vpn PPTP che funziona ma non mi fa collegare a winbox

[valerio.93]

ciao ragazzi, ho letto un po' di cose ma non sono venuto a capo di nulla..
io ho questo problema: ho un bel po' di clienti che hanno un mikrotik installato da me. li vorrei gestire dal mio ufficio tramite vpn.
facendo le prove ho messo su un pptp server sul router dell'ufficio e un pptp client qua a casa per provare questo colelgamento.
il collegamento c'è e funziona(se pingo da client il server funziona e viceversa)
però se dall'ufficio apro winbox e digito l'indirizzo che mi ha assegnato il server non mi funziona.. credo che sia un problema di firewall, ho aggiunta queste 2 regole.. vedo che prova a fare la connessione ma non riceve risposta.

Codice: Seleziona tutto

/ip firewall filter
add action=accept chain=forward in-interface=bridge log=yes out-interface=\
    <pptp-vpn>
add action=accept chain=forward in-interface=<pptp-vpn> log=yes out-interface=\
    bridge

avete delle soluzioni? voi come fate a gestire i vostri mikrotik a giro?

[valerio.93]

EDIT
son sicuro che questa strada che sto seguendo non è quella giusta. in quanto sto facendo tutto in dinamico.. ad esempio ora ho spento e riacceso questo in casa e gli è stato assegnato un'altro indirizzo privato.. quindi questa mia soluzione non va assolutamente bene..
riformulo la domanda.. come fate voi a tenere sotto controllo e gestire i mikrotik sparsi in giro? molti dei miei clienti non hanno l'indirizzo pubblico..

[bivio87]

Ciao !!
allora iniziamo dall' inizio OK!
1) RB è di default?
2)le regole sono sbagliate il chain=forward e per quello che "ATTRAVERSA" router OS per una regoel per accedere devi dagli input sulla porta di Winbox default 8291 dall interfaccia desiderata
3) sul server è buna cosa Se hai nattato (spero di si ) fare um mascquerade come out "all ppp" dst = LA TUA LAN VPN

se posti il config te lo metto aposto ok

[valerio.93]

Ciao !!
allora iniziamo dall' inizio OK!
1) RB è di default?
2)le regole sono sbagliate il chain=forward e per quello che "ATTRAVERSA" router OS per una regoel per accedere devi dagli input sulla porta di Winbox default 8291 dall interfaccia desiderata
3) sul server è buna cosa Se hai nattato (spero di si ) fare um mascquerade come out "all ppp" dst = LA TUA LAN VPN

se posti il config te lo metto aposto ok

Ciao e grazie per la risposta. ti posso postare la configurazione del client al momento.. adesso non riesco a collegarmi in ufficio per scaricare quella lato server.. che comunque al discorso è sbagliata pure quella ahaha

Codice: Seleziona tutto

/interface bridge
add admin-mac=D4:CA:6D:5B:C8:D0 auto-mac=no comment=defconf name=bridge
/interface pptp-client
add add-default-route=yes connect-to=indirizzoipserver disabled=no name=\
    Verso_feliac password=xxx user=xxx
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    bridge
/ip dns
set allow-remote-requests=yes

/ip firewall filter
add action=accept chain=forward in-interface=Verso_feliac log=yes

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=Verso_feliac

ho tolto un po' di regole dal firewall per farti pulizia.
comunque mi rimane il problema che io non posso sapere chi c'è dietro l'indirizzo che mi assegna il server nella vpn.. perchè ogni volta che spengo e riaccendo il client mi cambia di indirizzo.. come si può ovviare a questo problema? mi hanno consigliato di leggere dude

[bivio87]

ciao ti vedo ON per cui prima di fare tutte le prove ti risp a questo

comunque mi rimane il problema che io non posso sapere chi c'è dietro l'indirizzo che mi assegna il server nella vpn.. perchè ogni volta che spengo e riaccendo il client mi cambia di indirizzo.. come si può ovviare a questo problema? mi hanno consigliato di leggere dude

SI SI Dude risolve.. Ma io ho TANTE VPN attive ma non mi serve per questo risolvo in 2 MODI

1) posso tranquillamente non usare il pool e fissare ip remoto da server!! dall Secrets
2) utilizzo il pool e per collegarmi a una vpn acceso al serve e da active connect vedo che ip il server gli ha dato! Io faccio cosi

PS ma da Telnet sulla RB dovresti vedere il Server !! prova un po

[valerio.93]

si, dal client tramite telnet raggiungo il server!
ok per il primo modo, in quella maniera so che la mio cliente x gli do staticamente sempre e comunque l'indirizzo y.
per il secondo come fai a capire tra le varie connessioni attive quale effettivamente è il cliente che ricerchi?

comunque, rimane il problema che non riesco ad aprire il winbox dalla rete dei pc che fanno capo al router(che è il server vpn).

[bivio87]

comunque, rimane il problema che non riesco ad aprire il winbox dalla rete dei pc che fanno capo al router(che è il server vpn).

certo ma ora possiamo farlo funzionare !!! il problema è il server!!
cominciamo con masquerade

Codice: Seleziona tutto

/ip firewall nat add chain=srcnat out-interface=all-ppp action=
maquerade dst-address=172.16.0.0/16

nel mio caso le VPN sono su quella rete 172.16.0.0 ok?

apriamo la porta del firewall mettere come regola

Codice: Seleziona tutto

/ip firewall filter add chain=input in-interface=all-ppp priority=1 port=8291 protocol=tcp action=accept   

e periamo hahah

ora se ti colleghi in VPN col pc dovreti poter usare WINBOX

ora in router aggiungi la regola sul server che dice che se chiama
ex 192.168.1.0/24 gateway il tuo ip vpn
ovviamente ufficio e casa avranno classi diverse o usi un ip che in ufficio non ce e limiti la route a quell' indirizzo

dai di oggi risolviamo sicuro!!! se hai tempo

[valerio.93]

ok, c'era il mi capo in ufficio e mi ha lasciato un computer acceso con il team viewer e sono riuscito a collegarmici!
sul server ho messo il masquerade e sul client ho accettato la porta 8291 sulla ppp
grazie!

[bivio87]

ok per cui collegando direttamente il pc in VPN funziona WinBox....

per le pptp allora ma tu crei tanti secret quanti utenti hai ex
bivio con la sua pass
gigi con la sua pass
pinco con la sua pass
ecccc...

in ppp active conect vedi chi è collegato e che ip pubblico e che ip "privato" cioè vpn che ha
se si in VPN Col pc punti quel ip su winbox e funzionaaaa

per farlo senza collegare il tuo pc in VPn devi scrivere la route sul server che deve sapere a che ip girare le richieste cioè deve conoscere la TUA lan, seno lui prova a risolvere sulla rotta 0.0.0.0

[valerio.93]

ok per cui collegando direttamente il pc in VPN funziona WinBox....

per le pptp allora ma tu crei tanti secret quanti utenti hai ex
bivio con la sua pass
gigi con la sua pass
pinco con la sua pass
ecccc...

in ppp active conect vedi chi è collegato e che ip pubblico e che ip "privato" cioè vpn che ha
se si in VPN Col pc punti quel ip su winbox e funzionaaaa

per farlo senza collegare il tuo pc in VPn devi scrivere la route sul server che deve sapere a che ip girare le richieste cioè deve conoscere la TUA lan, seno lui prova a risolvere sulla rotta 0.0.0.0

fantastico! grazie davvero.
ti ho mandato un pm! quando puoi dagli un'occhiata!
grazie ancora