Due router mikrotik

[kris89]

Buongiorno a tutti, premetto di non avere molta dimestichezza con l'argomento che porterò ai vostri occhi e spero fortemente in un vostro aiuto...
In pratica ho bisogno di realizzare un tunnel vpn stabile dove i client ( spesso sotto reti NAT 10.222.x.x ) sfruttano l'IP pubblico del server per mettere in ascolto le porte dei loro host ( in genere 2 host e 4 porte ).
Ecco un esempio di quello di cui ho bisogno :

Codice: Seleziona tutto

Router Mio Provider (IP pubblico) + RouterOS (server vpn)<<------------------------>>Router Provider + RouterOS (client vpn)-------->>host-1:4000

Codice: Seleziona tutto

IP pubblico:4000----->host-1:4000

Facendo una ricerca sul forum ho trovato questa guida https://www.routerositalia.net/forum/viewtopic.php?f=36&t=1085 che ho seguito per cominciare a muovermi, ma il risultato non l'ho raggiunto. I client vpn risultano connessi se leggo nella webfig sotto active connections, ma non riesco a raggiungerli facendo ping.
Le classi tra server e client sono diverse e posso facilmente stravolgere tutto poichè parliamo di piccole reti, quindi se devo provare non ci sono problemi.
Per quanto riguarda le configurazioni ho seguito pari pari quelle del tutorial e prima ancora quelle della wiki mikrotik http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#PPTP_Client ...

Spero in vostro aiuto e vi ringrazio in anticipo.

[figheras]

Hai routato gli indirizzi IP in entrambi le sedi cosi come nella guida:

-A questo punto per poter raggiungere entrambi le sedi basterà ruotare le subnet della sede A e della sede B:

Codice: Seleziona tutto
[admin@R1] > ip route add dst-address=192.168.11.0/24 gateway=10.10.10.100
[admin@R2] > ip route add dst-address=192.168.1.0/24 gateway=10.10.10.1

[kris89]

si.. ma probabilmente sbaglio qualcosa o mi manca qualche configurazione... ( o magari dovrei provare con un altro protocollo vpn ?)
praticamente se la classe vpn client è 192.168.0.1 ( diversa sia dai router provider, sia dal routerOS server )... e l'host che devo raggiungere è 192.168.0.10 e la sua porta 4000 ( che corrisponde ad un interfaccia web )...
Dall'altra parte dove ho vpn server, da un pc sul browser, scrivendo 192.168.0.10:4000 dovrei raggiungere l'host remoto e la sua interfaccia web ?

[figheras]

Ti derei che potresti se entrambi le sedi avessero subnet differenti, però esiste un sistema per ovviare a questo tipo di problema, (con stesse subnet) che purtroppo non ho mai testato (abilitando il proxy-arp sull'interfaccia LAN, ma non ho avuto tempo di provarlo)
Quello che potresti fare in maniera piu sbrigativa sarebbe quello di sostituire la subnet in una delle due sedi in modo che siano differrenti tra loro e poter raggiunere la sede remota!

[kris89]

subnet inteso come 255.255.255.0 per sede A e 255.255.0.0 per sede B....
Oppure inteso come IP 192.168.100.1 per sede A e 192.168.200.1 per sede B....
Ti chiedo scusa se magari le mie domande sono un po' scontate...
Adesso comunque provo con IP di classi diverse... ( comunque mi sa che proxy-ARP non è abilitato di default, adesso verifico anche questo... )

[figheras]

Oppure inteso come IP 192.168.100.1 per sede A e 192.168.200.1 per sede B..

Esatto inteso cosi!

( comunque mi sa che proxy-ARP non è abilitato di default, adesso verifico anche questo... )

No va settato manualmente, di default è "enabled"

[kris89]

Ok, grazie, mi metto subito all'opera..

[kris89]

Eccomi dinuovo qui... Niente da fare.. non riesco a raggiungere gli host nè da client verso server, nè da server verso client... Ho impostato il proxy arp, sia lato wan che lato client, e ho due subnet diverse : 192.168.88.1............ 192.168.99.1........
ho creato un tunnel con ip locale 10.10.10.10 e remoto 10.10.10.100....
poi una route dist 192.168.88.0 gateway pptp client.... o anche 10.10.10.100
route dist 192.168.99.0 gateway pptp server.... o anche 10.10.10.10
ma niente da fare... se metto una web cam su routerOS vpn client con indirizzo 192.168.99.70 e porta 60000.... quando lascio la sede B e torno sulla sede A e con un pc collegato al routerOS vpn server apro il browser scrivendo 192.168.99.70:60000 ho pagina web non disponibile.....
cosa sbaglio ?

[figheras]

Scusa ma li raggiungi tramite ping??

[kris89]

dal terminale il routerOS server e il routerOS client si raggiungono e il ping c'è : 120ms...
Anche facendo la prova viceversa va....
Ping 192.168.88.1 interface pptp-out1---->> 120ms
Ping 192.168.99.1 interface user-pptp----->> 119ms
Quindi cosa sbaglio... oppure non posso da server aprire host:xyz del client ?