Roteamento VPN IPSec Mikrotik

0

Eu pareço ser ignorante no roteamento com VPN. Estou tentando configurar um túnel IPSec VPN para proteger a comunicação entre minha LAN privada e um host de destino. Qualquer dispositivo da minha LAN privada deve ser capaz de iniciar a conexão com o host de destino. No entanto, se o host de destino quiser se conectar à minha rede (direcionado para meu endereço IP público), desejo encaminhar essa conexão para apenas um servidor específico - 192.168.1.65.

Minha configuração:
LAN privada: 192.168.1.1/24
IP público: 50.X.X.X

IP do host de destino: 173.X.X.X (usando CISCO ASA)

Eu tenho a configuração básica funcionando bem e minha LAN interna é capaz de acessar a internet. Minha tentativa na configuração do IPSec é a seguinte:

/interface ipip
add comment="" disabled=no local-address=50.X.X.X mtu=1460 name=ipip1 \
    remote-address=173.X.X.X
/ip address
add address=192.168.1.1/24 broadcast=192.168.1.255 comment="" disabled=no \
    interface=ipip1 network=192.168.1.0
/ip ipsec peer
add address=173.X.X.X/32 auth-method=pre-shared-key comment="" \
    dh-group=modp1024 disabled=no dpd-interval=disable-dpd \
    enc-algorithm=3des exchange-mode=main generate-policy=no \
    hash-algorithm=md5 lifebytes=0 lifetime=1d nat-traversal=no port=500 \
    proposal-check=obey secret=SECRETKEY send-initial-contact=yes
/ip ipsec policy
add action=encrypt comment="" disabled=no dst-address=173.X.X.X/32 dst-port=any \
    ipsec-protocols=esp level=require priority=0 proposal=ipsec protocol=all \
    sa-dst-address=173.X.X.X sa-src-address=50.X.X.X \
    src-address=50.X.X.X/32:any tunnel=yes
/ip ipsec proposal
set default auth-algorithms=md5 comment="" disabled=no enc-algorithms=3des \
    lifetime=60m name=ipsec pfs-group=none

O que fazer a seguir? Como configurar que meus dispositivos possam iniciar a conexão com o host e que o host inicie a conexão apenas com um servidor específico? Seria ip firewall nat, masquerade ou ip route?

Qualquer ajuda muito apreciada.

    
por Andy Tam 22.08.2013 / 13:54

1 resposta

0

  1. Tente pingar o endereço ip no ipip tunnel no asa do mikrotik. Se o IPSec se levantar e o ipip funcionar, sucesso.
  2. Construa o roteamento dentro da VPN. Nos dois lados, Mikrotik e ASA.
  3. Faça as regras de firewall desejadas para filtrar o tráfego dentro da VPN, se você quiser isso.

Você não precisa de nenhum NAT para se conectar dentro da VPN.

    
por 14.05.2014 / 13:12