Tunnel IPSEC con Draytek

[mario67]

Buongiorno a tutti.
Cerchero di essere chiaro e telegrafico.
Prima di acquistare il Mikrotik 5g ax avevo a casa (192.168.3.0/24) un Draytek che si collegava
in VPN ad un altro Draytek in ufficio (10.97.4.128/26). Il Draytek dell'ufficio ha un'altra VPN verso un host(10.7.226.181/32) con un'altro endpoint di cui non sono proprietario.
Ora da casa raggiungevo tranquillamente l'host remoto in questione poiche era aggiunto nell'elenco subnet che dovevano attraversare il tunnel per essere raggiunti.
Ora con il Mikrotik ho tirato su la VPN ipsec ma non riesco a capire come aggiungere la policy per l'host remoto.
Non so se sono stato chiaro.
Grazie a tutti per l'aiuto......
Se serve posto topologia e configurazioni....

[giolad83]

Ciao ,
non sono espertissimo di IPsec, ma penso che il tuo problema sia di aggiungere una seconda policy per raggiungere la rete b.
Sé ho capito ( e ti chiedo conferma), hai configurato corretamente la rete a, e ti colleghi alla macchina remota A... giusto?
Adesso devi fare lo stesso per configurare una policy per la rete b e connetterti alla macchina B ... forse questo post sul forum internazionale può aiutarti ( https://forum.mikrotik.com/viewtopic.php?t=134282 ).
Ti conviene usare winbox e selezionare l' ombrello ( safe mode), in modo da non buttarti fuori da solo.
Come riportato sul manuale ( https://wiki.mikrotik.com/wiki/Manual:IP/IPsec ) , verifica che il tuo hardware supporti l' accellerazione hardware per le chiavi crittografiche da te scelte, altrimenti diventa mooolto lento.

Saluti
Giorgio

[mario67]

Ciao Giorgio.
Grazie per l'aiuto, ma credo di non essermi spiegato bene.
Allego un disegno per chiarire meglio.
Dunque i tunnel ipsec da casa a verso ufficio 1 li ho configurati e funzionano perfettamente.
Il mio problema è di instradare i pacchetti dalla lan di casa a attaverso il tunnel creato, per raggiungere l'host remoto 10.7.226.187 nella rete esterna di cui non sono proprietario.
Se aggiungo una policy le Vpn non salgono più perché non matchano con quanto si aspetta il draytek in ufficio 1.
Prima di acquistare il Mikrotik avevo un Draytek e il tutto funzionava correttamente. Girando in rete mi è parso di capire che Ikev1 non permetta routing nel tunnel mentre ikev2 si. I miei tunnel sono ikev1 perché ho provato in tutte le maniere e seguendo tutto ciò che ho trovato in rete, ma non sono riuscito a far tirare su la connessione . Di sicuro sono io che non ci capisco una m...a.
Se hai qualche dritta fammi sapere.
P.s. Non posso creare tunnel diretto su server esterno perché poi non mi funzionerebbe più dall'ufficio.

[giolad83]

Allora dovresti avere 3 policy, una per la vpn tra Casa A e Ufficio1, una seconda policy per il tragitto dei pacchetti da Ufficio1 a CasaB, e una per il tratto da Ufficio 1 a Ufficio 2.
Di queste tre policy quella tra casaA e Uffucio 1 deve avere Il valore level a require, mentre le altre due devono avere il valore della level a unique.

A questo punto dovresti fare un ping da tutti i lati dei canali per capire fin dove arrivano i pacchetti. Mi spiego io proverei ad andare in Ufficio2 e pingare CasaA, Ufficio 1 Ufficio 2 e capire quale nodo esattamente non mi permette di accedere.

Fatto questo vedrei di capire com'è settato il firewall del mikrotik ( i mikrotik hanno delle regole del firewall MOLTO stringenti di fabbrica ) , solitamente impediscono tutto il traffico in entrata, a meno di non abilitarlo a mano; il fordware dei pacchetti è negato a meno di una specifica regola. ( per capire il firewall e come tratta ipsec c'è questa guida https://wiki.mikrotik.com/wiki/Routing_ ... over_IPsec ).

fammi sapere

[mario67]

Probabilmente sarebbe meglio ti girassi la config corrente
del mikrotik, ma non so se farlo qui è indicato.

In ogni caso :
da Casa A ad Ufficio 1 ci sono due VPN tirate su e funzionanti
una per la rete 192.168.3.0 e una per la 172.20.14.0 tutte e due unique.

Ora io mi sarei aspettato che aggiungendo una rotta del tipo
ip route add 10.7.226.181/32 gateway 10.97.4.172 (Draytek in ufficio 1) il Mikrotik
sapesse instradare il pacchetto attraverso il tunnel, ma forse do per scontato un sacco di cose.

