Indice   FAQ  
Iscriviti  Login
Indice RouterOS RouterOS

VPN ike2 no ping lan

Tutto su questo sistema operativo linux based - Configurazioni, dubbi, problematiche &....

VPN ike2 no ping lan

Messaggioda z3nith » sab 1 dic 2018, 11:09

buongiorno,

ho configurato una VPN ike2 sul router del mio ufficio seguendo questa guida.
https://wiki.mikrotik.com/wiki/Manual:I ... entication

La VPN si collega e dal mio pc remoto (windows 10) riesco a pingare l'indirizzo lan del mikrotik. Non riesco a pingare e raggiungere nessun dispositivo collegato ad esso.

Le regole di NAT e firewall dovrebbero essere giuste, da cosa può dipendere?


Grazie.
z3nith
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 14
Iscritto il: mar 3 lug 2018, 12:33
Uso routerOS dalla Versione: v6.x

Re: VPN ike2 no ping lan

Messaggioda radiation » sab 1 dic 2018, 11:36

Può essere che manca masquerade della vpn
Andrea
Avatar utente
radiation
Staff rosIT
Staff rosIT
 
Messaggi: 486
Iscritto il: mer 11 dic 2013, 20:00
Uso routerOS dalla Versione: v3.x
Certificazioni Mikrotik: MTCNA, MTCWE
Preferred Training Centre: Nimwave

Re: VPN ike2 no ping lan

Messaggioda z3nith » sab 1 dic 2018, 12:02

radiation ha scritto:Può essere che manca masquerade della vpn


Ho settato, leggendo le guide, 2 nat masquerade, il primo un srcnat semplice dove vedo passare tutto il traffico e il secondo un srcnat la cui interfaccia di uscita è la rete wan e per il quale non vedo passare nulla.

Per le regole di firewall ho impostato la porta 500 la 1701 la 4500 e una con protocollo esp e una con protocollo ah le cui interfacce di ingresso sono la wan.
z3nith
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 14
Iscritto il: mar 3 lug 2018, 12:33
Uso routerOS dalla Versione: v6.x

Re: VPN ike2 no ping lan

Messaggioda z3nith » sab 1 dic 2018, 20:53

z3nith ha scritto:
radiation ha scritto:Può essere che manca masquerade della vpn


Ho settato, leggendo le guide, 2 nat masquerade, il primo un srcnat semplice dove vedo passare tutto il traffico e il secondo un srcnat la cui interfaccia di uscita è la rete wan e per il quale non vedo passare nulla.

Per le regole di firewall ho impostato la porta 500 la 1701 la 4500 e una con protocollo esp e una con protocollo ah le cui interfacce di ingresso sono la wan.


Aggiungo che non riesco a capire come mai la subnet dei client è 255.255.255.255 anzichè 255.255.255.0 nonostante io abbia messo lenght prefix 24 all'interno del mode config.
z3nith
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 14
Iscritto il: mar 3 lug 2018, 12:33
Uso routerOS dalla Versione: v6.x

Re: VPN ike2 no ping lan

Messaggioda ppraz » dom 2 dic 2018, 12:10

La netmask è ok così, /32, è una connessione point-to-point
Per la questione del masquerade/srcnat non è sempre necessario.
Mi dicevi che pinghi la RB, pinghi immagino TUTTI i suoi indirizzi, di tutte le sottointerfacce
In tal caso il prossimo passo da fare è un traceroute dal tuo PC.
La RB è il default gateway dei dispositivi che stai provando a pingare?
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 997
Iscritto il: sab 12 mar 2011, 14:13
Uso routerOS dalla Versione: v3.x

Re: VPN ike2 no ping lan

Messaggioda z3nith » lun 3 dic 2018, 10:21

ppraz ha scritto:La netmask è ok così, /32, è una connessione point-to-point
Per la questione del masquerade/srcnat non è sempre necessario.
Mi dicevi che pinghi la RB, pinghi immagino TUTTI i suoi indirizzi, di tutte le sottointerfacce
In tal caso il prossimo passo da fare è un traceroute dal tuo PC.
La RB è il default gateway dei dispositivi che stai provando a pingare?


Grazie per a risposta,

dal mio PC, una volta collegata la vpn, riesco a pingare sia l'IP della LAN del Mikrotik sia quello dell'interfaccia wan che si trova dietro al router fastweb.
Pingando quello LAN arrivo alla network dove è attaccato il PC che vorrei raggiungere e che non riesco a pingare. Facendo un tracert dal mio PC remoto verso l'IP del PC interno, che pingo dal Mikrotik, ho un solo nodo raggiungibile che è quello della LAN del MIikrotik.

