Eu pareço ser ignorante no roteamento com VPN. Estou tentando configurar um túnel IPSec VPN para proteger a comunicação entre minha LAN privada e um host de destino. Qualquer dispositivo da minha LAN privada deve ser capaz de iniciar a conexão com o host de destino. No entanto, se o host de destino quiser se conectar à minha rede (direcionado para meu endereço IP público), desejo encaminhar essa conexão para apenas um servidor específico - 192.168.1.65.
Minha configuração:
LAN privada: 192.168.1.1/24
IP público: 50.X.X.X
IP do host de destino: 173.X.X.X (usando CISCO ASA)
Eu tenho a configuração básica funcionando bem e minha LAN interna é capaz de acessar a internet. Minha tentativa na configuração do IPSec é a seguinte:
/interface ipip
add comment="" disabled=no local-address=50.X.X.X mtu=1460 name=ipip1 \
remote-address=173.X.X.X
/ip address
add address=192.168.1.1/24 broadcast=192.168.1.255 comment="" disabled=no \
interface=ipip1 network=192.168.1.0
/ip ipsec peer
add address=173.X.X.X/32 auth-method=pre-shared-key comment="" \
dh-group=modp1024 disabled=no dpd-interval=disable-dpd \
enc-algorithm=3des exchange-mode=main generate-policy=no \
hash-algorithm=md5 lifebytes=0 lifetime=1d nat-traversal=no port=500 \
proposal-check=obey secret=SECRETKEY send-initial-contact=yes
/ip ipsec policy
add action=encrypt comment="" disabled=no dst-address=173.X.X.X/32 dst-port=any \
ipsec-protocols=esp level=require priority=0 proposal=ipsec protocol=all \
sa-dst-address=173.X.X.X sa-src-address=50.X.X.X \
src-address=50.X.X.X/32:any tunnel=yes
/ip ipsec proposal
set default auth-algorithms=md5 comment="" disabled=no enc-algorithms=3des \
lifetime=60m name=ipsec pfs-group=none
O que fazer a seguir? Como configurar que meus dispositivos possam iniciar a conexão com o host e que o host inicie a conexão apenas com um servidor específico? Seria ip firewall nat, masquerade ou ip route?
Qualquer ajuda muito apreciada.
Você não precisa de nenhum NAT para se conectar dentro da VPN.