Vai al contenuto
PLC Forum


Realizzazione VPN tra linea domestica fissa e rete mobile


Valerio5000

Messaggi consigliati

40 minuti fa, Valerio5000 ha scritto:

Ho giocato un po con le rotte adesso ho raggiunto la situazione in cui anche i servizi desktop remoto da casa mia verso il PC a valle della WAP funziona però per fare il tutto ho dovuto impostare le rotte anche sulla WAP verso la mia rete infatti in questo modo tutti i miei servizi (NAS, RB951 ecc) sono raggiungibili anche dalla WAP alla 951 addirittura posso raggiungere l'interfaccia web di ROS dal PC sotto la WAP ma non riesco a fare il contrario; pingo da casa mia tutti i client sotto la WAP compresa quest'ultima ma mentre raggiungo i client non raggiungo ROS della WAP dal mio PC di casa sia con WinBox sia con Chrome non c'è stato verso e non capisco se dipende dalla mia 951 o dalla WAP. 

Cosi hai dichiarato anche le rotte di ritorno per cui le due reti si vedono.

Se invece vuoi vedere solo un lato la rotta va messa solo dal lato che vuoi vedere aggiungendo una source-nat con masquerade della LAN remota.

 

Sulla 951 come già detto avrai sicuramente delle filter rules che bloccano

Link al commento
Condividi su altri siti


Ok infatti avevo chiaro il discorso di dichiarare la rotta solo dal lato dove voglio sia tutto accessibile quindi sulla 951 di casa il problema è che sono sicuro se non dichiaravo la rotta sul WAP non riuscivo a pingare e fare altro da casa non so spiegarmi il perché.

 

Comunque voglio procedere per gradi,  l'aggiunta di un source-nat con masquarade di cosa si tratta ? Immagino vada fatto sotto la scheda NAT del firewall della 951 praticamente devo dichiarare come "sorgente" la subnet della WAP quindi 192.168.88.0/24 ?

 

Mi sta prendendo questa cosa :D

Link al commento
Condividi su altri siti

36 minuti fa, Valerio5000 ha scritto:

Ok infatti avevo chiaro il discorso di dichiarare la rotta solo dal lato dove voglio sia tutto accessibile quindi sulla 951 di casa il problema è che sono sicuro se non dichiaravo la rotta sul WAP non riuscivo a pingare e fare altro da casa non so spiegarmi il perché.

 

Perchè ti manca un NAT.

 

Se la sede remota dove vuoi accedere ha come subnet la 192.168.88.0/24 allora si.

Link al commento
Condividi su altri siti

Piccola parentesi tornando sulla storia dell tunnell EoIP;

 

mi sto facendo una guida se dovesse servirmi in futuro, tutto ok ho riprovato da zero a crearlo e sono riscuito perfettamente c'è solo una cosa che non ho risolto; appena inserisco nella WAP il tunnel nel bridge e riavvio, giustamente tutti i client ricevono gli IP di casa e accedono a tutte le condivisioni, la WAP però mi scompare e non vi posso più accedere. Avendo l'IP di default 192.168.88.1 ho pensato che impostandola su un IP della mia LAN, una volta attivato il tunnel potessi tornare ad accedervi ma nulla, ne WinBox ne dalla 951 riesco a capire che IP prende la WAP. Ho provato anche ad usare al posto dell'IP il suo MAC ID in WinBox ma nulla, diventa completamente trasparente. Come potrei ovviare a questo ?

 

Forse devo "giocare" con il DHCP Client sotto il menu IP impostando come interfaccia il tunnel EoIP ?

Modificato: da Valerio5000
Link al commento
Condividi su altri siti

è normale.  Se la subnet remota la inserisci nella interfaccia EoIP è ovvio che non vedi più il WAP.

Salvo che dichiari una rotta per lui, un NAT, oppure più semplicemente punti l'IP del tunnel.

Link al commento
Condividi su altri siti

4 ore fa, Andrea Annoni ha scritto:

è normale.  Se la subnet remota la inserisci nella interfaccia EoIP è ovvio che non vedi più il WAP.

Salvo che dichiari una rotta per lui, un NAT, oppure più semplicemente punti l'IP del tunnel.

Allora, mi riprometto di provare nuovamente però da WinBox di casa una volta che la WAP diventa trasparente mi sembra di aver provato a puntare l'IP del tunnel ma nulla.

