VPN IpSec

[skywalkersenior]

Salve a tutti

Premetto di essere completamente a digiuno di RouterOS e di non avere familiarità con riga di comando, quindi siate "basici" nelle eventuali risposte

Ho installato un RouterBoard 750GL da un cliente che ha anche una sede remota a cui si collega tramite VPN IpSec (dall'altra parte c'è un router Digicom e, prima che si bruciasse, ce l'avevano uguale anche qui).

Connettività (PPPoE) ok, DHCP ok, DNS ok, VPN... quasi ok...
Dico "quasi ok" perché il tunnel viene stabilito e riesco a pingare i vari nodi da una parte all'altra, peccato che non vada oltre. Se cerco di aprire una condivisione sul server remoto, vado in timeout, se cerco di collegarmi in RDP al server terminal remoto, idem con patate. Perché il ping funziona, ed il resto no?
Bisogna agire a livello di firewall anche se, teoricamente, il tunnel dovrebbe essere trasparente?
Se si, dove?
Grazie per ogni suggerimento che potrete darmi

[radiation]

Hai creato una regola di Masquerade per la VPN?

[skywalkersenior]

Puoi essere un po' più specifico?
Io nell'impostazione IP-Firewall-NAT ho questa configurazione:

[radiation]

Se la ETH1 è dove c'è attestata la connessione ti manca una regola per mascherare i pacchetti in uscita dalla VPN.
Prova a mettere destination nat con la subnet della VPN in uscita e come azione il masquerade

[skywalkersenior]

Ma leggevo che l'azione "masquerade" si usa su PPPoE con IP dinamici. La mia connessione è, si, PPPoE, ma l'IP è statico.
Comunque, non ho capito dove andare ad inserire la regola (molto probabile) perché questo è il risultato:


Ricorda che sono completamente a digiuno di Mikrotik, quindi più sarai dettagliato nella spiegazione, meglio sarà.

[radiation]

No no.....e chi ha mai detto che il masquerade si usa solo su PPPoE o ip dinamici??????

Se dalla routerboard riesci a pingare gli host remoti vuol dire che le regole di routing sono OK ma ti manca il masquerade.

La regola da usare è source-nat......errore mio sorry

[skywalkersenior]

Basta il Dst. Address o devo inserire anche qui il Src. Address?
In questo momento posso provare solo su un ruoter "gemello" che ho qui a casa, quindi non posso verificare che la VPN si comporti a dovere. Dovrò andare dal cliente, e vorrei farlo "preparato"

[radiation]

Devi farlo nel verso dove escono i pacchetti.....quindi direi destination; altrimenti inverti.

Non ho capito se riesci a pingare gli host remoti dalla routerboard; se così fosse è solo un pronlema di masquerade.

[skywalkersenior]

Ribadisco che non ho nessuna esperienza con questi Mikrotik (ma questo gli hanno dato, e me lo devo far andare bene), al punto che per tirare su la VPN mi sono basato su un tutorial.
Quello che non capisco è perché riesco a pingare in entrambe le direzioni (da rete A a rete B e viceversa), ma il PING è l'unica cosa che passa. Non riesco a collegarmi in RDP o SMB in nessuna delle due direzioni.
Mi parli di masquerade e non ho la più pallida idea di cosa serva e perché, una volta che la VPN è su e funzionante (almeno il ping mi dice così).

[radiation]

I sintomi che descrivi fanno proprio pensare che non stai mascherando i pacchetti in uscita sulla VPN.
La regola che devi creare è una source-nat con sorgente la subnet della VPN e come azione il masquerade.