vpn tra zeroshell e mikrotik rb 750

[matly006]

posto la configurazione ip e firewall:

# ADDRESS NETWORK INTERFACE
0 192.168.1.20/24 192.168.1.0 Wan eth1
1 192.168.2.1/24 192.168.2.0 Radio eth2
2 192.168.3.1/24 192.168.3.0 Lan eth3
3 D 10.10.10.1/32 10.10.10.4 <ovpn-ca>
4 D 10.10.10.1/32 10.10.10.2 <ovpn-Tom>
5 D 10.10.10.1/32 10.10.10.3 <ovpn-cn>




Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade

1 ;;; Telecamere
chain=dstnat action=dst-nat to-addresses=192.168.3.83 to-ports=8081
protocol=tcp dst-port=8081

2 ;;; Sip
chain=dstnat action=dst-nat to-addresses=192.168.3.193 to-ports=5060
protocol=udp dst-port=5060

3 ;;; Sip
chain=dstnat action=dst-nat to-addresses=192.168.3.193 to-ports=5060
protocol=tcp dst-port=5060

4 ;;; Owncloud
chain=dstnat action=dst-nat to-addresses=192.168.3.29 to-ports=8501
protocol=tcp dst-port=8501

5 ;;; Sip
chain=dstnat action=dst-nat to-addresses=192.168.3.193 to-ports=5061
protocol=tcp dst-port=5061

7 ;;; rtp
chain=dstnat action=dst-nat to-addresses=192.168.3.193
to-ports=10000-10200 protocol=udp dst-port=10000-10200


Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.1.254 1
1 ADC 10.10.10.2/32 10.10.10.1 <ovpn-Tom> 0
2 ADC 10.10.10.3/32 10.10.10.1 <ovpn-cn> 0
3 ADC 10.10.10.4/32 10.10.10.1 <ovpn-cas 0
4 A S 10.80.6.0/24 10.10.10.3 1
5 A S ;;; Antenna Sim
172.16.1.0/30 192.168.2.100 1
6 A S ;;; Antenna Pap
172.16.2.0/30 192.168.2.100 1
7 A S ;;; Antenna Ivano
172.16.3.0/30 192.168.2.100 1
8 ADC 192.168.1.0/24 192.168.1.20 Wan 0
9 ADC 192.168.2.0/24 192.168.2.1 Radio 0
10 ADC 192.168.3.0/24 192.168.3.1 Lan 0
11 A S ;;; Verso Sim
192.168.10.0/24 192.168.2.100 1
12 A S ;;; Verso Pap
192.168.20.0/24 192.168.2.100 1
13 A S ;;; Verso Ivano
192.168.30.0/24 192.168.2.100 1
14 A S 192.168.168.0/24 10.10.10.2 1

la rb750 mi gestisce le reti: 192.168.10.0 - 192.168.20.0 - 192.168.30.0 (remote dietro sxt). tutto il traffico proveniente da questi ip passa per il 192.168.2.100 che è una omnitik mentre per le classi 192.168.1.0(wan), 192.168.2.0(radio), 192.168.3.0 (lan) ci pensa la 750.
il traffico proveniente dalla Radio, quindi i telefoni ip, si presentano come 192.168.2.1, mentre quelli dietro a vpn come 10.0.0.2/3/4

le classi 10.80.6.0 e 192.168.168.0 sono le lan dietro 2 vpn

immagino che il problema sia dovuto al masquerate, che utilizzo per far si che le sedi remote possano navigare, immagino anche che bisogna agire sul src-address e dst-address per ovviare al problema, ma non riesco bene a capire come funziona.

grazie
massimiliano

[matly006]

si, effettivamente ho impostato il seguente comando:

chain=srcnat action=masquerade

cosi, tutti i pc delle diverse reti riescono a navigare attraverso la rb750.
ho provato anche con questo comando:

1 X chain=srcnat action=masquerade src-address=192.168.10.0/24 out-interface=Wan>

dove 192.168.10.0/24 è una sottorete presente dopo le cpe sxt

in questo modo, in teoria dovrei effettuare il masquerate soltanto per quello che passa per l'interfaccia wan. infatti riesco a navigare e raggiungere le altre reti,

ora, se applico la stessa regola alla rete 192.168.3.0/24, quindi:

X chain=srcnat action=masquerade src-address=192.168.3.0/24 out-interface=Wan>

con i pc nella rete 3.0/24 riesco a navigare correttamente, i telefoni provenienti dalle altre reti si registrano con il loro giusto ip,ma i trunk sip di asterisk (messagenet, cheapnet), non si registrano, rimanedo in request send e fine

spero di essere stato chiaro

grazie

massimiliano