<HTML><HEAD></HEAD>
<BODY dir=ltr>
<DIV dir=ltr>
<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">
<DIV>Ezequiel:</DIV>
<DIV> </DIV>
<DIV>Un error recurrente es que si la VPN es en modo tunel y quiere levantar AH
(authentication header) no va a poder hacerlo a través un NAT porque esta
intentando autenticar el encabezado IP origen y si pasa a través de un nat se
cambia el encabezado.</DIV>
<DIV> </DIV>
<DIV>Para lo demás, si es una IPSec en modo tunel a traves de Nat, solo tiene
que ser ESP y lo que debes dejar pasar es el UDP 500 (isakmp), el UDP 4500 (nat
transversal) y ESP (ipsec-esp).</DIV>
<DIV> </DIV>
<DIV>Ojo que algunos levantan tuneles GRE con encriptacion IPsec, para eso tenes
que habilitar el paso de GRE.</DIV>
<DIV> </DIV>
<DIV>Saludos</DIV>
<DIV> </DIV>
<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">Ing. Jose
Luis Gaspoz<BR>Internet Services S.A.<BR>Tel: 0342-4565118<BR>Cel:
342-5008523</DIV>
<DIV
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>
<DIV style="FONT: 10pt tahoma">
<DIV> </DIV>
<DIV style="BACKGROUND: #f5f5f5">
<DIV style="font-color: black"><B>From:</B> <A
title=ezefernandez@0345concordia.com.ar
href="mailto:ezefernandez@0345concordia.com.ar">Ezequiel Fernandez / Internet
PLUS</A> </DIV>
<DIV><B>Sent:</B> Tuesday, May 29, 2018 10:42 AM</DIV>
<DIV><B>To:</B> <A title=lista@arnog.com.ar
href="mailto:lista@arnog.com.ar">lista@arnog.com.ar</A> </DIV>
<DIV><B>Subject:</B> [Lista ArNOG] Forwarding ipsec tetrapak
Mikrotik</DIV></DIV></DIV>
<DIV> </DIV></DIV>
<DIV
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>
<DIV>Buenos días... les hago una consulta.. han tenido alguna implementación con
la gente de tetrapak? Están instalando en plantas routers Cisco que levantan
túneles ipsec ... En mi caso en la red de un cliente del cual soy ISP... En el
lugar hay un router Mikrotik nateando.. nos pidieron que forwardeemos los
puertos udp 500 . Udp 4500 y todo lo pertinente a ipsec esp.. hecho esto no hay
forma de que levanté..
<DIV>Es la primera vez que me toca una implementación de estas, justamente en la
regla del forward de ipsec es que no veo tráfico.. alguien puede tirar una
mano... Muchas gracias</DIV></DIV>
<DIV id=DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2><BR>
<TABLE style="BORDER-TOP: #d3d4de 1px solid; COLOR: #000000">
<TBODY>
<TR>
<TD style="WIDTH: 55px; PADDING-TOP: 18px"><A
href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient"
target=_blank><IMG style="HEIGHT: 29px; WIDTH: 46px" alt=""
src="https://ipmcdn.avast.com/images/icons/icon-envelope-tick-green-avg-v1.png"
width=46 height=29></A></TD>
<TD
style="FONT-SIZE: 13px; FONT-FAMILY: arial, helvetica, sans-serif; WIDTH: 470px; COLOR: #41424e; PADDING-TOP: 17px; LINE-HEIGHT: 18px">Libre
de virus. <A style="COLOR: #4453ea"
href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient"
target=_blank>www.avg.com</A> </TD></TR></TBODY></TABLE></DIV>
<P>
<HR>
_______________________________________________<BR>Lista mailing
list<BR>Lista@arnog.com.ar<BR>http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista<BR></DIV></DIV></DIV></BODY></HTML>