Linux 360° | Italia » vpn http://www.linux360.it Notizie, guide e tutorial per il mondo Linux a 360° Tue, 16 Dec 2014 14:03:33 +0000 it-IT hourly 1 https://wordpress.org/?v=3.9.40 Mikrotik Site to Site IPsec VPN http://www.linux360.it/2014/10/20/mikrotik-site-to-site-ipsec-vpn/ http://www.linux360.it/2014/10/20/mikrotik-site-to-site-ipsec-vpn/#comments Mon, 20 Oct 2014 08:45:34 +0000 http://www.paolodaniele.it/?p=2005 Ciao Ragazzi, dopo qualche giorno di pausa si ritorna alla carica! Oggi vi spiego come mettere su una VPN tra due siti che utilizzano come punto di accesso alla rete. Una VPN (Virtual Private Network) è una rete che permette a due punti, connessi ad internet, distanti fisicamente tra loro di apparire come se fossero ...

L'articolo Mikrotik Site to Site IPsec VPN sembra essere il primo su Linux 360° | Italia.

]]> Ciao Ragazzi,

dopo qualche giorno di pausa si ritorna alla carica!

Oggi vi spiego come mettere su una VPN tra due siti che utilizzano come punto di accesso alla rete.

mikrotik_vpn

Una VPN (Virtual Private Network) è una rete che permette a due punti, connessi ad internet, distanti fisicamente tra loro di apparire come se fossero sulla stessa rete fisica.

Generalmente questo tipo di tunnel viene cifrato per evitare lo “sniffing” dei pacchetti dalla rete.

Esistono diversi sistemi per realizzare VPN sui dispositivi Mikrotik ognuno con vantaggi e svantaggi, ma quello più diffuso è sicuramente IPSec.

Nella figura sopra possiamo vedere come le due rete private abbiano indirizzi ip di classi diverse, 192.168.1.0/24 e 192.168.2.0/24 questo non è fondamentale ma è preferibile per evitare conflitti IP tra le due sedi remote.

Gli indirizzi 1.1.1.1 e 2.2.2.2 sono invece gli IP Pubblici con i quali le due sedi “escono” su Internet.

Quello che dobbiamo configurare principalmente sono 3 cose:

- Policy IPSec;

- Peers IPSec;

- NAT Firewall per permettere il passaggio dei pacchetti

Iniziamo!

 SITO 1

IP Pubblico: 1.1.1.1

IP privato: 192.168.1.0/24

Configurazione Indirizzi IP:

/ip address
add address=192.168.1.1/24 interface=ether1-local network=192.168.1.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

 

Come avrete notato come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

/ip ipsec peer
add address=2.2.2.2/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes

Per il Sito 1 abbiamo finito…passiamo al Sito 2

SITO 2

IP Pubblico: 2.2.2.2

IP privato: 192.168.2.0/24

Configurazione Indirizzi IP:

/ip address
add address=192.168.2.1/24 interface=ether1-local network=192.168.2.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

Anche per il Sito 2 come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

/ip ipsec peer
add address=1.1.1.1/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes

Il gioco è fatto!

Enjoy!

 

L'articolo Mikrotik Site to Site IPsec VPN sembra essere il primo su Linux 360° | Italia.

]]> http://www.linux360.it/2014/10/20/mikrotik-site-to-site-ipsec-vpn/feed/ 0