Reset Router da parte del gestore

[slash76]

Il client mi dice "unable to connect"

[Andrea Annoni]

Devi abilitare i log per il tunnel non quelli generici.

I più utili, come in questo caso, sono lato server.

 

controlla protocolli e encryption. Leggi bene cosa ho scritto.

banalmente prova a cambiare da default a default-encryption o viceversa il lato client 

[abbio90]

Lato server, nel ppp secret nelle credenziali seleziona il profilo default pulito...

Con la VPN impostata così mi sa che puoi avere un solo client...io avrei creato un pool per gli altri client con un secret differente

[slash76]

Ciao ragazzi....sono ritornato solo ora sull'impianto......dunque la L2tp sale tranquillamente, sostituito il Dlink della Wind.....succede però una cosa strana e non riesco a venirne a capo....dal lato centrale (client L2tp) se faccio un ping verso il server Tecnoalarm, lui risponde tranquillamente....dal lato server invece non riesco a raggiungere la centrale...le rotte sono impostate e attive ma non c'è verso....cerco di riassumere cosi:

 

Lato client:                                                                                                                                                     Lato server:

Centrale Tecnoalarm: ip 10.10.200.2 (eth 2)   gw 10.10.200.1  (eth 1)                                                          Server Tecnoalarm : 192.168.200.2     gw: 192.168.200.1 (eth2)

Attivato L2tp client      profile:default                                                                                                               PPP interface:  L2tp server abilitato      profile :default

route: 192.168.200.0  (rete interna del mio ufficio)        gw: L2tp tunnel                                                         route: 10.10.200.0      gw: L2tp tunnel

                                                                                                                                                                       secret: prova       pw:prova        remote add.10.10.100.50

                                                                                                                                                                       profile                                         local:10.10.100.1

 

Dalla centrale Tecnoalarm quindi dalla 10.10.200.0 raggiungo il server Tecnoalarm 192.168.200.2......ma da questo non raggiungo la centrale.....cosa può essere??? Devo impostare un src Nat in uscita sulla L2tp??? Non credo però......

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Quote

Se vui avere meno ansie possibili usa la SSTP che in genere sfruttando la porta 443 è meno problematica (salvo che facciano Traffic inspection). 

Premetto che le rotte statiche da entrambe le parti le vedo attive verdi e tutte "reachable"....

[Andrea Annoni]

Sinceramente fatico davvero molto a capire.....sarebbe più comodo se postassi le due conf dei Mikrotik.

 

Di sicuro posso dirti che devi scegliere se lavorare con NAT o senza. Se lavori con il NAT allora servono regole di masquerade sulle lan locali, se lavori senza servono rotte sia da un lato che dall'altro.

Questa scelta va ponderata anche in base alle esigenze future (altri client con stessa LAN ovviamente possono dare problemi e necessitano di configurazioni più attente e complesse).

Premesso che quasi tutto si può fare occorre valutare bene.

 

Comunque prova a fare un masquerade della LAN dove c'è la centrale lato client e poi avere una destination NAT lato server con destinazione la IP centrale e GW quello della VP.

[slash76]

Ciao Andrea.....se riesco e me lo permettono posto le configurazioni...ma molto semplicemente....

Dalla lan della centrale (quindi rete 10.10.200.0) tramite il tunnel raggiungo senza problemi il server TA nel mio ufficio in rete 192.168.200.0.....ma non riesco a fare il contrario....cioè dalla 192.168.2.200 del mio ufficio a raggiungere la 10.10.200 della centrale tramite tunnel......il Dnat è già impostato e funziona correttamente perchè ricevo gli eventi degli altri impianti dalla Wan e non su Vpn......

 

 

 

Quote

prova a fare un masquerade della LAN dove c'è la centrale lato client

 

Ma se la centrale deve solo raggiungere il mio server tramite tunnel perchè devo fare un masquerade....l'ho impostato solo in uscita dalla eth1 e non sull'interfaccia L2tp....

[Andrea Annoni]

Perché il tuo server così non ha la rotta di ritorno.

fai un masquerade della Lan sul mikrotik client

 

sul mikrotik server ci deve esseee una rotta che definisca che per raggiungere 10.10.200.0/24 deve usare ip del tunnel 

[slash76]

Quote

sul mikrotik server ci deve esseee una rotta che definisca che per raggiungere 10.10.200.0/24 deve usare ip del tunnel 

 

 

Andrea la rotta c'è ed è attiva....." route: 10.10.200.0      gw: L2tp tunnel ".........ma funziona solo se il ping lo faccio dal mikrotik....è come se la eth2 sul mikrotik  (192.168.200.1) che è il default gw del server TA non riesca ad inoltrare sulla L2tp.....e ripeto che la rotta è reachable....

