[GTER] VPN Site-to-Site - Starlink
Fernando Frediani
fhfrediani at gmail.com
Mon Sep 4 08:52:46 -03 2023
As vezes eu tenho a impressão que tem gente que ainda usa IPsec hoje em
dia como mesmo orgulho de usar um Walkman e fita K7. E alguns desses
parecem que sequer tem ideia que existem outros tipos de VPN muitíssimo
mais simples de configurar e usar e tão seguras como.
Fernando
On 04/09/2023 00:25, Marcos Tadeu via gter wrote:
> IPsec é um famoso bacalhau, criado para IPv6, que não tem NAT; Como no
> início dos tempos só tinha isso de razoável para VPN, enxertaram no
> IPv4. Ficou famoso pq todo mundo usa (lemming game rules). Aí veio o
> NAT mata IPSec! (mas continuou famoso)
>
> Já não bastando o bacalhau do UDP/500 para troca de chaves (IKE), para
> sobreviver a NAT fizeram outro bacalhau, o Nat Traversal (NAT-T), que
> reenpsula o IPSec em um outro pacote UDP/4500. Sim, sim, bacalhau de
> novo: IP over UDP! E da-lhe overhead.
>
> OpenVPN é a mais limpa solução atual, principalmente rodando em udp e
> com Certificado X509 para cada equipamento. Só não gosto dele no
> Mikrotik porque só tem a opção de usar sobre TCP. Prefiro UDP.
>
> Além disso, OVPN pode ter vários IPs destinos, para HA.
>
> E deve ter cliente/server até para geladeira... Tudo funciona com OVPN.
>
> Ops. Minto. Aquele tal de Forti não tem OVPN, pq o "propriotário"
> deles supre todas as necessidades (SIC).
>
> Em 31/08/2023 17:07, Lucas Willian Bocchi via gter escreveu:
>> Até tem como fazer Caio, mas tem que ser meio que na "tentativa e erro",
>> principalmente no que estiver do outro lado.
>> Aí pra evitar aquela velha e antiga fábula da dor de cabeça que "hoje
>> tava
>> funcionando, amanhã não está mais", tentar usar wireguard ou openvpn é a
>> melhor opção
>>
>>
>> Em qui., 31 de ago. de 2023 às 17:04, Caio Tabota <me at caiotadashi.dev>
>> escreveu:
>>
>>> Se não me engano IPSec só vai fechar atrás de NAT se for o único túnel.
>>>
>>> Se você estiver no NAT com mais alguém que já fechou o túnel IPSec o
>>> segundo túnel não vai funcionar.
>>>
>>> Você pode fechar com OpenVPN ou Wireguard, porém o Wireguard só está
>>> disponível no RouterOS 7.
>>>
>>>> On 31 Aug 2023, at 15:27, Lucas Willian Bocchi via gter <
>>> gter at eng.registro.br> wrote:
>>>> Ou wireguard também
>>>>
>>>>> Em qui., 31 de ago. de 2023 às 14:28, Rubens Kuhl via gter <
>>>>> gter at eng.registro.br> escreveu:
>>>>>
>>>>> IPSEC e NAT não combinam na mesma frase... MikroTik tem suporte a
>>>>> OpenVPN que tem bem mais chance de sobreviver a NAT.
>>>>>
>>>>>
>>>>> Rubens
>>>>>
>>>>>> On Thu, Aug 31, 2023 at 2:23 PM Richard Sousa via gter
>>>>>> <gter at eng.registro.br> wrote:
>>>>>>
>>>>>> Boa tarde pessoal,
>>>>>>
>>>>>> Algum de vocês já conseguiu fazer túnel IPSec Site-to-Site usando
>>>>> MikroTik?
>>>>>> Fiz com FortiGate e deu bom, mesmo com o CGNAT por trás da Starlink.
>>>>>>
>>>>>> Se alguém conseguiu fazer o MK Funcionar, poderia compartilhar as
>>> dores?
>>>>>> Abraços
>>>>>> --
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list