto con L2TP ovviamente utilizzando 2 router Mikrotik.
###Server
/interface l2tp-server server
set authentication=pap,chap,mschap1,mschap2 keepalive-timeout=disabled
/ppp secret
add local-address=172.16.200.1 name=sito2 password=sito2 remote-address=172.16.200.2 service=l2tp
/ip ipsec peer
add address=172.16.200.2/32 comment=Sito1_ipsec dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=1234567
/ip ipsec policy
add comment="Sito2 > Sito1" dst-address=192.168.1.0/24 level=unique sa-dst-address=172.16.200.2 sa-src-address=172.16.200.1 src-address=192.168.2.0/24 tunnel=yes
/ip route
add check-gateway=ping comment=ReteSito1 distance=1 dst-address=192.168.1.0/24 gateway=172.16.200.2
/ip firewall nat
add chain=srcnat comment="Nat Bypass Sito1 > Sito2" dst-address=192.168.1.0/24
###Client
/interface l2tp-client
add allow=mschap2 connect-to=xx.xx.xx.x disabled=no name=l2tp-sito2 password=sito2 user=sito2
/ip ipsec peer
add address=172.16.200.1/32 comment=Sito2 dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=1234567
/ip ipsec policy
add comment="Sito2 > Sito1" dst-address=192.168.2.0/24 level=unique sa-dst-address=172.16.200.1 sa-src-address=172.16.200.2 src-address=192.168.1.0/24 tunnel=yes
/ip route
add check-gateway=ping comment=ReteSito2 distance=1 dst-address=192.168.2.0/24 gateway=172.16.200.1
/ip firewall nat
add chain=srcnat comment="Nat Bypass Sito2 > Sito1" dst-address=192.168.2.0/24Have fun!
Ciao Paolo, ho provato a creare una VPN come da te descritto ma non riesco a farla partire, probabilmente sbaglio io qualcosa perchè non ho una grande esperienza.
Ho 2 routerboard rb2011il-in collegati rispettivamente a una adsl con dlink (ip dinamico con il servizio mynetname.net interno al mikrotik) e a un router huawei 4g (lato client) , in entrambe ho creato il virtual server sulla porta 1723 verso l’inidirizzo ip della porta dei routerboard.
ho un dubbio sul’user e password sul cliet l2tp , tu la descrivi come sito1 ma dovrebbe essere la stessa che sul server (ppp secret) definisci come sito2 ??
Come posso verificare in che punto non va?
Premetto di aver provato a creare una vpn pptp tra il router mikrotik del server e un pc windows dal lato client e funziona senza problemi (sfruttando mynetname.net come indirizzo ip del server).
Grazie per l’aiuto!!
Mauro
Ciao Mauro, c’era un errore nella parte l2tp client, l’ho corretto. Giustamente user e pwd del client devono essere uguali a quelle impostate lato server. Sicuramente era questo che ti bloccava. Grazie per la segnalazione.
Ciao Paolo, e se le reti sono 3 o più con ip statico come si collegano con ipsec?
Ciao Paolo,
in quel caso il concetto cambia perchè non è più 1-1 ma diventa 1-molti o molti-molti. In questo caso conviene centralizzare su uno dei tre siti e fare in modo che dal sito “concentratore” vedi il resto della rete.
P.
Ciao Paolo,
vorrei fare una cosa del genere solo che uno dei due ha IP statico e l’altro dinamico. Inoltre vorrei avere un server VPN (magari OpenVPN) per poter collegarmi quando sono fuori.
Che hardware consigli?
Grazie e ottimo lavoro
Ciao Gianni,
la configurazione funziona tranquillamente anche se uno dei due IP è statico.
In questo caso potresti modificarla utilizzando la modalità RoadWarrior da un lato e fare tutto in IPSec puro senza passare da L2TP. Altrimenti se lo lasci così funziona.
Per quanto riguarda OpenVPN non ti consiglio di farlo con Mikrotik, ma di utilizzare una Raspberry con piVPN per la gestione delle utenze. Fammi un fischio se hai bisogno di configurarla 😉
Potresti fare un tutorial, magari video.
Per spiegare come si configurano 3 o piu siti in VPN tramite IPSec, con unonche fa da concentratore VPN con tutto mikrotik.
Sarebbe utile
Ciao,
le mie guide sono amatoriali per far capire sia le potenzialità di Mikrotik che quello che so fare, per il resto c’è la consulenza 😉
Ciao Paolo,
Che modello di router mi consigli di prendere per questo scopo?