Grazie.
z3nith
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 14
Iscritto il: mar 3 lug 2018, 12:33
Uso routerOS dalla Versione: v6.x

Re: VPN ike2 no ping lan

Messaggioda ppraz » lun 3 dic 2018, 12:46

z3nith ha scritto:Grazie per a risposta,

dal mio PC, una volta collegata la vpn, riesco a pingare sia l'IP della LAN del Mikrotik sia quello dell'interfaccia wan che si trova dietro al router fastweb.
Pingando quello LAN arrivo alla network dove è attaccato il PC che vorrei raggiungere e che non riesco a pingare. Facendo un tracert dal mio PC remoto verso l'IP del PC interno, che pingo dal Mikrotik, ho un solo nodo raggiungibile che è quello della LAN del MIikrotik.

Grazie.


Il PC a cui vuoi connetterti ha come gateway il router fastweb o il mikrotik?
Se ha come gateway il router fastweb non ci puoi riuscire a meno di:

- Nattare i pacchetti che vengono dalla subnet VPN e vanno alla LAN
- Dare come gateway al PC la RB (ma devi cambiare la topologia della rete e mettere PC -> RB -> Fastweb
- Mettere una rotta statica sul PC che punta alla RB per raggiungere la subnet VPN

A te la scelta

PS se il PC ha già la RB come gateway non ho idea :-)
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 997
Iscritto il: sab 12 mar 2011, 14:13
Uso routerOS dalla Versione: v3.x

Re: VPN ike2 no ping lan

Messaggioda z3nith » lun 3 dic 2018, 13:17

ppraz ha scritto:
z3nith ha scritto:Grazie per a risposta,

dal mio PC, una volta collegata la vpn, riesco a pingare sia l'IP della LAN del Mikrotik sia quello dell'interfaccia wan che si trova dietro al router fastweb.
Pingando quello LAN arrivo alla network dove è attaccato il PC che vorrei raggiungere e che non riesco a pingare. Facendo un tracert dal mio PC remoto verso l'IP del PC interno, che pingo dal Mikrotik, ho un solo nodo raggiungibile che è quello della LAN del MIikrotik.

Grazie.


Il PC a cui vuoi connetterti ha come gateway il router fastweb o il mikrotik?
Se ha come gateway il router fastweb non ci puoi riuscire a meno di:

- Nattare i pacchetti che vengono dalla subnet VPN e vanno alla LAN
- Dare come gateway al PC la RB (ma devi cambiare la topologia della rete e mettere PC -> RB -> Fastweb
- Mettere una rotta statica sul PC che punta alla RB per raggiungere la subnet VPN

A te la scelta

PS se il PC ha già la RB come gateway non ho idea :-)



La situazione è esattamente questa:

Dare come gateway al PC la RB (ma devi cambiare la topologia della rete e mettere PC -> RB -> Fastweb.
Il pc che è collegato al Mikrotik ha come gateway il mikrotik.
Cosa posso provare? é colpa del firewall? Del NAT?

Grazie.
z3nith
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 14
Iscritto il: mar 3 lug 2018, 12:33
Uso routerOS dalla Versione: v6.x

Re: VPN ike2 no ping lan

Messaggioda ppraz » lun 3 dic 2018, 13:19

La cosa più semplice è il src-nat
src-address la subnet della VPN
dst-address la subnet della LAN
action masquerade
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 997
Iscritto il: sab 12 mar 2011, 14:13
Uso routerOS dalla Versione: v3.x

Re: VPN ike2 no ping lan

Messaggioda z3nith » lun 3 dic 2018, 13:41

ppraz ha scritto:La cosa più semplice è il src-nat
src-address la subnet della VPN
dst-address la subnet della LAN
action masquerade



Ho provato ma nemmeno così riesco a pingare il client dietro al Mikrotik.
Cmq le subnet sono uguali il pool che ho assegnato alla vpn è uguale alla lan che sta collegata al mikrotik.
C'è modo di vedere tramite i log se il firewall blocca l'acceso o il NAT è sbagliato???
Aggiungendo il NAT che mi hai suggerito io non vedo passare traffico.
NAT 192.168.x.0/32 vpn pool 192.168.x.0/24 lan mikrotik masquerade.

Altra cosa, vedo che l'ip che il pool assegna al pc esterno remoto fa si parte del pool ma non ha gateway.

Grazie.
z3nith
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 14
Iscritto il: mar 3 lug 2018, 12:33
Uso routerOS dalla Versione: v6.x


Prossimo

Torna a RouterOS

Chi c’è in linea

Visitano il forum: Nessuno e 25 ospiti