Mikrotik mAP 2nD come client L2TP

[Phate]

Ciao a tutti,

mi trovo in questo scenario:



delle applicazioni client inviano dati ad un server in Cloud, che, sulla base di questi dati, dovrebbe inviare in stampa dei documenti su stampati situate in alcune LAN remote. Dal momento che le LAN sono situate dietro NAT dell'ISP, il server non le può raggiungere attraverso un IP pubblico (né fisso né dinamico), quindi ho pensato di sfruttare un canale VPN per ciascuna LAN. A questo scopo, in ogni LAN, è presente un mikrotik mAP 2nD che dovrebbe connettersi, come client L2TP, ad un VPN server in esecuzione su un container docker installato sulla macchina in Cloud. Per fare ciò, sul router mikrotik, ho configurato un L2TP client e ho creato un "Profile" nella sezione "PPP" con un "Local address" statico (così che il client L2TP avesse sempre lo stesso IP una volta connesso al server VPN). Lo schema di indirizzi attuale è il seguente (considerando una singola LAN):

Server:
- IP pubblico statico: 193.204.xxx.xxx
- IP locale VPN: 192.168.42.1

mikrotik router:
- ether1: LAN IP 10.0.13.103, VPN IP 192.168.42.10
- ether2 (in bridge con wlan1): LAN IP 192.168.88.1

Stampante:
- LAN IP 192.168.88.252

A questo punto, dal router mikrotik e da qualunque altro dispositivo nella rete 192.168.88.0/24 riesco a pingare l'IP 192.168.42.1. Tuttavia, dal server, riesco a pingare solo il 192.168.42.10, mentre non riesco a raggiungere direttamente la stampante. Per ovviare al problema, l'unica cosa che sono riuscito a fare è stata aggiungere una regola NAT, con azione "dst-nat", per ridirigere il traffico indirizzato all'IP 192.168.42.10 (su una determinata porta) verso l'IP 192.168.88.252.

La prima domanda è..l'approccio descritto finora è accettabile o ho commesso qualche errore grave?

L'ultimo problema che non sto riuscendo a risolvere riguarda l'autenticazione IPSec. Nello specifico, quando la connessione VPN è attiva, nel tab "Peers" della sezione "IPSec", vedo una entry dinamica il cui "Auth. Method" (non modificabile) è impostato su "pre shared key". Mi servirebbe avere l'autenticazione "pre shared key xauth". Ad esempio, su una smartphone Android, c'è esplicitamente l'opzione "IPSec XAuth PSK" durante la configurazione del client VPN..come posso specificare la stessa cosa sul mikrotik? Al momento, se elimino quella entry dinamica dalla tabella "Peers" e ne creo manualmente una con autenticazione "pre shared key xauth", funziona tutto...ma, se riavvio il router, viene ripristinata la vecchia entry e quindi viene utilizzata l'autenticazione "pre shared key".

Mi scuso per la lunghezza del post e se ho usato termini inappropriati, ma questo non è esattamente il mio campo.

Grazie a chiunque voglia darmi una mano

[radiation]

Per quanto riguarda la raggiungibilità delle stampanti direi che ti manca la rotta di ritorno laro server.....e cioè che la rete LAN dove c'è la stampante (o solo l'IP della stampante se preferisci) è raggiungibile attrvaerso l'IP della VPN.
Altro modo per lavorare senza NAT è utilizzare un tunnel tipo EoIP (o anche una L2TP bridged) che è un layer2 puro....quindi è come essere attaccato fisicamente al router lato server (passa DHCP ecc) .

La seconda parte, sarà la stanchezza ma non riesco a capirla bene; il Mikrotik deve collegarsi attraverso IPsec? A chi?
Chi fa da VPN server? Stai usando un CHR su infrastruttura virtuale?

[Phate]

Per quanto riguarda la raggiungibilità delle stampanti direi che ti manca la rotta di ritorno laro server.....e cioè che la rete LAN dove c'è la stampante (o solo l'IP della stampante se preferisci) è raggiungibile attrvaerso l'IP della VPN.

mi manca la rotta di ritorno o la rotta di andata?
Dalla rete LAN in cui si trova la stampante (rete LAN che è connessa alla ether2 del mikrotik, ovvero il VPN client) io riesco a pingare l'IP VPN del server...è il contrario che non riesco a fare.
A questo punto, come dici tu, mi sa che dovrei impostare (sul server VPN) una rotta per indicare che la LAN della stampante (192.168.88.0/24) è raggiungibile attraverso l'IP VPN 192.168.42.1 (ovvero l'IP VPN del server).
In ogni caso, penso che sia più gestibile, per la logica lato server, conoscere l'IP VPN del client piuttosto che l'IP privato della stampante..forse..

