Default route RouterOS VPN

[abbio90]

Ciao a tutti..ho una RB con eth1 in pppoe su cui mi consegna un pubblico dinamico..

Per varie ragioni dovrei uscire con un pubblico statico di un'altra sede su cui è presente un vpn server..

ho messo su il tunnel, si autentica..ma non riesco ad uscire con l'ip statico pubblico lato vpn server.

Ho provato cosi..

dare distance 1 al pppoe, fare una route con dst 0.0.0.0/0 gw il gw della vpn routing mark=vpn

poi ho creato una rule con scr la subnetlan che deve uscire con essa e table=vpn.

inoltre ho creato il nasquerade su sstp client in out interface

 

ho simulato questa conf con una RB con doppio nat è funziona correttamente...invece su pubblico in pppoe non riesco a cavarne piede..

qualcuno saprebbe darmi una mano??

Saluti, Fabio

[Andrea Annoni]

Io uso una applicazione simile; Due distance 0.0.0./0 con GW la PPPoE e l'IP della VPN.Entrambe con distance1.

La rotta con la VPN riferisce a una tabella di mark e non alla main.

 

E poi dichiari una rule con la subnet della LAN che marchi tutta come VPN

[abbio90]

In che senso due distanze della ppooe..

Io ho attivato la default route della vpn dal ppooe client direttamente con add default route..

Come gestisci in maniera statica le default route del ppooe..

La rotta con la table e la rules la sto facendo anche io..però su doppio Nat funge quindi penso che la rotta con table e la rules sono corrette.. evidentemente sto sbagliando qualcosa nella rotta del ppooe

[abbio90]

forse la rotta della pppoe devo impostarla statica e non dal add default route dal menu del client pppoe.

ma come faccio ad impostarla statica se mi assegna un'ip pubblico dinamico?

[Andrea Annoni]

Non capisco la domanda.. 

non serve impostare la route a mano..... le due distance (pppoe e vpn) devono avere entrambe 1. Se metti la distance della pppoe più alta della vpn non esce più nulla. 
 

il traffico verso la vpn lo dichiari con il mark 

[abbio90]

con doppio nat se uso questa conf funziona il tutto

 

/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no \
    frequency-mode=superchannel installation=outdoor ssid=ASUS_X008D wireless-protocol=\
    802.11
/interface pptp-client
add connect-to=37.xxx.xxx.122 disabled=no name=pptp-out1 password=TESTfabiogois user=\
    fabiogois
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
    tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm \
    wpa-pre-shared-key=12345678 wpa2-pre-shared-key=12345678
/ip pool
add name=dhcp-pool ranges=172.16.23.100-172.16.23.120
/ip dhcp-server
add address-pool=dhcp-pool disabled=no interface=bridge1 name=dhcp-server
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip address
add address=10.246.159.60/24 interface=ether1 network=10.246.159.0
add address=172.16.23.1/24 interface=bridge1 network=172.16.23.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=wlan1
/ip dhcp-server network
add address=172.16.23.0/24 dns-server=1.1.1.1 gateway=172.16.23.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1
/ip firewall filter
add action=accept chain=input connection-state=established,related,untracked
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=wlan1
# pptp-out1 not ready
add action=masquerade chain=srcnat out-interface=pptp-out1
/ip route
add distance=1 gateway=10.200.254.1 routing-mark=vpn
add comment=rete2 distance=2 gateway=10.246.159.50
/ip route rule
add dst-address=0.0.0.0/0 src-address=172.16.23.0/24 table=vpn
/system clock
set time-zone-name=Europe/Rome
/system identity
set name="test Sede2"
/system routerboard settings
set silent-boot=yes
[admin@test Sede2] >

 

se invece del doppio nat imposto il pppoe client sulla eth1 ed il resto invariato esco su internet ma non con l'ip del vpn server..

è strano...

sempre con distance 1 sulla pppoe sempre con queste due regole

/ip route
add distance=1 gateway=10.200.254.1 routing-mark=vpn
/ip route rule
add dst-address=0.0.0.0/0 src-address=172.16.23.0/24 table=vpn

[Andrea Annoni]

Potrebbe esserci un problema nel masquerade. Quando usi la PPPoE il masquerade lo fai direttamente sulla sua interfaccia?

Provato a fare un torch?

[abbio90]

In questo caso che voglio uscire con la vpn sto mascherando la l2tp client in out interface..

In doppio Nat funge..

In pppoe no..

Dici che dal l.interfaccia ppooe client se imposto ASD default route mi crea dinamicamente anche il nat Masquerade.?

[Andrea Annoni]

 

In questo caso che voglio uscire con la vpn sto mascherando la l2tp client in out interface..

.....sarà l'ora, sarà che sono da tablet e non ho modo di verificare, ma la cosa non mi torna.........perchè mascheri il tunnel? Non dovrebbe essere necessario

 

 

Dici che dal l.interfaccia ppooe client se imposto ASD default route mi crea dinamicamente anche il nat Masquerade.?

No, di sicuro non ti crea nessun masquerade. Chiedevo se il NAT lo applichi alla PPPoE diretta (sarebbe la cosa più logica) oppure se dichiari le funzioni tipo WAN, all PPP, ecc ecc......

[abbio90]

in genere maschero out interface PPPoE client non uso mai le interface list o ad esempio le all ppp..

 

son da un po che non ci smanetto, ma mi pare che se non maschero la vpn come out interface non esco con la vpn su internet...non vorrei dire castronerie