client openvpn con stessa rete lan

[ale.ab]

Buongiorno,
sto provando sempre più spesso i prodotti Mikrotik perchè mi sto trovando bene.

Mi collego ad un post che avevi scritto in precedenza per chiedere una cosa simile.

Vorrei utilizzare un mikrotik dietro un router VDSL dell'operatore che non posso toccare.
Ho già configurato le schede LAN e WAN e inoltrato la porta per il servizio openvpn sul mikrotik e funziona tutto perfettamente, mi collego in vpn da remoto senza problemi...

Il mio unico "neo" sta nel fatto che la lan del mikrotik è la classica 192.168.1.0/24 perchè era così precedentemente e non volevo rifar el'intera rete.
A volte mi capita di collegarmi dall'esterno con il mio notebook dove sono in una lan identica quindi a volte ci sono conflitti e non riesco a raggiungere le macchine che vorrei raggiungere...

so che si può impostare una regola , mi sembra che si chiami DST NAT o similare...
in sostanza vorrei creare una rete fittizzia dove tutti gli ip vengono "tradotti" su quella classe e i dispositivi in lan manco lo sanno.
per esempio creare una rete 192.168.123.0/24
nella lan reale ho un server sull'indirizzo 192.168.1.100
quindi mi collego in vpn da remoto e io posso collegarmi al server digitando l'ip 192.168.123.100
nello sfortunato caso che sono in una rete dove è già presente l'ip 192.168.123.100 posso usare l'originale 192.168.1.100

come posso creare una regola del genere?

Grazie a tutti in anticipo

[ale.ab]

Praticamente vorrei fare quello descritto qui con pfsense
https://forum.netgate.com/topic/39576/s ... ame-subnet

Grazie

[ppraz]

Cambiare la LAN è semplice, devi solo seguire 3 passaggi fondamentali:
- cambiare IP del gateway
- cambiare la regola di NAT (IP->Firewall-> NAT) per includere la nuova subnet
- cambiare il dhcp

Se invece vuoi usare l'approccio NAT devi creare delle DST NAT
In questo caso metti come destination-address quello fittizio, action dst-nat e "to-addresses" il vero IP

Spero sia stato chiaro
ciao

[ale.ab]

Grazie mille per la risposta.

Cambiare lan lo so che è semplice, ma poi dovrei cambiare tutti i puntamenti sui vari pc delle stampanti e dei server che ho in ufifcio...
quindi lascierei stare perchè ci metto troppo tempo...

quindi preferisco farlo con il discorso NAT, attualmente lo uso con pfsense e funziona magnificamente ma vorrei poter replicare la stessa cosa con mikrotik...

quindi è corretto dire come caso reale
lan mikrotik 192.168.1.0/24
lan fittizzia 192.168.165.0/24

mi loggo on winbox
ip -> firewall
nel tab NAT
aggiungi +

nel tab general
Chain: dstnat
Src.Address: 192.168.165.0/24
Dst.Address: 192.168.1.0/24
nel tab action
Action: dst-nat

se faccio apply mi dice

"couldn't chaneg NAT Rule <192.168.165.0/24-> 192.168.1.0/24> to addresses or to-ports must be specified (6)"

non dirmi che devo fare una regola per ogni indirizzo ip della mia rete

grazie ancora

[ale.ab]

Perdomani ho provato e funziona ed avevo sbagliato a capire

quindi è corretto dire come caso reale
lan mikrotik 192.168.1.0/24
lan fittizzia 192.168.165.0/24

mi loggo on winbox
ip -> firewall
nel tab NAT
aggiungi +

nel tab general
Chain: dstnat
Dst.Address: 192.168.165.100
nel tab action
Action: dst-nat
To Addresses: 192.168.1.100
apply

così funziona ma con un solo ip

ho provato a mettere la classe 192.168.165.0/24 e 192.168.1.0/24 ma non funziona....
non c'è un modo per non scrivere ogni ip?

grazie mille

[ppraz]

Prova la funzione netmap invece di dst-nat nella tab "action"
così dovrebbe andare

[ale.ab]

ottimo!! perfetto era proprio quello che cercavo, adesso ho due reti per cui l'unico problema che mi si può porre e se in qualche wifi di qualche hotel o simili sia bloccata la porta tcp 1194 in uscita per cui io non riesco a raggiungere il mio mikrotik...
caso molto molto raro, quindi posso segnare il thread come solved

grazie ancora