Altro modo per lavorare senza NAT è utilizzare un tunnel tipo EoIP (o anche una L2TP bridged) che è un layer2 puro....quindi è come essere attaccato fisicamente al router lato server (passa DHCP ecc) .

su questo mi devo documentare perchè non mi è molto chiaro

La seconda parte, sarà la stanchezza ma non riesco a capirla bene; il Mikrotik deve collegarsi attraverso IPsec? A chi?
Chi fa da VPN server? Stai usando un CHR su infrastruttura virtuale?

il server VPN che sto utilizzando è in esecuzione su un container docker avviato sulla macchina server in Cloud. Il container in questione è creato a partire da questa immagine:

https://github.com/hwdsl2/docker-ipsec-vpn-server

se provo a connettermi a quel server tramite il mio smartphone Android, posso tranquillamente utilizzare l'autenticazione "IPSec Xauth PSK". Viceversa, il client L2TP che ho configurato sul mikrotik si collega al server VPN con autenticazione "pre shared key"..a me servirebbe impostare "pre shared key xauth", cosa che riesco a fare solo con la procedura manuale descritta nel precedente post e che perdo dopo il riavvio del mikrotik.

[radiation]

mi manca la rotta di ritorno o la rotta di andata?
Dalla rete LAN in cui si trova la stampante (rete LAN che è connessa alla ether2 del mikrotik, ovvero il VPN client) io riesco a pingare l'IP VPN del server...è il contrario che non riesco a fare.
A questo punto, come dici tu, mi sa che dovrei impostare (sul server VPN) una rotta per indicare che la LAN della stampante (192.168.88.0/24) è raggiungibile attraverso l'IP VPN 192.168.42.1 (ovvero l'IP VPN del server).
In ogni caso, penso che sia più gestibile, per la logica lato server, conoscere l'IP VPN del client piuttosto che l'IP privato della stampante..forse..

Se vuoi lavorare senza NAT devi specificare le rotte da ambo le parti. Il gateway da usare sono gli IP della VPN.


Il server VPN che stai usando sinceramente non l'ho mai sentito. Io ormai anche in situazioni virtuali uso delle VPS su cui monto un CHR Mikrotik. Detto questo nel client L2TP tu inserisci la password di IPsec? Hai provato a loggare l'IPsec?

[Phate]

Se vuoi lavorare senza NAT devi specificare le rotte da ambo le parti. Il gateway da usare sono gli IP della VPN.

perfetto. Questo lo terrò a mente come regola generale

Detto questo nel client L2TP tu inserisci la password di IPsec? Hai provato a loggare l'IPsec?

Sul server VPN ho definito una ipsec-secret e una coppia username/password.

Nel client L2TP del router mikrotik ho impostato ipsec-secret, username e password..e il link VPN risulta correttamente connesso. L'unico problema è che non viene usata l'autenticazione xauth e non so come specificare che venga usato quel tipo di autenticazione.

Se, ad esempio, imposto un client VPN sullo smartphone, non ho problemi perchè posso esplicitamente scegliere, come tipo di client VPN, "IPSec Xauth PSK".

Se posso essere utile con qualche screenshot o log, ditemelo pure..probabilmente sto usando termini sbagliati, ma, come detto, è la prima volta che mi occupo di queste cose..e purtroppo devo cercare di risolvere in qualche modo

[Phate]

vi prego, non mi abbandonate!

A parte gli scherzi, se partendo dalla configurazione attuale non esiste soluzione al mio problema, non ho nessun problema a cambiare approccio. Sia il server VPN che sto usando, sia il client L2TP sul mikrotik sono scelte casuali (mi sembravano le più semplici), ma non rappresentano un vincolo alla mia soluzione.

Il requisito generale è solo questo:

Inviare da un'applicazione server dei documenti da stampare su stampanti che si trovano il LAN remote. Dal momento che queste LAN escono su Internet con un IP pubblico NON personale (cioè condiviso con altri utenti dell'ISP), vorrei usare un mikrotik map 2nD in ogni LAN per stabilire una VPN (basata su un qualunque protocollo) con il server, così da inviare i documenti sulla VPN. Infine, avrei bisogno di monitorare lo stato di connettività di queste VPN tramite software (sempre lato server).

Ne approfitto per augurarvi buon anno!

[radiation]

Se guardi sulle wiki di Mikrotik c'è di certo anche la procedura per Android. Che funziona te lo garantisco in quanto io uso L2TP sia su iOS che su Android.

Per quanto concerne il monitoraggio del sever VPN puoi usare un qualsiasi software che integra il protocollo SNMP oppure meglio ancora puoi usare il Dude di Mikrotik.

[Phate]

Se guardi sulle wiki di Mikrotik c'è di certo anche la procedura per Android. Che funziona te lo garantisco in quanto io uso L2TP sia su iOS che su Android.

Ma io su Android non ho nessun problema, né tantomeno ho la necessità di connettere Android al mikrotik.

Ho un server VPN (che è in esecuzione su una macchina desktop Linux) e il mikrotik dovrebbe funzionare da client VPN IPSec, connettendosi al server con autenticazione xauth..tutto qui.

Android l'ho nominato solo come esempio, dal momento che, sullo smartphone, ho configurato senza problemi un client VPN IPSec con autenticazione xauth...e vorrei appunto fare lo stesso sul mikrotik..

[radiation]

Allora dovresti andare nelle impostazioni della IPsec del Mikrotik.
Hai provato a cercare qualcosa nella Wiki?

Nel menù IPsec hai provato a settare lo user?