Ipsec e Dns

[gecco]

Buongiorno,
premetto che ero a digiuno di Mikrotik e son partito da zero.
ho dovuto configurare per la mia azienda,
una Vpn Ipsec con un nostro fornitore,
con un pò di peripezie e tanta buona volontà
siamo riusciti a tirar su la vpn,
sia in fase 1 che in fase 2 e fin li è tutto a posto.
Ora il problema di fondo è che riesco a giungere
nei loro server tramite Ip ma non riesco a gestire
i loro dns e quindi ad utilizzare i vari indirizzi che mi hanno fornito.
Visto che l'ipsec funziona e io riesco ad entrare da loro,
perché non riesco a dialogare con i dns? dove sbaglio?
qualche consiglio o idea che mi permetta di risolvere?

Grazie a Tutti

[radiation]

Cosa vuol dire che non riesci a dialogare con i loro DNS?
Forse alludi che non riesci e vedere i loro device in rete?

Se così fosse devi specificare una rotta per la loro subnet e usare com GW quello della VPN; inoltre se dall'altra parte non è stata fatta la stessa cosa devi creare un masquerade (quindi lavorarai con il NAT) per i pacchetti sulla VPN

[gecco]

Ciao Radiator, innanzitutto grazie per l'attenzione

Cosa vuol dire che non riesci a dialogare con i loro DNS?
Forse alludi che non riesci e vedere i loro device in rete?

allo stato attuale, collegata la vpn
io riesco a visualizzare la loro interfaccia
solo se metto l'indirizzo http://10.10.78.11 e non se utilizzo http://interfaccia.net

Se così fosse devi specificare una rotta per la loro subnet e usare com GW quello della VPN; inoltre se dall'altra parte non è stata fatta la stessa cosa devi creare un masquerade (quindi lavorarai con il NAT) per i pacchetti sulla VPN

Un esempio pratico per capire
mikrotik
IpPubblico -> 2.2.2.2

Lan Interna
Ip -> 192.168.2.0/24
Gt -> 192.168.2.1
Dns -> 192.168.2.1

Ipsec
IpPubblico -> 3.3.3.3

Lan Interna
Ip -> 10.10.77.0/24
Ip -> 10.10.78.0/24

ServerDns -> 10.10.78.2
10.10.78.3

Ipsec tra i due ip pubblici

la route che mi dicevi dovrebbe essere, fatta su entrambe le subnet dell'altra azienda:
DestAddress: 10.10.78.0/24 e 10.10.78.0/24
- usa come Gateway
2.2.2.2 se imposto 3.3.3.3 non risulta raggiungibile

anche se sono convinto che mi manchi qualcosa

come regola del firewall
chain:srcnat - destAddress: QUALE? - Action: masquerade

dico bene?

[gecco]

La cosa che mi fa rodere è che mi funziona tutto,
mi collego tramite tramite vpn alla mia azienda
e da li riesco tramite l'ipsec a collegarmi
all'altra azienda ma solo tramite gli ip e non tramite gli indirizzi.
mi manca pochissimo ma non riesco a capire cosa mi manca

[radiation]

Scasa mi ero perso il post.

Quello che non ho capito e chi risolve gli indirizzi nella sede remota. È Netbiis di Windows oppure c’è un server DNS interno?
Nel primo caso non puoi fare nulla.
Nel secondo caso vanno specificati i record remoti sul server DNS

[gecco]

Figurati e grazie per la risposta,

ci sono dns interni,

.
Nel secondo caso vanno specificati i record remoti sul server DNS

che cosa intendi?
perdona l'ignoranza

[radiation]

Hai provato banalmente a mettere l'IP del server DNS come secondario sia nella RB che nel PC?

[gecco]

Eh si,
Purtroppo già ho provato.

[ppraz]

Solo una ipotesi:

quando si configura un server DNS si specifica una o più subnet "trusted" a cui dare tutte le risposte, sia per i domini autoritativi che per quelli non autoritativi.
Se chi ha configurato il DNS ha fatto questo tipo di configurazione c'è l'ipotesi che tu, provenendo da una VPN, ti presenti con un IP "foreign" e il DNS scarta le tue richieste.
In tal caso se non puoi agire sul server DNS puoi comunque provare a farti mascherare da una routerboard che abbia un IP nel range accettato dal DNS.

[gecco]

mmm ... scusa forse sono un pò
io duro di comprendonia.
quando mi consigli di mascherare,
creo una regola sul mikrotik che dice
Action - masquerade, chain:srcnat, Dst.Address: Ippubblico altra azienda ?

nel caso specifico solo questa regola non funziona,
sbaglio a mettere quell'ip o va integrato con qualche altro passaggio?


A priori grazie a tutti per le risposte, per le idee e per l'aiuto
che mi state dando