IPSec não funciona MikroTik RB-750

1. IPSec não funciona MikroTik RB-750

fernandovallz
(usa Outra)

Enviado em 20/09/2019 - 14:04h

Boa tarde, preciso da ajuda de alguém pois já revirei até forum de país que eu nem sabia que existia.

Utilizo um MikroTik RB-750 na borda da MATRIZ e estou tentando fechar uma VPN via IPSec site-to-site com a FILIAL (se encontra em outro estado e possui um PFSense na borda que é gerenciado por outra empresa), porém quando finalizo a configuração, o MikroTik não consegue se conectar e fica retornando um erro nos logs "*IP_PUBLICO_FILIAL* failed to pre-process ph2 packet"

Já tentei de tudo que conheço e de tudo que achei na internet, porém só retrocesso...

Alguém consegue dar uma luz? Acredito que seja algum detalhe que está passando batido, visto que já temos uma VPN IPSec fechada com a Mandic (ambiente em Cloud).

Segue as configurações do MK para melhor leitura de um possível especialista:

/ip ipsec proposal

add auth-algorithms=md5 enc-algorithms=3des lifetime=1d name=SERRA

/ip firewall filter

add action=accept chain=input in-interface=ether1 protocol=icmp

add action=accept chain=input dst-port=1701 in-interface=ether1 protocol=tcp

add action=accept chain=input dst-port=500,4500,1701 in-interface=ether1 \

protocol=udp

add action=accept chain=input in-interface=ether1 protocol=ipsec-esp

add action=accept chain=input in-interface=ether1 protocol=ipsec-ah

add action=reject chain=input dst-port=22 in-interface=ether3 protocol=tcp \

reject-with=icmp-network-unreachable

/ip firewall nat

add action=masquerade chain=srcnat comment="NAT VIVO 20MB" out-interface=ether1

add action=masquerade chain=srcnat comment="NAT RADIO" out-interface=ether2

add action=masquerade chain=srcnat comment="NAT NET 120MB" out-interface=ether3

add action=dst-nat chain=dstnat comment="OPEN VPN" dst-address=*IP_PUBLICO_MATRIZ* \

dst-port=1194 in-interface=ether1 protocol=udp to-addresses=192.168.100.246 \

to-ports=1194

add action=dst-nat chain=dstnat comment=TELEFONE dst-port=3388 in-interface=\

ether3 protocol=tcp to-addresses=192.168.100.138 to-ports=3388

/ip firewall raw

add action=notrack chain=prerouting dst-address=192.168.103.0/24 src-address=\

192.168.100.0/23

/ip ipsec peer

add address=*IP_PUBLICO_FILIAL* comment=SERRA dh-group=modp1024 enc-algorithm=\

3des hash-algorithm=md5 secret=*SENHA*

/ip ipsec policy

add comment=SERRA dst-address=192.168.103.0/24 proposal=SERRA sa-dst-address=\

*IP_PUBLICO_FILIAL* sa-src-address=*IP_PUBLICO_MATRIZ* src-address=192.168.100.0/23 \

tunnel=yes

Obrigado desde já!

2 0

Quote