[RISOLTO] Problema DNAT e servizi via PPP

[maik87]

Buongiorno,

ho un problema con una VPN PPTP,
Ho due subnet: 1.1.1.0/24 e 2.2.2.0/24.
La seconda e la LAN e la prima e la subnet della WAN (un router fritz).
Ho un dyndns fornito dal NAS e ho fatto diversi DNAT che rispondono dal bridge del Mikrotik.
Per intenderci, DNS: nas.dominio.it risponde su 1.1.1.1.2 che è il gateway del Mikrotik sulla prima subnet.
Funziona tutto ma siccome non vogliono siano esposti ho messo un filtro address list 2.2.2.0/24 sulla regola in modo che possa andare via web solo dall'interno della LAN.
Se sono in LAN pura no problem ma via VPN pptp vengo visto come indirizzo esterno e non va.
Ho fatto diverse regole e provato diversi masquerading ma non riesco a mascherare l'indirizzo VPN della PPTP come interno alla LAN.
Vede l'indirizzamento come WAN e non mi fa arrivare al servizio Web.

Come faccio?
Grazie

[ppraz]

Semplice, non puoi
La PPTP è una terza subnet che tu devi gestire e trattare come una LAN, ma non lo è per definizione.
Replica tutte le regole che hai fatto sulla LAN 2.2.2.0 anche sulla PPTP, ad esempio 3.3.3.0

[maik87]

Ci ho già provato senza successo.

Come posso replicare la regola affinche il DNAT sia raggiungibile solo tramite PPTP?

Grazie

[maik87]

Considera che LA VPN PPTP usa la stessa subnet della LAN,
e sbagliato?

[ppraz]

Considera che LA VPN PPTP usa la stessa subnet della LAN,
e sbagliato?

Sì, decisamente sbagliato, DEVI distinguerla

[maik87]

Grazie mille,

e come local adress io ho l'indirizzo IP del Mikrotik, che si sarebbe 2.2.2.1 è corretto oppure dovrei creare una nuova subnet corrispondente a quella della VPN e mettere quella? TIpo 3.3.3.1.

Grazie

[abbio90]

A parte che dovresti utilizzare le subnet dedicate agli ip privati (192.268.xxx.x - 10.xxx.xxx.xxx e 172.16.xx.xx) e non quelle riservate ai pubblici.
Al di là di questo il tunnel vpn e sempre preferibile assegnare ip differenti dalla lan e le varie subnet ..poi si lavora con rotte, masquerade ecc

[abbio90]

Il tunnel vpn potresti assegnare una 10.10.1.1 al gateway e nel remote address puoi sfruttare il pool abbinato al profile VPN se lo hai indicato o altrimenti specificare ip statico nel remote address del secret. Esempio 10.10.1.2

[maik87]

Grazie,

Ovviamente gli IP sono fittizi anche perché mettere ip di cloudflare come subnet locale
Non mi sembra un idea geniale.

Alla fine ho risolto, intanto ho sistemato gli IP pool della VPN e poi ho configurato il DNS con la mia VM interna così traduce l’URL nella maniera corretta.

Grazie a tutti

[ppraz]

Grazie,

Ovviamente gli IP sono fittizi anche perché mettere ip di cloudflare come subnet locale
Non mi sembra un idea geniale.

Alla fine ho risolto, intanto ho sistemato gli IP pool della VPN e poi ho configurato il DNS con la mia VM interna così traduce l’URL nella maniera corretta.

Grazie a tutti

Ottimo, bene così!
Ho cambiato l'oggetto del post in "RISOLTO"