Connessione OVPN a server mikrotik CHR a sua volte connesso in SSTP mikrotik cliente

[3nema]

Salve a tutti, sono nuovo con i mikrotik ho bisogno di aiuto per quanto riguarda un architettura di rete per il controllo in remoto di dispositivi domotica di vari clienti l'architettura inizia da una connessione vpn tra il mio pc dell'ufficio e un server mikrotik chr in cui il server si collega a sua volta in sstp a un altro mikrotik a casa del cliente il mio obiettivo è riuscire una volta attivata la connesione OpenVPN a pingare dal prompt la sottorete del mikrotik a casa del cliente il problema è che l'ip dell'ufficio è 192.168.2.xx e il mik_client è 192.168.2.xx dal server chr dentro winbox con il protocollo SSTP arrivo senza problemi a pingare il mik_client il problema è quando da remoto attivo la connessione openvpn dal pc non arrivo al mik_client qualcuno sa come risolvere? grazie mille allego un immagine per fare più chiarezza possibile

[Andrea Annoni]

Al di là che vedo un po’ di problemi di logica di rete.

se CHR farà da accentratore e bene che lo faccia anche per il cliente; questo ovvia anche a legarsi a ip pubblici del cliente ecc.

la tipologia di tunnel non la condivido ma non è un problema.

 

lato cliente sarebbe più logico assegnare subnet differenti per non avere problemi di overlapping. Ad ogni modo se lasci così devi usare un netmap sul router cliente. 

per capire poi dove sono i problemi occorre capire le configurazioni; non so nemmeno se lavori con rotte di ritorno oppure fai del NAT

[3nema]

salve grazie della risposta purtroppo ho poca dimestichezza con le reti, come potrei risolvere il lato cliente perchè non posso cambiare l'ip, e per le configurazioni dimmi pure cosa ti serve ti mostro tutto quanto.

 

[3nema]

per fare più chiarezza possibile quando attivo openvpn quindi il mio ip da remoto diventa 10.100.1.2 e pingo il server 10.100.1.1 arrivo senza problemi ma non pingo poi oltre quindi la 192.168.2.1 mi da il ping dell mi rete locale, invece da winbox se accedo al server chr e pingo la 192.168.2.1 arrivo a pingare il mik client. purtroppo sono ancora inesperto nel routing però vorei imparare e soprattutto capire come farlo funzionare grazie ancora.

 

 

[Andrea Annoni]

Diciamo che se è una cosa che vuoi fare da "N" clienti la rete va progettata prima sulla carta proprio per non avere poi problemi.

 

In genere il CHR fa da VPN server sia per la tua VPN di managment, sia per la VPN del cliente.... anche pefchè cosi facendo anche se il cliente cambia operatore, ambia router o tocca qualcosa nel 95% dei casi la VPN sale nuovamente...in quanto è dal cliente che si registra verso il CHR (tu se ho ben capito stai facendo il contrario). Questo ti torna utile anche per non essere obbliato ad avere IP pubblici ecc.

 

Lato cliente di solito è peferibile usare una SSTP perchè molti operatori possono bloccare le altre VPN.....SSTP usando come default la 443 generalmente non è mai bloccata (salvo che fanno traffic inspection); è un pochino più "pesante" rispetto a una L2TP o OpenVPN (ma per dire) ma funziona quasi sempre.

 

C'è poi a capire se vuoi lavorare con il cliente in modo "trasparente" (con rotte di ritorno da ambo i lati) oppure se usi un NAT.

 

Se dal cliente non vuoi toccare la subnet, unico modo è di fare un netmap sul Mikrotik cliente con una subnet che sul CHR dedicherai SOLO per lui; ad esempio...se il cliente ha la subnet 192.168.2.0/24 potresti fare un netmap con una 10.10.100.0/24; Sul CHR metterai come rotta quest'utlima.

Per cui, se ad esempio il cliente ha il gateway domotica con un IP 192.168.2.11 tu per vederlo da casa tua dovrai mettere 10.10.100.11 e cosi via.....ti fa un NAT 1:1 delle subnet.

 

 

[3nema]

si scusa il diagramma il cliente si registra verso il CHR in SSTP, quindi se ho ben capito è fare netmap sul mik_cliente in winbox in NAT chain=dstnat , Dst. Address = 192.168.2.0/24 , protocol= 6(tcp) poi ACTION = netmap, to address = 10.10.100.0/24 può essere giusto cosi un esempio di setup da fare su winbox?

ti ringrazio ancora per l'aiuto 

 

[Andrea Annoni]

Chain di destination

Destionation address: 10.10.100.0/24

Action: Netmap to address: 192.168.2.0./24

 

Modificato: 5 agosto 2022 da Andrea Annoni

[3nema]

ok cosi quindi

[Andrea Annoni]

No. Leggi bene cosa ho scritto. Non specificare nulla. Niente porta, niente 0.0.0.0 

[3nema]

a scusami ok e poi in chr come gateway? in route list 

[Andrea Annoni]

Il tunnel 

[3nema]

10.200.1.1 sstp 

 

[Andrea Annoni]

Se è quello l’end point ok

io mica posso saperlo 

 

dall’altro lato serve un NAT del tunnel oppure una rotta di ritorno. 
 

[3nema]

si funziona nel client ho 192.168.2.5 e se pingo da chr 10.10.100.5 arriva 

nel lato vpn un nat sempre come prima però fatto dentro il server?

 

[Andrea Annoni]

Ripeto: se non so le configurazioni come posso dirti se è giusto o sbagliato?

 

se la raggiungi e ok 

[3nema]

ti mando screen perdonami questo è il chr e devo fare sempre un netmap sulla vpn e il mio ip in locale giusto?

 

[Andrea Annoni]

Non offenderti, ma cosi non si capisce nulla......

Le configurazioni si esportano e si pubblicano con pastebin.

 

Ad ogni modo non devi fare nessun'altro netmap. Sul CHR devi avere la rotta per instradare la subnet 10.10.100.0/24 con GW il tunnel.

Sul tuo Mik stessa cosa.....rotta verso il CHR. Il CHR conosce già la "strada"...è un router; oppure sul tuo usi un tunnel per far uscire tutto il traffico (con il mangle) ma non so che banda disponi nei vari punti, che provider, se ci sono problemi di MTU.

 

Io ti suggerirei di cominciare a fare qualche corso base di networking; magari prenditi qualche libro.

[3nema]

va bene grazie mille per l'aiuto purtroppo sono molto inesperto con le reti mi sono preso un po di libri per il networking grazie ancora