I Draytek facevano cosi, bastava dirgli che all'altro capo di un tunnel c'era un network x.x.x.0/24 e loro
automaticamente aggiungono la route alla tabella di routing e, di conseguenza, i pacchetti venivano instradati attraverso la VPN e dall'altra parte tornavano indietro; probabilmente istruiscono anche il proprio firewall.

questo è il Filter del firewall sul Mikrotik

Codice: Seleziona tutto

[admin@MikroTik] > ip/firewall/filter print
Flags: X - disabled, I - invalid; D - dynamic
0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

1    ;;; Video network
      chain=forward action=accept src-address=192.168.3.0/24 dst-address=172.20.14.0/24 log=no log-prefix=""

2    ;;; Video network
      chain=forward action=accept src-address=172.20.14.0/24 dst-address=192.168.3.0/24 log=no log-prefix=""

3    ;;; Winbox Remote
      chain=input action=accept protocol=tcp dst-port=xxxx log=no log-prefix=""

4    ;;; http router
      chain=input action=accept protocol=tcp dst-port=yyyy log=no log-prefix=""

5    ;;; ssh
      chain=input action=accept protocol=tcp dst-port=wwww log=no log-prefix=""

6    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked

7    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid

8    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp

9    ;;; defconf: accept to local loopback (for CAPsMAN)
      chain=input action=accept dst-address=127.0.0.1

10    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN

11    ;;; defconf: accept in ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec

12    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec

13    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related

14    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked

15    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid


e questo è il nat

Codice: Seleziona tutto

[admin@MikroTik] > ip/firewall/nat print   
Flags: X - disabled, I - invalid; D - dynamic
0    ;;; Vpn SAI
      chain=srcnat action=accept src-address=192.168.3.0/24 dst-address=10.97.4.128/26 log=no log-prefix=""

1    ;;; IAX
      chain=srcnat action=masquerade src-address=192.168.3.0/24 dst-address=192.168.3.17 log=no log-prefix=""

2    ;;; IAX
      chain=dstnat action=dst-nat to-addresses=192.168.3.17 to-ports=xxxx protocol=udp dst-address-list=public_ip dst-port=xxxx log=no log-prefix=""

3    ;;; ssh to mikro
      chain=srcnat action=masquerade src-address=192.168.3.0/24 dst-address=192.168.3.1 log=no log-prefix=""

4    ;;; ssh to mikro
      chain=dstnat action=dst-nat to-addresses=192.168.3.1 to-ports=xxxx protocol=tcp dst-address-list=public_ip dst-port=xxxx log=no log-prefix=""

5    ;;; Grafici Camino
      chain=srcnat action=masquerade src-address=192.168.3.0/24 dst-address=192.168.3.100 log=no log-prefix=""

6    ;;; Grafici Camino
      chain=dstnat action=dst-nat to-addresses=192.168.3.100 to-ports=xxxx protocol=tcp dst-address-list=public_ip dst-port=xxxx log=no log-prefix=""

7    ;;; Arnie
      chain=srcnat action=masquerade src-address=192.168.3.0/24 dst-address=192.168.3.50 log=no log-prefix=""

8    ;;; Arnie
      chain=dstnat action=dst-nat to-addresses=192.168.3.50 to-ports=xxxx protocol=tcp dst-address-list=public_ip dst-port=xxxx log=no log-prefix=""

9    ;;; Video
      chain=srcnat action=masquerade src-address=192.168.3.0/24 dst-address=192.168.3.101 log=no log-prefix=""

10    ;;; Video
      chain=dstnat action=dst-nat to-addresses=192.168.3.101 to-ports=xxxx protocol=tcp dst-address-list=public_ip dst-port=xxxx log=no log-prefix=""

11    ;;; OpenVPN
      chain=srcnat action=masquerade to-addresses=192.168.3.17 src-address=192.168.3.0/24 dst-address=192.168.3.17 log=no log-prefix=""

12    ;;; OpenVPN
      chain=dstnat action=dst-nat to-addresses=192.168.3.17 to-ports=xxxx protocol=udp dst-address-list=public_ip dst-port=xxxx log=no log-prefix=""

13    ;;; PiGarden
      chain=srcnat action=masquerade src-address=192.168.3.0/24 dst-address=192.168.3.18 log=no log-prefix=""

14    ;;; PiGarden
      chain=dstnat action=dst-nat to-addresses=192.168.3.18 to-ports=xxxx protocol=tcp dst-address-list=public_ip dst-port=xxxx log=no log-prefix=""

