VPN Site-to-Site IPSec con Mikrotik
In questa guida vediamo come realizzare una semplice VPN site-to-site tra due Mikrotik con indirizzo IP pubblico sull’interfaccia esterna.
La situazione su cui andiamo a lavorare è questa:
in pratica è la classica situazione in cui vogliamo collegare due sedi con indirizzi privati interni diversi e due Mikrotik con IP statico.
La sede 1 ha:
- IP privato: 10.1.202.1/24
- IP pubblico: 192.168.90.1/24
la sede 2 ha:
- IP privato: 10.1.101.1/24
- IP pubblico: 192.168.80.1/24
e quello che vogliamo ottenere è che le due reti interne si vedano tra di loro direttamente.
Iniziamo la configurazione del router nella sede 1 creando il Peer per la sede 2, tramite IP -> IPSec e inserendo questi valori:
Nel campo Profile dobbiamo scegliere il profilo da usare, possiamo lasciare quello di default e modificarlo nel tab Profiles, oppure crearne prima uno nuovo e poi selezionarlo qui.
E’ importante che il profilo scelto sia configurato in entrambi i router allo stesso modo.
Successivamente dobbiamo configurare una Identities in questo modo:
Nel campo Peer dobbiamo scegliere il Peer che abbiamo creato nel passo precedente e nel campo Secret impostare una password che useremo anche nell’altro router.
A questo punto possiamo configurare una Policies per far capire al Mikrotik quando inviare il traffico all’interno del tunnel IPSec, apriamo quindi il tab Policies e impostiamo questi valori:
A questo punto non ci resta da fare altro che configurare una regola di NAT per escludere dal NAT gli IP della sede 1 diretti alla sede 2, apriamo la scheda IP -> Firewall -> NAT e creiamo una regola di Accept così fatta:
La regola va posizionata prima di quella del NAT standard (Masquerade).
Per quanto riguarda la sede 1 la configurazione è terminata, nella sede 2 andranno eseguite le stesse identiche configurazioni ma con gli IP invertiti.
Se tutto è statao configurato bene da un qualunque IP di una delle due sede dovreste riuscire a pingare un IP della’altra sede.
Note
- Il Tunnel IPSec usa la porta UDP 500 quindi se avete configurato il firewall sui Mikrotik, cosa che vi consiglio, dovrete creare un’eccezione per per il traffico in ingresso dal router opposto.
- Per quanto riguarda i parametri delle fasi 1 e 2 del protocollo IPSec ho lasciato i valori standard, vi consiglio in ambienti di produzione di creare due nuovi profili con le impostazioni di sicurezza al livello massimo.