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Quote

Se vui avere meno ansie possibili usa la SSTP che in genere sfruttando la porta 443 è meno problematica (salvo che facciano Traffic inspection). 

[Andrea Annoni]

OK ma ti manca il masquerade. Rileggi 

[slash76]

Quote

sul mikrotik server ci deve esseee una rotta che definisca che per raggiungere 10.10.200.0/24 deve usare ip del tunnel 

 

 

 

Impostato anche il masquerade in uscita sulla L2tp lato client.....non funziona uguale.....raggiungo da centrale a server ma non viceversa

 

 

 

 

 

 

 

 

 

 

 

 

 

Quote

Se vui avere meno ansie possibili usa la SSTP che in genere sfruttando la porta 443 è meno problematica (salvo che facciano Traffic inspection). 

[Andrea Annoni]

Senza conf è difficile aiutarti. 

Cone già spiegato occorre capire come vuoi lavorare (NAT o Route) e poi vedere appunto cosa hai fatto.

Banalmente magari hai sbagliato IP del GW vpn (serve l’ip non il nome)

[slash76]

Quote

Banalmente magari hai sbagliato IP del GW vpn (serve l’ip non il nome)

 

Ma scusa cosa intendi per nome....sulla rotta imposti l'interfaccia come gw di uscita e ho selezionato l2tp...che ip intendi!!!

 

 

 

 

Quote

prova a fare un masquerade della LAN dove c'è la centrale lato client

 

Ma se la centrale deve solo raggiungere il mio server tramite tunnel perchè devo fare un masquerade....l'ho impostato solo in uscita dalla eth1 e non sull'interfaccia L2tp....

[Andrea Annoni]

Non si usano mai le interfaccie ma appunto fli indirizzi. (anche se in questo caso non è il problema determinante). Devi mettere l'IP del GW VPN.....in teoria quello che hai assegnato al tunnel lato server.

 

Il masquerade serve al lato server per poter tornare indietro alla centrale.

Ripeto rileggi bene quello che ho scritto: o usi masquerade o usi le rotte (le rotte servono da ENTRAMBI i lati).

[abbio90]

dal lato server devi impostare un'ip route dove il dst address sarà la subnet 10.10.200.0/24 e l'ip gw deve "essere" 10.10.100.50 (che è l'ip statico che hai assegnato al client...

sono cascato in questa cosa un'altra volta...

 

sul client devi impostare un'ip route dst la subnet 192.168.200.0/24 e come GW 10.10.100.1 (il server della vpn IP non interface)

[abbio90]

sul server devi creare anche il masquerade della subnet 10.10.100.0/24 senza selezionare interface solo src address e masquerade

[slash76]

Ciao Andrea ciao Abbio....ecco il primo errore che commesso...io selezionavo dal menu a tendina l interfaccia l2t ma non ho mai pensato di fare doppio click e scrivere l ip del tunnel...domani provo 

 

Abbio però nel caso in cui come tu suggerivi sul server abiliti un pool di indirizzi per i remote come ti comporti con le rotte statiche verso i client???

 

Scusa Abbio ma perche devo impostare il masquerade sulla 10.10.100 che è poi il tunnel???Una volta che ho impostato le rotte statiche lato client e lato server in teoria non ho bisogno di nient altro per far si che le due reti si vedano...scusa ma sono un po duro🤪🤪

[abbio90]

Il masquerade serve se lato server per qualsiasi motivo ti connetti alla vpn in lan e non il pubblico...aboliti altri secret che no user test pe test e non specifichi il remote server...pero nella situazione attuale devi anche creare un ip pool per la VPN e impostarlo come remote address nel profile vpn...cosi  puoi connetterti con l.account test da quanti dispositivi vuoti e vedere sia la lan lato server che quella lato client...se aggiungi altri client che dovrai raggiungere da pubblico dovrai creare altri secret in questo caso specificando il remote server con ip statico...e creare la rotte di ritorno sul server specificando il remote arreda del client...e se anche da quel secondo client devi vedere la lan server devi impostare la rotta pure sul quel client

[Andrea Annoni]

State facendo un po’ di confusione.

masquerade va messo  se si decide di lavorare dietro NAT.  Diversamente rotte andata-ritorno sui device.