15    ;;; Camino
      chain=srcnat action=masquerade src-address=192.168.3.0/24 dst-address=192.168.3.100 log=no log-prefix=""

16    ;;; Camino
      chain=dstnat action=dst-nat to-addresses=192.168.3.100 to-ports=xxxx protocol=tcp dst-address-list=public_ip dst-port=xxxx log=no log-prefix=""

17    ;;; defconf: masquerade
      chain=srcnat action=masquerade log=no log-prefix="" ipsec-policy=out,none


Ho letto il link che mi hai girato e, se ho capito bene, dovrebbe essere sufficente

aggiungere

Codice: Seleziona tutto

/ip route add 10.7.226.181/32 gateway 10.97.4.172


Codice: Seleziona tutto

/ip firewall nat add chain=srcnat action=accept  place-before=0 src-address=192.168.3.0/24 dst-address=10.7.226.181/32


l'ultimo inserendolo davanti a tutta la catena nat.

Naturalmente ho provato ma non funge....

Dall'altra rete (172.20.14.0) ovviamente non è necessario ....

O sbaglio?

Grazie mille!!!!

[giolad83]

Le reti 192.168.3.0, 172.20.14.0 ( che nel tuo schema sono nello stesso sito ) , sono collegate fisicamente alla porta lan o wan ??
Poi stavo leggendo la guida di Sistarelli https://sistarelli.com/2019/05/14/vpn-s ... -mikrotik/ , è mi è venuto in mente che Draytek, come Cisco e altri non amano giocare con altri bambini ... nel senso che customizano molto sia le porte che i pacchetti, e non vorrei che sia uno di questi casi ... hai provato a leggere il manuale del Draytek per capire quali porte usa ? ( la 5000UDP è aperta e attiva? ) .

[mario67]

Dunque la 192.168.3.0 e' collegata tutta ad una porta LAN del Mikrotik.
Uno dei PC (Server Video) sulla rete ha due schede LAN una collegata alla LAN 192.168.3.0 l'altra
alla LAN 172.20.14.0 e fa routing. Le due LAN sono fisicamente separate e si incontrano solo
in questo PC.
Poi il Mikrotik è collegato ad internet via LTE con ip pubblico non statico.
A cosa servirebbe la 5000 UDP ?
Perche i tunnel vanno su tranquillamente.
Io comunque non la ho aperta da nessuna delle due parti (Mikrotik e Draytek).
Leggendo la guida che hai indicato (fra due Mikrotik pero'), forse intendevi la 500 UDP.
Io non la ho aperta.
Potrebbe essere che il Draytek risponda su quella e che pertanto dovrei aprirla
in ingresso sul Mikrotik?
Il firewall sul Mikro è quello che ti ho postato.
Cosa dovrei aggiungere per aprire la porta ?

Codice: Seleziona tutto

chain=dstnat action=accept protocol=udp in-interface=lte1 dst-port=500 log=no log-prefix=""


Grazie mille per la pazienza!!

[giolad83]

La porta è la 500UDP, sono io che ho aggiunto uno zero a caso ...

Si la regola da aggiungere sarebbe quella, sempre che la porta sul Draytek sia quella....

Mi sto facendo l'idea che anche sè il servizio (tunnel) viene tirato su correttamente, il firewall si trova una connessione verso una destinazione sulla wan che non gestisce correttamente, e droppa i pacchetti.

Hai provato ad andare su /webfig/#IP:Firewall del mikrotik , dovresti avere una visione d'inseieme di come sta lavorando in quel momento il firewall. Sulla destra trovi le colonne di pacchetti matchati dalla singola regola...
Provando ad avviare il servisio ( tunnel) riesci a capire quale regola li cattura??
In /webfig/#IP:Firewall.Connections trovi gli ip dei Draytek sui quali vuoi connetterti??


Perchè le soluzioni a questo punto sono 2:
1) c'è una regola del firewall che tirando su il servizio aumenta i pacchetti -> dobbiamo studiare meglio le regole del firewall

2) nessuna regola aumenta significativamente i pacchetti droppati -> il Draytek usa configurazioni NON standard e allora dobbiamo lasciare stare il mikrotik e concentrarci sul Draytek per capire come gestisce le connessioni e i pacchetti

[abbio90]

Buongiorno, hai risolto? Se si hanno maggiori dettagli penso di poterti aiutare, ho fatto parecchie conf ipsec nell'ultimo periodo. Anche tra fortinet e mikrotik.

Puoi inoltre dare un occhiata a questa guida, dove implementa IPSEC site to site tra tre router Mikrotik

https://foisfabio.it/index.php/2023/06/ ... ad-warrior