VPN Site2Site, come non impazzire?
- Modificato
[cancellato] Perché più roba metti più l'utonto ci mette le manine piene di ditine dove non sa e più crea disservizi... che essendo su apparato venduto dal provider si traducono in chiamate al call center.
Meno roba c'è meno l'utonto può rompere.
Però con tutti gli zyxel di wind puoi fare di tutto e di più* (salvo bug) e non sembra questo crei particolari problemi.
Addirittura nella guida del VMG8823 spiegavano come modificare le soglie (SINR, RSSI) del band steering. E oggi ho scoperto come "ingannare" il modem e fargli vedere la /64 del tunnel di HE come 6RD, cosa impensabile con i modem (non fritz) degli altri BIG
* Limitazioni rispetto al firmware ufficiale ci sono, ma non sono eccessive, mancano un paio di funzioni e un paio di menu (tra cui il tr-069)
Il tunnel funziona bene ma non mi è chiara una cosa: dovrebbe rimaner su indefinitamente o viene chiuso se non c'è scambio dati / ogni x minuti?
Perchè non ho mai visto l'uptime oltre i 45 minuti
[cancellato]
edofullo A logica, sta su. A meno che non ci sia incompatibilità sugli intervalli di refresh delle chiavi e una delle due parti chiuda la connessione se l'altra non le rinnova in tempo...
Prova con un CHR e ti togli il dubbio, ma a logica dovrebbe rimanere UP.
- Modificato
Update: il tunnel che cadeva era (probabilmente) dovuto a un mismatch dei tempi di rekeying sui due peers... un bel casino sto protocollo...
Domandina: ma se volessi mendare nel tunnel più subnet che non possono essere supernettate?
Perchè provando a creare due policy sul mikrotik e due connessioni su strongswan solo una sembra andare su correttamente (ovviamente mantenendo lo stesso peer), per l'altra esce un bel NO_PROPOSAL_CHOSEN (ovviamente la proposal è identica tra le due)
handymenny E oggi ho scoperto come "ingannare" il modem e fargli vedere la /64 del tunnel di HE come 6RD
racconta racconta…
eutampieri
Praticamente su he.net ho questo:
Server IPv4 Address: A
Server IPv6 Address: B/64
Client IPv4 Address: C
Client IPv6 Address: D/64Sul modem ho quindi configurato questo:
Service Provider IPv6 Prefix: D/64
IPv4 Mask Length: 0
Border Relay IPv4 Address: AIn realtà funzionava anche mettendo B/64 al posto di D/64, non ho capito quale dei due fosse il più corretto.
Ovviamente C devi aggiornarlo ogni volta che cambia il tuo ipv4
handymenny Adesso provo con lo ZTE
handymenny Wow funziona!
[cancellato]
- Modificato
edofullo ma se volessi mendare nel tunnel più subnet che non possono essere supernettate?
Tunnel in routed mode con i due indirizzi della punto-punto e rotte statiche da entrambe le parti? 
edofullo provando a creare due policy sul mikrotik e due connessioni su strongswan solo una sembra andare su correttamente (ovviamente mantenendo lo stesso peer), per l'altra esce un bel NO_PROPOSAL_CHOSEN (ovviamente la proposal è identica tra le due)
Se vuoi farlo con le policy mode devi creare due diverse phase 2 nella stessa asserzione di fase 1.
Te l'ho detto che chi l'ha pensato era veramente un contorto...
- Modificato
[cancellato] Tunnel in routed mode
Sul Mikrotik mi sa non si può usare la versione con le interfacce virtuali, anche in questo si spera in ROS 7 
Dovrei usare GRE over IPSEC ma ho il problema dell'IP dinamico che a GRE mi sa non piace per nulla 
[cancellato] Se vuoi farlo con le policy mode devi creare due diverse phase 2 nella stessa asserzione di fase 1.
Ci ho provato... me ne va su solo una e sono tre ore che cerco di capire il perchè (IKE2)
[cancellato]
- Modificato
edofullo None, in quel caso i due ip di tunnel sono gli indirizzi privati degli endpoint, non i pubblici 
Ma a quel punto ti bastano delle rotte non ti serve il tunnel... O no?
[cancellato] None, in quel caso i due ip di tunnel sono gli indirizzi privati degli endpoint, non i pubblici
E se da una parte avessi più di una LAN (ho la principale, iot, guest e vpn) devo perforza scegliere l'ip come interno a una di queste lan?
[cancellato]
- Modificato
edofullo Eh scusa ho risposto senza connettere il cervello e ti ho mandato fuori strada. Senza le VTI in policy mode IPSec cattura e cifra solo i pacchetti destinati alle subnet del target.
Con una leggera penalità di overhead puoi allora crearti la punto-punto con il GREoIPSec come da esempio mikrotik. In pratica, dai alle reti "left" e "right" da convogliare nel tunnel solo gli indirizzi di loopback dei due dispositivi; tra i due loopback vai a costruire un GRE (che a questo punto ha sorgente e destinazione statici), che ti diventa una interfaccia a tutti gli effetti su cui puoi applicare regole di routing o addirittura usare protocolli di routing dinamico tipo OSPF e ISIS (qualcuno ha detto SD-WAN? 
).
In alternativa devi creare più policy (SA Phase 2) ognuna con le varie combinazioni delle subnet L<-->R che vuoi far vedere nell'IPSec. Ma se sono più di due o tre diventa uno sbatti, meglio convogliarle in un GRE.
[cancellato] Ti ringrazio per la spiegazione, mi mancava la parte sul loopback.
Penso che andrò per la opzione 3: cambiare gli indirizzi alle varie VLAN ed aggregarle in una /22... se in futuro avrò bisogno mi adopererò per il GRE.
Ma se uno ha 3 sub da una parte e 3 dall'altra deve teoricamente tirare su 9 policy (e quindi 9 tunnel)? Ma non ci hanno pensato che c'era questa possibilità?
Grazie ancora, domani sistemo e vi aggiorno
[cancellato]
edofullo Ma non ci hanno pensato che c'era questa possibilità?
Eh, chettedevodì... 
Comunque dai non è così complessa la parte con il GRE. Oddio, bisogna vedere se lato scolapasta si può fare...
[cancellato] Comunque dai non è così complessa la parte con il GRE. Oddio, bisogna vedere se lato scolapasta si può fare...
Si ma visto che la rete dell'IOT non l'ho ancora messa in piedi faccio davvero prima a spostare le subnet in modo che siano tutte vicine e poi girare nel tunnel la /22
L'obiettivo sarebbe sostituire anche quello scolapasta con un altro router serio ma lì ho ancora la DSL da gestire... quando arriverà la FTTH anche lì ci faccio un pensierino.
Comunque continua a droppare il link ogni circa 2 ore però lo fa anche con una CHR quindi boh... alla fine torna up subito quindi non è un grosso problema.
x_term Si ma quello che volevo fare io era linkare due reti remote in modo "statico" (site2site appunto) a questo punto metto su anche un server l2tp/ipsec sul mikrotik e posso accedere anche alla rete remota.