 

attraverso i profile si può propagare un pool di indirizzi o anche assegnare staticamente. 

Io stesso quando mi connetto con un utenza mi assumo un IP da pool se mi connetto con altra mi viene assegnato staticamente.

 

[slash76]

Abbio scusa....io senza nessun masquerade sulla vpn  lato server da lan raggiungo il mio client..non ho capito cosa intendevi....per il pool  vpn scusami ma non ho capito molto

[slash76]

Ciao Andrea...infatti anche io preferisco rotte andata e ritorno senz nat...mi chiedevo solo come gestire le rotte statiche in presenza lato seever do un pool di indirizzi per il remote address...

[Andrea Annoni]

Il pool o il remote address servono per gestire il tunnel. E questa è una cosa.

una volta che il tunnel e in piedi però poi servono le rotte: dal lato client la rotta per vedere la Subnet che c’è lato server attraverso la VPN. 

Dal lato server la rotta per vedere la subnet del lato client sempre attraverso il tunnel.

Le rotte servono ENTRAMBE anche solo per lanciare un semplice Ping da un solo lato! 

 

se mandi le due configurazioni sarebbe più semplice aiutarti. Basta che fai un export e copi tutto quello che c’è a video.

[abbio90]

Non è molto chiaro infatti se sul lato server lavori sotto nat...Il profilo che hai creato ora è statico...una volta che assegni le rotte come scrivevo nei messaggi precedenti quello è ok...ma dovresti fare un.altro secret con delle credenziali diverse e il remote address lo lasci vuoto...poi vai su ip pool e crei un pool tipo 10.10.100.100-10.10.100.155 e lo nomini VPN pool...poi vai su profile in ppp e nel profile1vpn  hai creato tu nel remoto Address selezioni il VPN pool...dovresti essere ok

 

[abbio90]

Fatto questo puoi provare a connetterti  da piu device con il secret che hai creato per ultimo...ti  dovrebbeassegnare degli ip compresi nel pool e dovresti vedere sia lato server che client statico se le rotte sono impostate correttamente

[slash76]

Ragazzi che fatica....ma un primo passo siamo andati avanti....dunque Andrea, la centrale Tecnoalarm non inviava eventi nemmeno collegata direttamente senza Vpn.....abbiamo effettuato un tracert, ed abbiamo notato che tra i vari hop ne risultavano alcuni su Ip privati e non pubblici......per fare la prova del nove , ho acceso la radio del Mk in pseudo bridge station collegata al mio Iphone in Hotspot, e la centrale invia correttamente gli eventi al mio server.....quindi è presente un problema sulla linea dell'azienda....

 

Ho tirato su la Vpn.....il tunnel sta su tranquillamente.....ho impostato le due rotte lato client e server, ma continuo ad avere lo stesso maledetto problema.....dal pc dietro il server raggiungo la centrale, dalla centrale non raggiungo il server.....ripeto.....la rotta verso il server è giusta.....questa è l'export della configurazione lato client....cosa manca???Non capisco......

 

Mikrotik lato client:

 

/interface ethernet
set [ find default-name=ether1 ] disabled=yes
/interface l2tp-client
add connect-to=iel.dnsalias.com disabled=no name="Vpn tunnel" password=rosati1 \
    user=rosati1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
    tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=iphone \
    supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=\
    lucaluca wpa2-pre-shared-key=lucaluca
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=italy disabled=no mode=\
    station-pseudobridge security-profile=iphone ssid="iPhone di Luca"
/ip pool
add name="pool service" ranges=10.10.10.10-10.10.10.20
/ip dhcp-server
add address-pool="pool service" disabled=no interface=ether3 name=\
    "Dhcp servicec"
/ip address
add address=192.168.11.244/24 comment=Wan interface=ether1 network=192.168.11.0
add address=10.10.200.1/24 comment="Centrale Tecnoalarm" interface=ether2 \
    network=10.10.200.0
add address=10.10.10.1/24 comment="Lan service" interface=ether3 network=\
    10.10.10.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=wlan1
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=8.8.8.8 gateway=10.10.10.1
/ip dns
set servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=10003 protocol=tcp to-addresses=\
    10.10.200.2 to-ports=10003
add action=masquerade chain=srcnat out-interface=wlan1
/ip route
add distance=1 dst-address=192.168.200.0/24 gateway=10.10.100.1
/system clock
set time-zone-name=Europe/Rome

