VPN tra RB450G e RB411U

[mandreatta]

Salve a tutti,
sono a chiedere il Vostro aiuto per realizzare un sistema di telecontrollo utilizzando OVPN, RB450G (Gateway VPN), RB411U (Client PLC) e dei PC.
La mia situazione è la seguente, vorrei creare un server OVPN su un RB450G con autenticazione mezzo certificati e attribuendo indirizzi IP statici ai client.
A questa VPN si dovrebbero collegare delle RB411U tramite UMTS, mentre il collegamento tra la RB411U e il PLC avviene via ethernet quindi poi tutti i pacchetti, pensavo tramite un NAT, dovevano essere indirizzato al PLC.
A questi PLC ci si collega tramite un software residente su client win che si collega anche lui alla VPN con autenticazione sempre via certificato.

Sono riuscito a collegare in OVPN un RB411U (Client) con la RB450G (Gateway OVPN) ma solo utilizzando sia certificati che user/password, poi devo capire come assegnare un'indirizzo IP statico ai client e non utilizzando un pool.

Ultima cosa era quello nel capire come re-indirizzare tutti i pacchetti che arrivano in VPN sulla PPP-OUT (UMTS) all'indirizzo IP del PLC collegato sulla ethernet.

Spero in un vostro grande aiuto

Saluti

[piciccia]

Ciao, prima di tutto....
Perchè OpenVPN ? E' + noioso da configurare rispetto a SSTP o PPTP. Inoltre è meno supportato su ROuterOS.
Dato che tutta la rete è privata, che necessità c'è di usare NAT ? Non sarebbe meglio indirizzare direttamente tutte le macchine ??

A questi PLC ci si collega tramite un software residente su client win che si collega anche lui alla VPN con autenticazione sempre via certificato.

Qui mi sono perso...... se sei già sul tunnel, perchè crearne un'altro dentro il precedente ?

Saluti
C.

[mandreatta]

Ciao grazie per la risposta, in merito al discorso di OVPN era solo per comodità visto che l'avevo già utilizzato tra client win/mac/linux e server con una distro ubuntu, ma e mi dici che sarebbe meglio utilizzare SSTP o PPTP adesso mi faccio un bel giro in google e cerco di capire come configurare la cosa.

Per il discorso del NAT è semplicemente questo, utilizzando il collegamento alla rete UMTS, l'indirizzo IP che viene assegnato è dinamico, inoltre con VODAFONE l'inndirizzo IP non è pubblico ma è un NAT.

Il secondo motivo è che il PLC potrebbe avere un'indirizzo 192.168.10.1 (già configurato perchè il PLC è gia in un rete privata quindi che non posso toccare), la ethernet della mia RB411U potrebbe essere configurata con 192.168.10.254 e l'indirizzo IP della VPN assegnato staticamente alla RB411U è 10.0.0.5.

Quello che devo fare è che tutte le richieste che vengono fatte in VPN sul 10.0.0.5 vengano girate all'indirizzo IP 192.168.10.1 del PLC e viceversa.

Non so se sono stato chiaro

Vedo di fare uno schema e postarlo.

Grazie in anticipo

[piciccia]

Per il discorso del NAT è semplicemente questo, utilizzando il collegamento alla rete UMTS, l'indirizzo IP che viene assegnato è dinamico, inoltre con VODAFONE l'inndirizzo IP non è pubblico ma è un NAT.

Ma la VPN avverrà dal client UMTS (vodafone) al tuo server, che avrà (spero) un IP pubblico e fisso.
L'IP della UMTS non è + importante a questo punto, esce dal gioco, le comunicazioni avvengono solo tra te e l'IP privato assegnato dal PPP al client connesso.

Il secondo motivo è che il PLC potrebbe avere un'indirizzo 192.168.10.1 (già configurato perchè il PLC è gia in un rete privata quindi che non posso toccare), la ethernet della mia RB411U potrebbe essere configurata con 192.168.10.254 e l'indirizzo IP della VPN assegnato staticamente alla RB411U è 10.0.0.5.

Nessun problema, basta gestire le rotte statiche tra le reti. Ciò che avviene sui tunnels segue la logica delle punto-punto, ovvero puoi benissimo avere un master 192.168.10.254 e il client 10.0.0.5, è sempre una rete /32 ai fini del routing. Ovvero ogniuno è broadcast dell'altro. Dentro le P-P puoi usare tutti gli indirizzi che vuoi senza preoccuparti delle classi.

Saluti
C.

[mandreatta]

Si riesce ad assegnare un'indirizzo IP statico al client quando la VPN è stata creata..?

[mandreatta]

Ok. ci siamo.. attivato PPTP Server sul mio RB450U, creato gli utenti e definiti gli IP statici:
- 10.0.0.1 (RB450)
- 10.0.0.2 (RB411)
- 10.0.0.3 Client MAC

Adesso sorge il primo problema, dal client 10.0.0.3 riesco a fare PING verso il 10.0.0.1 ma non riesco a raggiungere il 10.0.0.2, non riesco a capire cosa devo modificare, penso forse firewall ma non ne vado fuori.

Altre cosa, sulla RB411 (10.0.0.2) devo far si che tutto quello che arrivi sulla VPN venga girato ad un'indirizzo IP della stessa rete della ethernet visto che la RB411 si collega via UMTS

Grazie per l'aiuto in anticipo

[piciccia]

Adesso sorge il primo problema, dal client 10.0.0.3 riesco a fare PING verso il 10.0.0.1 ma non riesco a raggiungere il 10.0.0.2, non riesco a capire cosa devo modificare, penso forse firewall ma non ne vado fuori.

Manca la rotta sul client. Ricordi ? Per lui sono tutte /32 ! Ovviamente può raggiungere solo il suo endpoint, se vuoi che raggiunga anche gli altri, devi mettere su tutti i client la rotta:
net=10.0.0.0/16 gw=10.0.0.1

ovvvero:

Codice: Seleziona tutto

ip route add dst-address=10.0.0.0/16 gateway=10.0.0.1


O quello che vuoi tu.....

Saluti
C.

[piciccia]

Se vuoi usare i certificati, e non avere problemi con i NAT ed i firewall, usa SSTP funziona alla stessa maniera.

Saluti
C.

[mandreatta]

Ok.. fatto tutto, configurato sia RB450 che una RB411, riesco a stabilre la VPN con PPTP, adesso devo capire come fare NAT, sia in uscita che entrata, di tutto quello che passa dalla VPN ad un'indirizzo IP del PLC che si trova sulla stessa rete della ethernet.

Mi spiego meglio, la VPN avviene tra la RB411 e la RB450 con collegamento UMTS, ho assegnato i seguenti IP:
- RB411 - 10.0.0.2
- RB450 - 10.0.0.1

Nella mia RB411 la scheda ethernet ha l'indirizzo IP 192.168.0.1 mentre il PLC collegato ha la 192.168.0.100, qundi quando da un PC/MAC mi collego via telnet all'indirizzo 10.0.0.2 devo far indirizzare tutti i pacchetti all'indirizzo IP 192.168.0.100


Ci sono consigli..?

Grazie

[piciccia]

Ripeto....
a meno che su tutte le sedi non hai indirizzi duplicati (e sarebbe meglio non averli) non devi fare alcun NAT.
Bastano le rotte.

C.