danbagagine
(usa Outra)
Enviado em 09/01/2019 - 12:17h
Pessoal, bom dia!
Sou iniciante no Mikrotik e em configurações de roteadores no geral. Estou com dificuldade em uma VPN IPsec Site to Site que configurei para atender ao monitoramento em um cliente da empresa.
Acredito que sei qual o problema, mas não encontrei um meio de resolver. Minha rede interna é na faixa do 192.168.100.0/22, ou seja, compreende as faixas 100, 101, 102 e 103. O cliente utiliza a faixa 192.168.100.0/24 na rede interna dele. Imaginei que pelo fato de ele utilizar uma faixa de endereço que compreende meu range poderia ter problemas, então eliminei do meu dhcp interno a faixa do 192.168.100 e passei a disparar endereços na faixa do 192.168.102, porém não alterei a máscara /22. Na configuração da VPN, apontei como endereço da minha rede interna 192.168.102.0/24 imaginando que o mikrotik poderia compreender que trata-se de uma rede diferente do cliente. Segue abaixo as configurações que fiz.
Meu lado
Roteador: Mikrotik RB450G
IP WAN: 189.42.X.X
ID LAN: 192.168.100.0/22
IP meu computador: 192.168.102.220
Lado cliente
Roteador: Checkpoint R77
IP WAN: 200.222.X.X
ID LAN: 192.168.100.0/24
IP computador cliente: 192.168.100.125
Configurações IPsec do meu lado
Peer
address=200.222.X.X local-address=189.42.X.X auth-method=pre-shared-key secret="********" generate-policy=no policy-template-group=Group 2 exchange-mode=main mode-config=request-only send-initial-contact=yes nat-traversal=no my-id=address:189.42.28.50 proposal-check=obey hash-algorithm=sha1
enc-algorithm=3des dh-group=modp1024 lifetime=1h dpd-interval=10s dpd-maximum-failures=3
Policy
src-address=192.168.102.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=189.42.X.X sa-dst-address=200.222.X.X proposal=cliente ph2-count=1
Proposal
name="cliente" auth-algorithms=sha1 enc-algorithms=3des lifetime=1h pfs-group=modp1024
Configuração Firewall meu lado
Filter Rules
chain=input action=accept src-address=189.42.X.X dst-address=200.222.X.X log=no log-prefix=""
NAT
chain=srcnat action=accept src-address=192.168.102.0/24 dst-address=192.168.100.0/24 log=no log-prefix=""
Como resultado dessa configuração, consigo fechar as fases da VPN e o cliente consegue acessar meu computador, mas eu não consigo de forma alguma acessar o computador dele, nem resposta de ping consigo obter. Suspeitava no início que poderia ser incompatibilidade com o roteador dele, mas como a VPN fechou descartei essa possibilidade. Há algo errado na configuração acima ou a questão da rede interna dele compreender o meu range de endereços pode estar causando esse problema? Verifiquei os logs e não encontrei nada conclusivo.
Antes de abrir o tópico pesquisei no fórum daqui e outros sites, tutoriais no youtube, manual mikritok e sinceramente não estou vendo erro na configuração.
Agradeço se puderem me ajudar.