 

 

 

Mikrotik lato server

 

/interface bridge
add comment="Bridge lan ufficio" name="bridge lan"
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name="pool indirizzi lan" ranges=192.168.200.10-192.168.200.20
add name="pool indirizzi vpn" ranges=10.10.100.2-10.10.100.250
/ip dhcp-server
add address-pool="pool indirizzi lan" disabled=no interface="bridge lan" name=\
    server1
/ppp profile
set *0 local-address=10.10.100.1
/interface bridge port
add bridge="bridge lan" interface=ether3
add bridge="bridge lan" interface=ether4
add bridge="bridge lan" interface=ether5
/interface l2tp-server server
set default-profile=default enabled=yes
/ip address
add address=192.168.100.1/24 comment="Lan ufficio" interface=ether3 network=\
    192.168.100.0
add address=192.168.1.176/24 comment="Porta WAN" interface=ether1 network=\
    192.168.1.0
add address=192.168.200.1/24 comment="Dmz Server Tecnoalarm" interface=ether2 \
    network=192.168.200.0
/ip dhcp-server network
add address=192.168.200.0/24 dns-server=8.8.8.8 gateway=192.168.200.1
/ip dns
set servers=8.8.8.8
/ip firewall address-list
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=Bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you need \
    this subnet before enable it" list=Bogons
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" list=Bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=Bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you ne\
    ed this subnet before enable it" list=Bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=Bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=Bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=Bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=Bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=Bogons
add address=224.0.0.0/4 comment=\
    "MC, Class D, IANA # Check if you need this subnet before enable it" list=\
    Bogons
/ip firewall filter
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related disabled=yes
add action=drop chain=forward comment="Drop from Dmz to Lan" disabled=yes \
    dst-address=192.168.100.0 in-interface=ether2
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new disabled=yes in-interface=ether1
add action=accept chain=forward disabled=yes port=69 protocol=udp
add action=accept chain=input disabled=yes port=69 protocol=udp
add action=drop chain=forward comment="Drop to bogon list" disabled=yes \
    dst-address-list=Bogons
add action=accept chain=input disabled=yes protocol=icmp
add action=accept chain=input connection-state=established disabled=yes
add action=accept chain=input connection-state=related disabled=yes
add action=drop chain=input disabled=yes in-interface=ether1
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=10020 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.200.2 to-ports=10020
add action=masquerade chain=srcnat comment="Navigazione generale uffiico" \
    out-interface=ether1
/ip route
add distance=1 gateway=192.168.1.1
add distance=1 dst-address=10.10.200.0/24 gateway=10.10.100.50
/ppp secret
add name=rosati1 password=rosati1 remote-address=10.10.100.50
/system clock
set time-zone-name=Europe/Rome
/system identity
set name="Router ufficio"
/system leds
add
/system logging
add action=disk topics=l2tp
add topics=ppp
add topics=account
/system ntp client
set enabled=yes primary-ntp=216.239.35.8 secondary-ntp=213.251.52.250 \
    server-dns-names=8.8.4.4.
/system package update
set channel=bugfix
[admin@Router ufficio] >

 

 

Riassumendo:

 

Rotta client ufficio:   /ip route
add distance=1 dst-address=192.168.200.0/24 gateway=10.10.100.1 

 

Rotta ufficio client: add distance=1 dst-address=10.10.200.0/24 gateway=10.10.100.50

 

Se da lato client effettuo un semplice ping verso lìufficio non risponde, ma se faccio il ping da Winbox funziona....è come se il pc/centrale TEcnoalarm no riuscisse a capire che per la 192.168.200.0 deve usare il gw 10.10.100.1 cioè quello del tunnel

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Quote

Se vui avere meno ansie possibili usa la SSTP che in genere sfruttando la porta 443 è meno problematica (salvo che facciano Traffic inspection). 

[Andrea Annoni]

La sto leggendo da tablet ma a naso credo che il problema sia il servwr VPN.

Dal lato client nello status della VPN ti viene rilasciato correttamente l'indirizzo (10.10.100.50)? Perchè temo che ci sia qualche noia in questa modalità.

Ora sto facendo qualche giorno di vacanza ma quando torno posso guardarci meglio.

 

Io fossi in te specificherei direttamente sul secrets IP locale e remoto e userei il default profile visto che non fai altro.

 

Ma una domanda......i due mikrotik sono entrambi router principali della rete giusto?