 

Non avevo pensato al discorso della rotta effettivamente. Quindi sulla 951 di casa creo una rotta con la subnet della WAP dirigendola verso l'interfaccia EoIP o L2TP ?

 

Riguardo le rotte c'è qualcosa che mi sfugge devo fare con più calma il tutto; arrivo a fare tutto anche a far vedere tra loro i client di casa e quelli sotto la WAP ma se non inserisco una rotta verso casa mia nella WAP non c'è verso, in poche parole la sola rotta impostate nella 951 di casa sembra non essere sufficiente..

Link al commento
Condividi su altri siti

Dunque credo di essere ad un passo dal completo successo (sto parlando delle rotte non del tunnel EoIP); ora tramite la regola del firewall che mi hai consigliato (source nat) riesco a fare tutto da casa mia senza aver dovuto impostare alcuna rotta di ritorno sulla WAP remota, mi funziona desktop remoto ho provato anche un semplice server FTP su un client a valle della WAP ed è tutto perfettamente funzionante.

 

Un però; se da casa mia nei vari browser provo a inserire l'IP della WAP (192.168.88.1) o anche tramite WinBox non riesco ad accedere in alcun modo alla configurazione di ROS non ci sono santi non va. Provando dallo stesso PC a pingare l'IP lo raggiunge perfettamente.

 

Questa cosa mi fa impazzire, mi sembra di essere ad un passo, ho fatto un po di prove in "filter rules" del Firewall ma non riesco. Mi era venuto anche in mente che le porte utilizzate da WinBox potessero essere il problema in quanto le uso sulle RB della mia LAN ma cambiando le porte in ascolto sulla WAP non ho ottenuto nulla.

 

Mi manca veramente poco credo, non riesco a capire per quale motivo i vari FTP,Desktop remoto ecc funzionano mentre l'accesso a ROS sulla WAP no.

 

Paradossalmente se inverto completamente la situazione e cioè imposto una rotta nella WAP e non faccio nulla sulla 951, raggiungo sena problemi l'interfaccia HTTP della 951 😑

 

Consigli ?

 

Un grazie infinite in anticipo intanto ;)

 

P.S credo di aver capito il motivo delle frequenti disconnessioni VPN tra la 951 e la WAP; ho dovuto aggiornare il firmware del modem LTE in quest'ultima RB, era di molto indietro.

Modificato: da Valerio5000
Link al commento
Condividi su altri siti

Verifica se ci sono limitazioni in /IP/Service, oppure regole di firewall che bloccano.

La rotta per la 192.168.88.0 l'hai dichiarata?

Hai provato usando l'IP del tunnel?

Link al commento
Condividi su altri siti

Credo di aver risolto !!

 

Ho inserito nella WAP una regola nel firewall per accettare tutto il traffico proveniente dalla subnet 192.168.0.0/24 con interfaccia di ingresso il tunnell vpn e in mezzo secondo ho visualizzato sia WebFig che WinBox da casa !

 

Domani voglio riprovare da zero a fare il tutto e aggiorno 

 

Ti ringrazio ancora per il grandissimo aiuto che probabilmente a te sembrerà poco ma a me sta togliendo ore e ore di prove ;);) 

Link al commento
Condividi su altri siti

C'è un cosa di cui non abbiamo parlato ma solo accennato; il modem del provider.

 

Se da casa mia volessi raggiungere l'interfaccia del modem a monte della 951 cosa dovrei fare concretamente ? Devo impostare una ulteriore rotta sulla 951 a casa mia o su quella a casa del mio amico ? l'IP mi sembra sia il classico 192.168.1.254

Link al commento
Condividi su altri siti

Aspetta non così in fretta  😅 

 

Dunque in NAT nella 951 del mio amico devo fare una masquarade con l'IP remoto del tunnel ma poi ? Da casa mia inserendo l'IP del modem entrerò?

 

Non mi è chiaro 

Link al commento
Condividi su altri siti

Devi fare una destination address con IP del tunnel VPN e come action  il NAT verso l'IP del modem.

magari usando come porta verso il tunnel una diversa per non andare a intercettare il Mikrotik; tipo la 8080.

 

Da casa tua punti l'IP de tunnel con la porta.

Link al commento
Condividi su altri siti

Crea un account o accedi per commentare

Devi essere un utente per poter lasciare un commento

Crea un account

Registrati per un nuovo account nella nostra comunità. è facile!

Registra un nuovo account

Accedi

Hai già un account? Accedi qui.

Accedi ora
×
×
  • Crea nuovo/a...