L2tp su Mikrotik

[Andrea Annoni]

Se il client è Windows non servono rotte: diventa una road-warrior e quinti TUTTO il traffico in uscita dal PC passa attraverso la VPN. Non servono rotte.

 

Se invece il client è un'altra RB allora devi creare una static route

[slash76]

Ciao Andrea....ma dalla wiki mi sembrava che nelle site to site, quindi da Rb a Rb, se sul secret imposti nella routes la rete che sta dietro alla Rb client, in automatico viene creata alla connessione del client appunto....in alternativa puoi crearne una statica....

[Andrea Annoni]

Beh quello si! Al limite potrebbe servire un masquerade dei pacchetti

[slash76]

Te l'ho chiesto solo perchè ho un Rb  configurato come server l2tp,  con due secrets....uno ha il remote address e basta (es. 10.10.100.50) ed è commentato come "Nat", l'altro secret invece ha sempre il remote address (es. 10.10.100.60) ma ha anche configurata la rotta con altra rete (es. 10.100.10/24) ed è commentato come "Senza Nat"....ma non ricordo più le differenze

[Andrea Annoni]

Detta così vuol dire poco.......come ti dicevo con Mikrotik poi c'è sempre più di una modalità per ottenere un obbiettivo.

 

Prima di tutto se usi da entrambi i lati apparati Mikrotik puoi usare anche protocolli propietari come il GRE, l'EOIP, o la L2TP-Bridge. Quest'ultima appunto di permette di avere un bridge in layer2 sulle due LAN.

 

Nel tuo caso la prima cosa che mi viene da pensare è che ovviamente la connessione commentata con NAT ha ovviamernte un NAT di mezzo e quindi c'è un masquerade dei pacchetti da qualche parte.

 

La seconda invece è senza NAT e quindi probabilmente sono specificate rotte e rotte di ritorno sugli apparati

 

 

[slash76]

Ciao Andrea....L'EOIP è interessante, ma per l'applicazione che vorrei realizzare io forse è piu snella la l2tp....sostanzialmente dietro ad ogni modem/router del cliente vorrei infilare un mikrotik collegato alla centrale d'allarme/Nvr/processore etc. configurato come client, ed avere in ufficio da me il server....quindi n clienti, n l2tp...

 

Mi hai consigliato di impostare diverse le lan client con quella del server .... ci sono ragioni specifiche???....cioè...la mia idea era di avere lato client delle 10.0.10.X/24 e la to server una 10.100.10.X/24.....

 In ufficio la mia RB è dietro al modem/router telecom....consigli di metterlo in bridge e far far tutto alla RB???

 Ti volevo ancora chiedere...per la simulazione che sto usando ho impostato nel secret local address lo stesso ip wan della mia RB (192.168.1.2)....domanda:il tunnel va in piedi anche se imposto un DHCP client sulla wan quindi non coincidente con il local address impostato ???

 

 

[Andrea Annoni]

Sinceramente faccio un po' fatica a seguire senza aver davanti la situazione.

Comunque si in teoria sale anche in DHCP. Il local address che imposti è il gateway del client VPN.

 

La questione che ti suggerivo di avere subnet diverse nella LAN era per agevolare l'eventuale manutenzione dei clienti..........ma dipende come stai strutturando tutto.

Probabilmente nel tuo caso potrebbe essere più comodo usare un VPS e poi fai RDP......però non so di preciso le risorse che hai e come vuoi gestirle.

[slash76]

Scusami Andrea ma faccio anche io fatica a capire..il local address sul secrets non è il gw del client..il gw del client sul secrets lo imposti sul remote address o sbaglio

[Andrea Annoni]

Si ma non è detto! Se nelle policy, nelle route, nei filter ecc ci sono altre istruzioni non è detto che prenda quelle. 

Con Mikrotik posso avere una marea di variabili. Ad esempio un utente vpn si prende da un pool di indirizzi, l’altro lo do fisso dai secret, l’altro lo assegno mediante policy ecc ecc.

 

dammi retta resetta tutto, e parti da una conf pulita.

[slash76]

No Andrea ho capito...la configurazione sulla mia Rb funziona...volevo solo capire se il local address sui secrets doveva coincidere con quello configurato sulla wan lato server...tutto qui

[Andrea Annoni]

No, non c’entra nulla