POrt Forwarding client vpn

[abbio90]

Ciao a tutti..

ho un server VPN su RouterOS perfettamente funzionante a cui ad esso sono collgati vari client.

 

Alcuni hanno rotte di andata e ritorno. in modo che le due reti comunichino direttamente.

altri solo sul client hanno la rota verso il GW della VPN in modo che chi sta lato client non possa vedere cosa c.è aldila del Gateway.

 

Ora dovrei permettere ad un client di accedere dal suo smartphone tramite il pubblico del vpn server al suo nvr direttamente senza installare un altro client vpn sul suo telefono.

come posso fare il port forwarding di un device connesso al client della vpn??

 

ho pensato che sul server di fare un classico dst-nat con dst port es.5500 tcp verso to port 5500 to address l'ip del client della vpn interessato

dst address la subnet della wan lato server e in interface la wan

 

lato client ??

 

sto facendo un maccello??

o sin qui è corretto??

 

Grazie antipatamente per la collaborazione

 

 

[Andrea Annoni]

Forse è la stanchezza ma non ho compreso molto bene.....

In buona sostanza vorresti che uno smartphone raggiungesse il suo NVR sfruttando il pubblico del server-vpn?

[abbio90]

Ciao Andrea, si esatto... L.nvr ora è collegato ad un router mikrotik che fa da client della vpn..

Vorrei raggiungerlo con un Port forwarding dal pubblico del VPN server

[Andrea Annoni]

Devi fare un primo NAT delle porte interessate dal tuo server VPN verso l'IP del client e un secondo NAT sul client verso l'NVR (sul client dichiari come In_Interface  tutte le PPP)

[abbio90]

Ciao Andrea...ho provato ma senzao esito..ti allego i dst nat che ho creato.

magari sto sbagliando qualcosa

 

lato server:

/ip firewall nat

add action=dst-nat chain=dstnat dst-port=8100 in-interface="ether1 - SXT5" protocol=tcp to-addresses=10.165.42.202 to-ports=8100
  

 

lato client:

/ip firewall nat

add action=dst-nat chain=dstnat dst-port=8100 in-interface=all-ppp protocol=tcp to-addresses=10.246.159.103 to-ports=80

 

 

il server vpn è 10.165.42.1

il client interessato 10.165.42.202

 

quando tento la connessione dal pubblico su porta 8100 vedo lavorare la dst nat sia sul server che sul client ma non mi apre la pagina

[Andrea Annoni]

Deve andare. Io stesso ne ho diversi più o meno con le stesse tue esigenze. Io lavoro con gli IP anzichè con le interfacce.....ma poco cambia.

Il fatto che vedi passare traffico vuol dire che in teoria è OK......

Prova a definire meglio il lato client: IN-INTERFACE metti ALL PPP, mentre in IN INETRFACE LIST metti ALL

 

 

[abbio90]

In che senso?anziché selezionare la in interfacce usi il dst address e specifichi la subnet della Wan?

[abbio90]

Non è che sul client devo mascherare gli ip della vpn?

[Davide Pala]

l'uso di nat su indirizzi pubblici è quanto di peggio dal punto di vista della sicurezza, potresti usare il client ipsec nativo del telefono.

[Andrea Annoni]

il 5/8/2019 at 13:47 , abbio90 scrisse:

Non è che sul client devo mascherare gli ip della vpn?

Se usi le rotte di ritorno non serve NAT. Altrimenti si.

 

6 minuti fa, Davide Pala scrisse:

l'uso di nat su indirizzi pubblici è quanto di peggio dal punto di vista della sicurezza, potresti usare il client ipsec nativo del telefono.

Si parla di NAT degli IP privati dei tunnel. 

Se leggi bene Fabio deve denattare una connessione attraverso un suo servizio VPN. 

Modificato: 10 agosto 2019 da Andrea Annoni