[GTER] VPN Site-to-Site - Starlink
Lucas Willian Bocchi
lucas.bocchi at gmail.com
Mon Sep 4 12:46:10 -03 2023
Marcos
Mikrotik (pelo menos na v7) já faz tempinho que está usando UDP no OpenVPN.
Vale a pena testar!
Em seg., 4 de set. de 2023 às 08:31, Marcos Tadeu via gter <
gter at eng.registro.br> escreveu:
> IPsec é um famoso bacalhau, criado para IPv6, que não tem NAT; Como no
> início dos tempos só tinha isso de razoável para VPN, enxertaram no
> IPv4. Ficou famoso pq todo mundo usa (lemming game rules). Aí veio o NAT
> mata IPSec! (mas continuou famoso)
>
> Já não bastando o bacalhau do UDP/500 para troca de chaves (IKE), para
> sobreviver a NAT fizeram outro bacalhau, o Nat Traversal (NAT-T), que
> reenpsula o IPSec em um outro pacote UDP/4500. Sim, sim, bacalhau de
> novo: IP over UDP! E da-lhe overhead.
>
> OpenVPN é a mais limpa solução atual, principalmente rodando em udp e
> com Certificado X509 para cada equipamento. Só não gosto dele no
> Mikrotik porque só tem a opção de usar sobre TCP. Prefiro UDP.
>
> Além disso, OVPN pode ter vários IPs destinos, para HA.
>
> E deve ter cliente/server até para geladeira... Tudo funciona com OVPN.
>
> Ops. Minto. Aquele tal de Forti não tem OVPN, pq o "propriotário" deles
> supre todas as necessidades (SIC).
>
> Em 31/08/2023 17:07, Lucas Willian Bocchi via gter escreveu:
> > Até tem como fazer Caio, mas tem que ser meio que na "tentativa e erro",
> > principalmente no que estiver do outro lado.
> > Aí pra evitar aquela velha e antiga fábula da dor de cabeça que "hoje
> tava
> > funcionando, amanhã não está mais", tentar usar wireguard ou openvpn é a
> > melhor opção
> >
> >
> > Em qui., 31 de ago. de 2023 às 17:04, Caio Tabota <me at caiotadashi.dev>
> > escreveu:
> >
> >> Se não me engano IPSec só vai fechar atrás de NAT se for o único túnel.
> >>
> >> Se você estiver no NAT com mais alguém que já fechou o túnel IPSec o
> >> segundo túnel não vai funcionar.
> >>
> >> Você pode fechar com OpenVPN ou Wireguard, porém o Wireguard só está
> >> disponível no RouterOS 7.
> >>
> >>> On 31 Aug 2023, at 15:27, Lucas Willian Bocchi via gter <
> >> gter at eng.registro.br> wrote:
> >>> Ou wireguard também
> >>>
> >>>> Em qui., 31 de ago. de 2023 às 14:28, Rubens Kuhl via gter <
> >>>> gter at eng.registro.br> escreveu:
> >>>>
> >>>> IPSEC e NAT não combinam na mesma frase... MikroTik tem suporte a
> >>>> OpenVPN que tem bem mais chance de sobreviver a NAT.
> >>>>
> >>>>
> >>>> Rubens
> >>>>
> >>>>> On Thu, Aug 31, 2023 at 2:23 PM Richard Sousa via gter
> >>>>> <gter at eng.registro.br> wrote:
> >>>>>
> >>>>> Boa tarde pessoal,
> >>>>>
> >>>>> Algum de vocês já conseguiu fazer túnel IPSec Site-to-Site usando
> >>>> MikroTik?
> >>>>> Fiz com FortiGate e deu bom, mesmo com o CGNAT por trás da Starlink.
> >>>>>
> >>>>> Se alguém conseguiu fazer o MK Funcionar, poderia compartilhar as
> >> dores?
> >>>>> Abraços
> >>>>> --
> >>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>> --
> >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list