Openvpn server su Mikrotik hEX-S e Windows 10 ovpn client.

[Vincenzo164]

Salve a tutti, ho configurato un server ovpn su un RB hEX-S ed ho configurato il relativo client ovpn su windows 10.

 

Mi connetto al server ovpn regolarmente da una connessione mobile con il portatile configurato con ovpn client, ma riesco solo a pingare l'indirizzo ip del server (192.168.1.34) e non altri dispositivi che stanno sulla stessa rete (192.168.1.0/24).

 

Alla fine del file "client.ovpn" ho inserito la stringa per creare la rotta statica nel portatile al fine di poter vedere tutta la rete a valle del server ovpn mikrotik: "route 192.168.1.0 255.255.255.0 192.168.2.1"

 

Non capisco cosa sbaglio.....

 

Vi allego il file di configurazione del mikrotik.....

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

# dec/06/2020 17:04:42 by RouterOS 6.47.8
# model = RB760iGS
/interface bridge
add name=bridge1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=vpn_pool ranges=192.168.2.2-192.168.2.250
/ppp profile
add local-address=192.168.2.1 name=vpn_profile remote-address=vpn_pool
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=sfp1
/interface ovpn-server server
set auth=sha1 certificate=Server cipher=aes256 enabled=yes port=1194 \
    require-client-certificate=yes
/ip address
add address=192.168.1.34/24 interface=bridge1 network=192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-relay
add dhcp-server=192.168.1.1 disabled=no interface=bridge1 name=relay1
/ip dns
set servers=8.8.8.8
/ip route
add distance=1 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=8291
set api-ssl disabled=yes
/ppp secret
add name=xxxxxx password="xxxxxxx" profile=vpn_profile service=ovpn
/system clock
set time-zone-name=Europe/Rome
/system identity
set name="MikroTik"

---------------------------------------------------------------------------------------------------------------------------------------------

Qualche anima pia, può darmi qualche dritta per riuscire a vedere tutta la mia rete 192.168.1.0/24???????

 

Grazie anticipate per eventuali info.

 

Saluti

 

[Andrea Annoni]

Penso che manche il NAT della VPN:

/ip firewall nat add chain=srcnat  src-address=172.16.2.0/24 out-interface=bridge1 action=masquerade

 

nel client la rotta da inserire è solo:

route 192.168.1.0 255.255.255.0

[Vincenzo164]

Ciao Andrea, in effetti hai ragione al 100%......

 

Questo è il risultato degli insegnamenti del MAESTRO.......☺️

 

Configurazione fatta tutta a manina come da tuoi insegnamenti, ma mi ero scordato la regola di nat.......🤪

 

Il bello è che studiavo con attenzione il file di configurazione, e non mi accorgevo che non avevo fatto il nat sulla vpn.......INCREDIBILE..... L'uovo di colombo...... AVER LA SOLUZIONE SOTTO GLI OCCHI E NON VEDERLA......Mha, sarà l'età ........

 

Comunque ti ringrazio veramente di cuore.... Sei il mio MAESTRO ormai......😘

 

Sul client invece su un tutorial ho letto ed inserito la stringa così come scritta sopra. Ho corretto il file del client come mi hai suggerito tu e tutto fila a meraviglia.

 

Ora una domanda, se al server ovpn ci aggancio un client fatto con una rb MTK con ad esempio una rete interna "192.168.10.0/24" nel file di configurazione del client windows, a questo punto, aggiungo in coda un'altra riga:

route 192.168.10.0 255.255.255.0

Giusto?

[Andrea Annoni]

Si se ho ben capito cosa vuoi fare si.

 

[Vincenzo164]

Ok grazie di tutto. Buona serata. Saluti 

[Vincenzo164]

Buon Giorno. Stamattina altro uovo di colombo??????

 

Ho configurato il client ovpn su un map2nd tutto ok si collega al server e riesco a vedere la rete collegata al server stesso quando sono collegato al MAP2nd.

 

Se mi collego al server ovpn con il client windows ovpn pur avendo aggiunto nel file di configurazione  "client.ovpn" la route ulteriore del map, non riesco a pingarlo.

 

La regola l'ho scritta così:

route 192.168.1.0 255.255.255.0     (questa la rete interna del server ovpn)

route 192.168.10.0 255.255.255.0   (questa la rete interna del client ovpn impostata sul map2nd)

 

Ad analisi veloce credo manchi la rotta di ritorno dal server al client, mentre la rotta di andata ovviamente è ok in quanto il client vede il server.

 

Non riesco a capire se la rotta di ritorno la devo inpostare sul client o sul server e come fare......

 

Un auitino per favore prima che incasino il tutto?????

 

Grazie

 

 

Modificato: 7 dicembre 2020 da Vincenzo164

[Andrea Annoni]

La rotta di ritorno va sul server; sul client già c’è.

o rotta di ritorno o NAT; dipende come vuoi lavorare. Nel tuo caso se vuoi vedere da ambo i lati servono le rotte. 

[Vincenzo164]

fatto.

impostata sul server la rotta di ritorno.

facevo prove e mi hai preceduto.

dst. Address la rete del client, GW la connessione <ovpn-nome>

 

comunque, sarei curioso di capire l'alternativa che dicevi sul nat.

