VPN IPSec per iOS dietro NAT

Discussions in Italian.
Post Reply
dspitilli
Posts: 3
Joined: 05 Jun 2015, 10:14

VPN IPSec per iOS dietro NAT

Post by dspitilli » 15 Mar 2017, 12:05

Salve ragazzi,

devo configurare un E5 (cOS 11.10.00.24-30854) per stabilire una connessione IPSec con un dispositivo iOS.
Premetto che ho già configurato con successo un E80 per tale scopo in altra sede.
Questo è lo schema attuale:

Internet -> ISP WiMAX -> Antenna -> FW

Abbiamo un IP pubblico statico assegnato all'antenna ricevente che poi ruota tutto il traffico inbound verso il fw.

212.X.Y.Z--Antenna--.251-----192.168.1.0/24-----.1--FW--.1----192.168.0.0/24

Su questa tratta ho già configurato un tunnel IPSec tra questo FW ed un altro in altra sede e sta lavorando molto bene.
Adesso però ho tentato si configurare un altro tunnel IPSec per accedere alla rete locale tramite un dispositivo iOS, ma non funziona.
L'unica differenza con il tunnel che configurai in passato è che sull'E80 l'indirizzo pubblico è assegnato direttamente all'interfaccia del fw, mentre ora è assegnato all'antenna del WiMAX ed il traffico viene ruotato.

La configurazione che ho attualmente è questa: viewtopic.php?f=8&t=3989&p=9799&hilit=iphone#p9799 (-IPSec con PSK)

C'è bisogno di cambiare qualcosa?


Grazie mille a tutti in anticipo.

dallas83
Posts: 1
Joined: 10 May 2017, 14:13

Re: VPN IPSec per iOS dietro NAT

Post by dallas83 » 10 May 2017, 14:22

Potrebbe essere un problema di LOCAL ID nell'autenticazione.
Nel tunnel ipsec che hai già creato verso l'altra sede, nel tab "autentication" hai compilato qualcosa in local id (solitamente si inserisce l'ip pubblico)?
Questo problema con i tunnel succede quando l'interfaccia "wan" del firewall non ha l'ip pubblico (come nel tuo caso)

Un occhiata ai log potrebbe essere utile per capire dov'è il problema.
Altra cosa (non so da quale versione di core sia implementato) puoi provare ad aggiungere invece di un tunnel ipsec normale quello che si chiama "VPN Clients" (lo trovi sempre sotto ipsec).
E' fatto apposta per chi si connette da iOS / Android ed è già tutto preconfigurato (devi poi aggiungere le regole che consentono di uscire verso wan/lan ecc)

Post Reply