Ciao Alex,
la bellezza di Mikrotik è che anche con i modelli più light riesci a fare grandi cose!
Se ti servono solo interfacce ETH vai di Hex Lite oppure se ti serve anche la WIFI vai di hAP!
Qualche consigliobsu oggetti che siano rack-mount.
Che tipo di dispositivo ti serve?
Ciao,
c’è un errore in questa voce, non si riesce a proseguire:
/ip ipsec peer
add address=172.16.200.2/32 comment=Sito1_ipsec dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=1234567
Ciao, se stai usando una versione più nuova rispetto a quella che ho usato io potrebbe essere qualche parametro che è cambiato.
Basta che vedi quale parametro ti da errore!
Ciao, anche a mè da un errore e non si riece a proseguire. ho l’ultima versione della stable ROS 6.47.8 che gira su un hEX S.
copiando in terminale la stringa: /ip ipsec peer
add address=172.16.200.2/32 comment=Sito1_ipsec dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=1234567
dà un errore nella colonna 49 ovvero il comando “dpd-interval=10s”
ho visto sulla wiki ed il comando esiste…..
Non capisco il perchè dell’errore…….
Puoi per favore aiutarmi? GRAZIE
Ciao!
Con la versione 6.47 hanno cambiato la posizione di alcuni parametri. (non sarebbe mikrotik se non lo facessero!!)
Comunque puoi tranquillamente ometterlo, il dpd (Dead Peer Detection) dice dopo quanto tempo il peer remoto viene considerato inattivo.
P.
Scusa ma in:
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 keepalive-timeout=disabled
non dovrebbe essere invece:
/interface l2tp-server server ….
il client l2tp non dovrebbe collegarsi ad un server l2tp? Perchè pptp-server?
Ciao,
grazie della segnalazione ovviamente era l2tp-server 🙂
Ho provveduto a correggere!
P.
Perdonami, premettendo che sono discretamente nubbio, ma in questa istruzione
/interface l2tp-client
add allow=mschap2 connect-to=xx.xx.xx.x disabled=no name=l2tp-sito2 password=sito2 user=sito2
le xx indicano un ip pubblico ?
se si, come si fa a raggiungere l’altra sede? (magari con il cloud immagino)
grazie e complimenti
Ciao, le xx indicano l’ip pubblico del l2tp-server!
P.
Buona Domenica Paolo, siccome ho dei problemi con una stringa che persiste a darmi un errore e vedo che in un post precedente di Enrico asserisci che sta usando una versione più nuova rispetto la tua , potresti comunicarmi quale versione hai utilizzato ?
grazie
Ciao Walter,
non ricordo che versione ho usato (faccio mille milioni di prove e cambi versione) sicuramente se ti da un errore da linea di comando vedi che errore ti da e capisci quale parametro ha subito delle variazioni.
Fammi sapere!
Ciao Paolo.
Ho bisogno di una tua consulenza.
Posso contattarti in privato?
Se si a quale indirizzo?
Ciao,
perdonami il ritardo! Mi trovi a admin [at] paolodaniele [dot] it
[admin@MikroTik] /ip ipsec peer>> add disabled=d address=172.16.200.1/32 comment=Sito2 dpd-interval=10s enc-algorithm=3des nat-traversal=no secret=xxxxxxxxxxx
syntax error (line 1 column 14)
[admin@MikroTik] /ip ipsec peer>>
Ciao,
Io ho la necessità di poter raggiungere un PC (192.168.100.2) che sta dietro un router Mikrotik LTE (192.168.100.1) con SIM classica che non ha un ip pubblico. L’origine della connessione parte invece da un’altra rete con IP pubblico fisso con un router UNIFI (secondo PC 192.168.2.4).
Ho configurato l’UNIFI che faccia da server VPN L2TP. Ho configurato il Mikrotik come se fosse un client L2TP ed effettivamente si collega all’UNIFI. Se dal MIKROTIK eseguo in ping su 192.168.2.4 sull’interfaccia VPN funziona correttamente. Ma se dal PC 192.168.100.2 verso 192.168.2.4 questo non funziona. Ho messo anche una route statica nel PC 192.168.100.2 che invia il traffico 192.168.2.4 verso il gateway che è il mikrotik ma non funziona. Come se il Mikotrik ricevesse la richiesta dal PC 192.168.100.2 per il traffico 192.168.2.4 ma non lo dirige verso la VPN.
Grazie per eventuali suggerimenti
Ciao,
ti servono le rotte statiche perchè tu ti presenti con un ip diverso.
P.