[GTER] VPN Site-to-Site - Starlink
Marcos Tadeu
marcos at telecom.uff.br
Mon Sep 4 00:25:38 -03 2023
IPsec é um famoso bacalhau, criado para IPv6, que não tem NAT; Como no
início dos tempos só tinha isso de razoável para VPN, enxertaram no
IPv4. Ficou famoso pq todo mundo usa (lemming game rules). Aí veio o NAT
mata IPSec! (mas continuou famoso)
Já não bastando o bacalhau do UDP/500 para troca de chaves (IKE), para
sobreviver a NAT fizeram outro bacalhau, o Nat Traversal (NAT-T), que
reenpsula o IPSec em um outro pacote UDP/4500. Sim, sim, bacalhau de
novo: IP over UDP! E da-lhe overhead.
OpenVPN é a mais limpa solução atual, principalmente rodando em udp e
com Certificado X509 para cada equipamento. Só não gosto dele no
Mikrotik porque só tem a opção de usar sobre TCP. Prefiro UDP.
Além disso, OVPN pode ter vários IPs destinos, para HA.
E deve ter cliente/server até para geladeira... Tudo funciona com OVPN.
Ops. Minto. Aquele tal de Forti não tem OVPN, pq o "propriotário" deles
supre todas as necessidades (SIC).
Em 31/08/2023 17:07, Lucas Willian Bocchi via gter escreveu:
> Até tem como fazer Caio, mas tem que ser meio que na "tentativa e erro",
> principalmente no que estiver do outro lado.
> Aí pra evitar aquela velha e antiga fábula da dor de cabeça que "hoje tava
> funcionando, amanhã não está mais", tentar usar wireguard ou openvpn é a
> melhor opção
>
>
> Em qui., 31 de ago. de 2023 às 17:04, Caio Tabota <me at caiotadashi.dev>
> escreveu:
>
>> Se não me engano IPSec só vai fechar atrás de NAT se for o único túnel.
>>
>> Se você estiver no NAT com mais alguém que já fechou o túnel IPSec o
>> segundo túnel não vai funcionar.
>>
>> Você pode fechar com OpenVPN ou Wireguard, porém o Wireguard só está
>> disponível no RouterOS 7.
>>
>>> On 31 Aug 2023, at 15:27, Lucas Willian Bocchi via gter <
>> gter at eng.registro.br> wrote:
>>> Ou wireguard também
>>>
>>>> Em qui., 31 de ago. de 2023 às 14:28, Rubens Kuhl via gter <
>>>> gter at eng.registro.br> escreveu:
>>>>
>>>> IPSEC e NAT não combinam na mesma frase... MikroTik tem suporte a
>>>> OpenVPN que tem bem mais chance de sobreviver a NAT.
>>>>
>>>>
>>>> Rubens
>>>>
>>>>> On Thu, Aug 31, 2023 at 2:23 PM Richard Sousa via gter
>>>>> <gter at eng.registro.br> wrote:
>>>>>
>>>>> Boa tarde pessoal,
>>>>>
>>>>> Algum de vocês já conseguiu fazer túnel IPSec Site-to-Site usando
>>>> MikroTik?
>>>>> Fiz com FortiGate e deu bom, mesmo com o CGNAT por trás da Starlink.
>>>>>
>>>>> Se alguém conseguiu fazer o MK Funcionar, poderia compartilhar as
>> dores?
>>>>> Abraços
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list