 

[Vincenzo164]

Il 7/12/2020 alle 09:39 , Andrea Annoni ha scritto:

La rotta di ritorno va sul server; sul client già c’è.

o rotta di ritorno o NAT; dipende come vuoi lavorare. Nel tuo caso se vuoi vedere da ambo i lati servono le rotte. 

Ciao Andrea, scusami una ultima dritta. quando imposto la route statica di ritorno sul server, ovviamente come gateway seleziono la connessione <ovpn-nome>. E fin qui ci siamo.

Ma se la connessione con il client ovpn per un qualsiasi motivo cade, cade pure la route statica creata e fino qua ci siamo pure.

Non capisco perchè appena il client ovpn ristabilisce la connessione perchè la route statica creata non risale automaticamente. Praticamente non riaccoppia il gw. Non so se mi sono spiegato.

Esiste un modo per far si che alla salita della connessione ovpn si crei sia la rotta dinamica di andata (che viene regolarmente sù) che quella dinamica di ritorno???

Non riesco a trovare una soluzione ad ora..... Forse mi sfugge qualcosa.....

[Andrea Annoni]

Se usi gli IP anziché le interfacce non dovresti avere problemi,

 

 

[Vincenzo164]

5 minuti fa, Andrea Annoni ha scritto:

Se usi gli IP anziché le interfacce non dovresti avere problemi,

 

 

MHMMM l'ip che viene rilasciato alla connessione ovpn fà parte di un pool_vpn

non ho implementato gli indirizzi statici sul server ovpn. 

devo riprogrammare a manina tutte le connessioni ovpn con ip statici? 

Tu dici sempre che con MKT ci sono almeno due vie per affrontare un problema, (però ad onor del vero, mi sconsigliasti ip dinamici sulle vpn.....) in questo caso, non c'è altra soluzione per aggirare la riprogrammazione da ip dinamici ad ip statici?

[Vincenzo164]

Come dice qualcuno....."Rifletteteci sopra........."

 

Stamattina a mente serena ho fatto le modifiche da tè suggerite ed ora è tutto ok.

 

Grazie sempre per le dritte.

 

Poi ti devo elogiare anche come insegnante. Le tue risposte finora portano gli interlocutori a riflettere su quello che fanno e su quello che sarebbe corretto dover fare.

 

Sei un grande maestro, e non stò scherzando. Grazie sempre per la tua gentilissima disponibilità.

 

Saluti

 

 

[Andrea Annoni]

Grazie........troppo buono davvero.☺️

[Vincenzo164]

Riprendo questa discussione perchè ho bisogno di un ulteriore spunto finale per arrivare ad una felice programmazione degli apparati collegati tra di loro con OpenVPN.

Vi posto un diagramma logico di quello che ho realizzato:

 

In pratica Funziona tutto alla perfezione, anche grazie ai "suggerimenti riflessivi" del grande Andrea Annoni.

Dall'esterno alle mie reti, collegando il pc portatile con un client windows ovpn raggiungo sia il lato server e la sua rete interna, sia il lato client remoto e la sua rete interna.

Stessa cosa accade se con un pc dalla rete interna lato client remoto pingo la rete interna lato server.

IL PING risponde sia tra apparati mtk (via terminale tra 4011 ed hEXs), sia se lo faccio da un PC connesso alla rete interna del client remoto.

L'unica cosa che non riesco a settare (IN PARTE) invece è il contrario, ovvero con un PC connesso alla rete interna lato server, pingare e vedere apparati e rete del client remoto.

Via terminale dell'hEXs riesco a pingare tutta la rete remota lato client, ma non ci riesco (ecco perchè IN PARTE) dal PC connesso internamente alla rete lato server.

In realtà, se sul pc connesso alla rete interna lato server lancio una connessione con un client OVPN tutto si risolve,  ma se vado a vedere i log del server ovpn (hEXs) trovo degli errori del tipo "Duplicate packet, dropping"

Questo errore è un errore ovvio, visto che lancio una connessione con un client ovpn dall'interno della rete locale lato server.

Quello che mi sfugge (credo una regola di nat da impostare sull'hEXS) è come faccio a vedere la rete e apparati lato client dal pc connesso in rete locale senza lanciare il client ovpn?

Ho provato ad impostare sul pc delle rotte statiche verso la classe di rete impostata sul lato client, ma non ho risolto niente.

Sarà sicuramente (come detto qualche post sopra) è il classico "uovo di colombo", ma io purtroppo non riesco a vederlo sto benedetto uovo......

 

Un suggerimento per risolvere?

 

Grazie in anticipo per eventuali info.

 

Saluti

 

 

 

[Vincenzo164]

UOVO TROVATOOOOOOO

Ciao dicevo che non era possibile che non funzionasse........ 

l'errore era il Gateway delle rotte statiche che creavo su windows....... PORCA PUPAZZA......

Mettevo come Gateway l'ip della vpn lato server, invece doveva essere l'ip interno dell'hEXs che fa da server OVPN.

 

Miiii illuminazione...... 

 

Ora funziona tutto......