Connessione a PC client da remoto tramite doppia VPN

[Triplex67]

Salve,saluto tutti!Sono nuovo del forum ed un neofita nella programmazione dei Mikrotik.
La mia intenzione è partecipare ad un corso base per la certificazione,ma nell'attesa non mi resta altro da fare che cercare info un pò dappertutto e testare le varie soluzioni (per ora infruttuose)
Vengo al dunque:
Ho configurato un firewall Pfsense come server VPN L2TP , a cui ho collegato per ora 5 mikrotik RB951G-2HnD
già provvisti di VPN e VLAN principale (che non posso modificare)
Ho la necessità di accedere tramite VNC o altro sw installato sul mio PC e collegato in VPN,ai vari pc client collegati,tramite la VPN da me creata.
Riesco a raggiungere i Mikrotik sia tramite Winbox che Web,ma non sono riuscito ad inoltrare la chiamata alla porta 5900 per raggiungere i PC collegati alla LAN.
Ho provato varie configurazioni NAT,ma senza risultato.
Qualcuno potrebbe gentilmente aiutarmi?

[radiation]

Dipende come e cosa vuoi fare esattamente.
Premesso che non ho ben chiaro il discorso Vlan.....hai delle Vlan? In che senso non puoi modificare?

Devi scegliere se lavorare tramite NAT o senza. Io di solito preferisco evitare NAT....quindi dovresti specificare le due rotte di ritorno sia su Pf che sui 951.
Se invece vuoi lavorare con NAT devi fare delle destination NAT sulla 951 specificando come interfaccia (anzi meglio come IP ) quello della VPN.

Se usavi Mikrotik da ambo i lati potevi usare i vari tunnel EoIP, GRE, Oppure una L2TP-Bridged

[Triplex67]

Ciao, grazie per la risposta.
Mi spiego meglio,
I mikrotik sono connessi tramite Wan, una VPN e una vlan li collegano ad un sistema centrale che io non gestisco e non posso modificare la configurazione Mikrotik di base per non alterare il funzionamento di alcuni servizi.
La VPN in questione (quella che non posso modificare) ha un indirizzo 172.16.0.0/16, le vlan non le ho controllate, ma comunque non posso modificarle.
Io ho creato sui vari Mikrotik una seconda VPN, collegata al Pfsense sempre tramite Wan (il server VPN di Pfsense è 192.168.200.254) . Ogni Mikrotik remoto ha quindi il suo indirizzo (192.168.200. 1-2-3-4 ecc).
Il client da cui voglio effettuare la connessione ha l'indirizzo 192.168.200.1 (in pratica un client come i Mikrotik)
I pc remoti sono collegati al mikrotik (192.168.0.2/24) direttamente ed hanno indirizzo statico (192.168.0.10/24.)
Io quindi dovrei indirizzare il traffico della porta 5900 dalla rete VPN che arriva al Mikrotik (192.168.200.x)alla rete del client 192.168.0.10. Da quanto ne capisco dovrebbe bastare configurare una regola Nat, ma non sono riuscito a farlo funzionare in nessun modo, raggiungo il mikrotik e da li non mi schiodo. Sarebbe possobile installare un Mikrotik anche nella mia sede, come suggerisci, ma non ho proprio idea di come si configuri per creare una rete di quel tipo.
Spero d'essere stato un po' più chiaro, anche se non mi é facile riassumere tutto in poche righe.
Grazie in anticipo.

[Triplex67]

Ciao, ti ringrazio nuovamente x le info, mi hanno messo sulla strada giusta (almeno credo) sono riuscito a far funzionare il tutto.
Dopo vari tentativi ho aggiunto 2 regole nat:

add action=dst-nat chain=dstnat dst-address=192.168.200.8 dst-port=5900 \
protocol=tcp to-addresses=172.20.80.70 to-ports=5900

add action=src-nat chain=srcnat dst-port=5900 protocol=tcp src-address=\
192.168.200.254 to-addresses=192.168.200.8 to-ports=5900
Chiedo ora un parere.
Per funzionare funziona, ma é una configurazione corretta?

[FabioPisa]

Salve a tutti! Rispolvero questa discussione per un problema analogo e per cercare un po' di aiuto per una configurazione che sto facendo.Innanzi tutto premetto che sono un neofita.
La mia situazione è la presente: ho creato una rete VPN PPtP, un RB951 fa da server di rete (IP server VPN 172.16.100.100) ed ha un ip pubblico che è 5.89.2.61
Con il mio pc portatile accedo alla rete VPN PPtP ed acquisisco l'ip 172.16.100.102
Presso altra sede ho un RB951 che fa da client VPN PPtP, esso nella rete vpn acquisisce l'ip 172.16.100.102.
Il pc collegato alla RB client ha un indirizzo ip 172.16.100.60.
Dal mio portatile riesco a "pingare" il 172.16.100.100, il 172.16.100.102 ma non il 172.16.100.60
Viceversa dal 172.16.100.60 riesco a "pingare" il 5.89.2.61 ma non gli indirizzi della rete vpn
Quale regola devo impostare per far si che dal mio portatile riesca a collegarmi sul pc con indirizzamento 172.16.100.60 tramite programma di remotizzazione tipo pcAnywhere?? Grazie a chi mi vorrà essere di aiuto!!

[TSI-Troccoli]

La cosa migliore sarebbe lasciare quegli IP per le VPN e creare 2 nuove subnet su cui mettere i PC ai 2 capi della rete.
Es.
PC1 192.168.10.2/24 ------ 192.168.10.1/24 (RB SERVER PPTP) 172.16.100.100 ------ 172.16.100.102 (RB CLIETN VPN) 192.168.20.1/24 ------ PC2 192.168.20.2/24

Poi sulla RB SERVER PPTP fai una rotta con DST 192.168.20.0/24 e Gateway 172.16.100.102
mentre sulla RB CLIENT PPTP fai una rotta con DST 192.168.10.0/24 e Gateway 172.16.100.100

[FabioPisa]

Domanda....Ma voi avete una sede in Via Adige a Pisa? Praticamente davanti casa mia?Io abito nella villetta con l'alano....

[TSI-Troccoli]

Sì, a Pisa c'è una sede operativa anche se non è aperta al pubblico.

[FabioPisa]

Ti ho inviato un messaggio privato...