VPN IPSec

emersonaf
(usa Outra)

Enviado em 24/05/2025 - 07:57h

Bom dia!
Por favor, alguém se possível poderia me auxiliar com a configuração abaixo:
Tem uma RB750 (Mikrotik) configurada e funcionando uma VPN IPSec de uma filial para a matriz. Ativamos agora um segundo link de internet no Mikrotik, para redundância caso o primeiro link de internet cair e possamos continuar com a VPN funcionando.
Configurei o failover dos links de internet no Mikrotik, através de rota recursiva, quando o primeiro link de internet fica inoperante, o segundo link assume, mas a Vpn não funciona.
Alguém poderia me auxiliar se preciso fazer mais alguma configuração no Mikrotik ?

Carlos_Cunha
(usa Linux Mint)

Enviado em 30/05/2025 - 18:54h

A forma mais "normal" da VPN IPSEC e setando Ips de Oirgem e destino, ou seja o VPN so vai funcionar quando esses dois IPs baterem, pode ser esse seu problema.
Valide se não e isso...

Outro teste que pode fazer e configurar um segundo tunel, utilizando esse novo link e vendo se funciona, se funcionar otimo se não pode ter mais problemas ai no meio.....


#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

amarildosertorio
(usa Fedora)

Enviado em 31/05/2025 - 11:56h

Se estiver utilizando uma versão mais recente do Mikrotik, sugiro considerar o uso do WireGuard.

danniel-lara
(usa Fedora)

Enviado em 01/06/2025 - 11:37h

Configurar dois peers IPsec com diferentes interfaces
No Mikrotik, crie dois peers IPsec, um para cada IP público:

Vá em IP > IPsec > Peers

Crie um peer para o link principal (WAN1) com o IP remoto da matriz.

Crie outro peer para o link de backup (WAN2), com o mesmo IP remoto.

Em ambos:

Habilite generate-policy=no

Use exchange-mode=main

Forneça o local address correto para cada peer (ex: IP do WAN1 e IP do WAN2)

Configurar Scripts ou Netwatch para alternar entre peers
Você precisará ativar e desativar dinamicamente os peers IPsec conforme a interface WAN estiver ativa. Isso pode ser feito de duas formas:

Opção A: Script com netwatch
Vá em Tools > Netwatch

Crie dois Netwatch:

Um para o gateway do link principal.

Outro para o gateway do link secundário.

No Netwatch do link principal (WAN1):

:log info "WAN1 está ativa - ativando peer WAN1"

/ip ipsec peer enable [find where address~"IP_REMOTO" and local-address="IP_WAN1"]

/ip ipsec peer disable [find where address~"IP_REMOTO" and local-address="IP_WAN2"] 

No Netwatch do link secundário (WAN2):

:log info "WAN2 está ativa - ativando peer WAN2"

/ip ipsec peer enable [find where address~"IP_REMOTO" and local-address="IP_WAN2"]

/ip ipsec peer disable [find where address~"IP_REMOTO" and local-address="IP_WAN1"] 

Ajustar as políticas (Policies)
Vá em IP > IPsec > Policies

Crie duas políticas:

Uma com src-address sendo a rede local e dst-address a da matriz, usando tunnel=yes e src-address do WAN1

Outra igual, mas com src-address do WAN2

Marcação de Roteamento (opcional dependendo da sua config)
Se você usa marcação de rotas (routing-mark) para controle de saída via cada link, certifique-se de que os pacotes IPsec (UDP 500/4500 e ESP) também estão saindo pela interface correta.

NAT Bypass para IPsec
Garanta que a regra de NAT tenha bypass para IPsec, nas regras de masquerade:

/ip firewall nat

add chain=srcnat action=accept src-address=REDE_LOCAL dst-address=REDE_REMOTA ipsec-policy=out,ipsec