VPN Site2Site, come non impazzire?

[cancellato] Bisogna vedere se i provider lo consentono...

TIM da entrambi i lati, uno business e uno consumer.

Provato con un pfsense (che si tira su la sua pppoe) e il link sale, non sono andato oltre però.

[cancellato] http://www.pluto.it/sites/default/files/ildp/traduzioni/ipsec-howto/index.html
O qualsiasi altro corso/corsino, ormai è cosa nota.

Grazie, ora ci do una occhiata

[cancellato] Dipende da cosa ti serve. Se devi fare uno stretch di un dominio L2 ovviamente ti serve L2TP.

No anzi, me lo eviterei volentieri.

Il mio problema principale (oltre alle limitazioni dello scolpasta, anche sbloccato) è l'IP dinamico da una delle due parti.

Ho provato a tirarlo su con pfsense, ma è nornale che con solo IPSec ne sul mikrotik ne sul pfsense venga creata una interfaccia per il tunnel?

[cancellato] Personalmente sono d'accordo con Linus Torvalds nel dire che l'implementazione di IPSec fa cagare.

Perfetto

Userei volentieri Wireguard... ma uso RouterOS6 quindi nada.

[cancellato] Cerca IPSec road warrior e trovi tutto. Dalla parte con IP statico imposti di accettare client con IP 0.0.0.0/0 nella phase 1 e via.

Ottimo grazie

[cancellato] Firewall da qualche parte che tagliano?

Ho provato pure a mettere iptables su input accept dalla parte dello scolpasta ed accettare il protocollo GRE sul mikrotik, niente da fare.

[cancellato] Prova in rete locale... tanto se il link va su te ne accorgi. Da qui espandi, hai la fortuna che hai la FTTH Tim quindi ti basta uno switchettino e puoi tirar su N PPPoE per simulare N case diverse.
Alla peggio, wireshark e PCAP a destra e a sinistra... Occhio che sia GRE IP e non GRE TAP (incapsula L2).

Il problema è che comunque passo per internet, quindi comunque dovrei (o almeno, sarebbe meglio) cifrare i pacchetti in transito. Comunque proverò, non avevo pensato alle PPPoE multiple.

Comunque scopiazzando la config da questo ragazzo su ilpuntotecnico sono riuscito a fare salire la phase 1 direttamente scolapasta-mikrotik (però con gli IP hardcoded per ora)

Ora devo capire perchè non sale la phase 2...

Alla fine quel modulo per iptables serviva solo per matchare il traffico diretto verso il tunnel IPSec, non sarà bellissimo ma ho fatto andare bene un bel '-s 10.0.0.0/24 -d 192.168.1.0/24' e bona.

Per quanto riguarda la phase 2, ho scopiazzato un altra config da internet e ora sembra funzionare tutto dopo aver sistemato srcnat e firewall anche sul tik.

Domani giusto per sfizio testo il thoughput... ma alla fine mi serve solo per non esporre la iLo del mio server su internet

Update: le performance sembrano ottime.

Ottengo circa 9/45, però considerate che in download sono limitato dai 9 Mbps in up della DSL (nei weekend gli uffici accanto spengono il modem, altrimenti ho 5 in up...) mentre in download avrei circa 65 Mbps quindi direi che i 45 Mbps sono il limite massimo dell'hardware dello scolapasta nero (DGA4130), che infatti manda un (solo) core della CPU al 95% (pure IPSec è single core?)

Il MikroTik penso faccia in hardware, quei 45 Mbps manco lo scalfiscono.

Nota a margine: è davvero un peccato gli ISP facciano di tutto (anche spendendo denaro) per castrare via software le CPE che vendono a caro prezzo agli utenti, lasciassero la possibilità di installare il firmware originale o di accedere ad openwrt "base" probabilmente meno gente andrebbe sul modem libero.

Soprattutto visto che l'hardware sembra buono.

Se qualcuno vuole replicare quello che ho fatto posso mettere istruzioni più dettagliate.
Anche tra due scolapasta/TIM HUB la cosa non dovrebbe esser (troppo) complicata.

[cancellato] Si ma comunque è un peccato.

Potrebbero lasciare la possibilità di flashare un firmware custom (magari richiedendo lo sblocco al call center e facendo decadere la garanzia)

Ricordiamo che almeno nel caso di TIM il modem è VENDUTO a 5€ per 48 mesi, non è dato in comodato.
Purtroppo così invece poi finiscono nelle discariche perchè finito il loro uso non possono essere riutilizzati.