[Lista ArNOG] Forwarding ipsec tetrapak Mikrotik

Jose Luis Gaspoz gaspozj en is.com.ar
Lun Ago 6 11:09:05 ART 2018


Ezequiel:

Un error recurrente es que si la VPN es en modo tunel y quiere levantar AH (authentication header) no va a poder hacerlo a través un NAT porque esta intentando autenticar el encabezado IP origen y si pasa a través de un nat se cambia el encabezado.

Para lo demás, si es una IPSec en modo tunel a traves de Nat, solo tiene que ser ESP y lo que debes dejar pasar es el UDP 500 (isakmp), el UDP 4500 (nat transversal) y ESP (ipsec-esp).

Ojo que algunos levantan tuneles GRE con encriptacion IPsec, para eso tenes que habilitar el paso de GRE.

Saludos

Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

From: Ezequiel Fernandez / Internet PLUS 
Sent: Tuesday, May 29, 2018 10:42 AM
To: lista en arnog.com.ar 
Subject: [Lista ArNOG] Forwarding ipsec tetrapak Mikrotik

Buenos días... les hago una consulta.. han tenido alguna implementación con la gente de tetrapak? Están instalando en plantas routers Cisco que levantan túneles ipsec ... En mi caso en la red de un cliente del cual soy ISP... En el lugar hay un router Mikrotik nateando.. nos pidieron que forwardeemos los puertos udp 500 . Udp 4500 y todo lo pertinente a ipsec esp.. hecho esto no hay forma de que levanté..  
Es la primera vez que me toca una implementación de estas, justamente en la regla del forward de ipsec es que no veo tráfico.. alguien puede tirar una mano... Muchas gracias

     Libre de virus. www.avg.com  



--------------------------------------------------------------------------------
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20180806/2acc9a77/attachment.html>


Más información sobre la lista de distribución Lista