Jump to content
PLC Forum

Valerio5000

Realizzazione VPN tra linea domestica fissa e rete mobile

Recommended Posts

Valerio5000

Ciao a tutti 

Sono anni che utilizzo ormai da utente esclusivamente domestico router Mikrotik arrivando ormai a capire certi meccanismi di ROS ma sono arrivato ad un punto per realizzare una mia idea dal quale da diverse settimane non ne vengo a capo.

A casa mia utilizzo su una linea Fastweb FTTH con IP fisso e pubblico una RB951 collegata direttamente alla fibra senza nessun altro dispositivo in mezzo, mentre sono venuto in possesso di un WAP 4G con dentro una SIM dati di 3 perfettamente funzionante con ovviamente IP nattato.

La mia richiesta è doppia e non so se sono direttamente o indirettamente collegate tra loro:

Vorrei far si che ovunque si trovi io possa entrare da casa mia tramite WinBox nella configurazione della WAP e (seconda richiesta) che tutti i device collegati a quest'ultima siano virtualmente visti come interni alla mia LAN di casa.

Ho cosi messo su sulla mia 951 a casa un server L2TP e sulla WAP ho configurato il client L2TP con successo perchè entrambe si collegano, si pingano e si piacciono però poi all'atto pratico in WinBox a casa non mi compare il WAP e viceversa dai client della WAP non vedo nulla a casa, inoltre ho un piccolo NAS a casa perfettamente funzionante ma sui device collegati alla WAP se faccio una scansione della rete locale non mi compare tra le risorse di rete. Provando su un comune telefono Android, se mi collego in VPN a casa tutto funziona perfettamente e vedo la condivisione del NAS.

Ho provato a far si che la 951 assegni indirizzi IP della classe dei device di casa (192.168.0.X) invece di IP diversi riservati solo alla VPN ma niente.

Oggi ho provato a seguire per intero la guida del forum viewtopic.php?t=1085 ma ottengo lo stesso identico risultato; il collegamento VPN viene effettuato e pingo dalla connessione 4G tutti i dispositivi con IP locale di casa ma poi i device e lo stesso WInBox non vede nulla delle reti opposte.

Mi date un aiutino ? Per essere chiari io vorrei in tutto e per tutto che un PC o telefono collegato alla WAP risulti a tutti gli effetti come interno alla mia LAN. 

 

Il mio telefonino se utilizzo la sua connessione 4G e mi collego in VPN funziona in parte nel senso che se faccio una scansione tramite un file manager dei dispositivi in LAN non so perchè non c'è verso di far comparire nulla, ma se uso gli IP locali entro, ovviamente collegato in wifi alla rete di casa anche le scansioni della rete locale mostrano il NAS e i vari dispositivi.

 

Link to post
Share on other sites

Andrea Annoni

Non è chiarissimo cosa vuoi esattamente fare.

Se non hai esigenza di risolvere nomi DNS all'interno della LAN puoi decidere se usare due rotte (una dal 951 verso il WAP e una dal WAP verso il 951 usando come GW l'IP del tunnel) ma in questo caso non hai il DHCP server della LAN.

Altrimenti, se vuoi avere QUASI come se fossi collegato con il cavo alla LAN ti suggerisco di incapsulare nel tunnel L2TP un EoIP che poi assegni alle rispettive interfacce. In questo caso non servono rotte; attenzione però che potresti avere problemi di MTU e MRU e potrebbe essere necessario ridimensionare.

Link to post
Share on other sites
Valerio5000

Ciao, intanto grazie per la velocissima risposta e auguri di buone feste prima di tutto ;)

 

Faccio un esempio pratico di quello che voglio mettere su; questa WAP vorrei rigirarla a mio padre a casa sua in modo che ci si colleghi con telefono e PC Win10 e veda tutte le risorse locali della mia rete a casa mia. Se dal suo PC vado in Windows sotto "reti" mi farebbe molto piacere che compaia il mio NAS, la stampante di rete (a cui ovviamente può mandare stampe) identica cosa per lo smartphone Android come se questi due device fossero collegati dentro casa mia collegati alla mia LAN con cavo e wifi.

 

La mia RB951 è completamente esposta verso la WAN in quanto è collegata direttamente all'ONT di Fastweb FTTH infatti riceve sulla eth1 l'IP pubblico che ho da anni, la WAP ovviamente come tutte le connessioni mobili non ha un IP personale e cambia è per questo che voglio mettere su una VPN.

 

Allo stato attuale mi ritrovo che le 2 RB si "vedono" e si pingano compresi i rispettivi client ma tra un PC di casa mia e il PC di mio padre nessun ping diretto (in pratica da ROS pingo tutto in entrambe le RB ma sui client a valle dei router non c'è verso.

Edited by Valerio5000
Link to post
Share on other sites
Andrea Annoni
12 minuti fa, Valerio5000 ha scritto:

Allo stato attuale mi ritrovo che le 2 RB si "vedono" e si pingano compresi i rispettivi client ma tra un PC di casa mia e il PC di mio padre nessun ping diretto (in pratica da ROS pingo tutto in entrambe le RB ma sui client a valle dei router non c'è verso.

Ti mancano le rotte o il NAT. Dipende come vuoi lavorare. Io consiglio con le rotte di ritorno.

Quindi come già spiegato prima dalla RB951 dichiari una rotta con destinazione la subnet di tuo papà e come GW l'IP del tunnel.

Sul WAP fai il contrario e dichiari la lan di casa tua dove c'è la RB951 e come GW l'IP del tunnel.

Va da se che le due subnet devono essere diverse. Altimenti devi pure gestire l'overlapping che direi non è il caso.

Questa è la soluzione più "elegante".

 

Se invece vuoi avere proprio la LAN uguale a casa tua con stesso server DHCP ecc ecc allora puoi usare un EoIP da far girare dentro il tunnel L2TP. Una volta impostato i due IP e l'ID del tunnel basta che inserisci le rispettive interfacce nei due bridge.

 

 

Link to post
Share on other sites
Valerio5000

Dunque sono riuscito a mettere in comunicazione i 2 tunnel eoip, per capire se sto procedendo nel modo corretto riporto quanto fatto;

 

Sulla 951 quando creo il tunnel ho inserito in local address l'IP che il server L2tp assegna alla Wap remota, come remote address ho impostato l'IP remoto assegnato dallo stesso server L2tp e fatto viceversa sulla WAP. 

 

Sono quasi sicuro però che non sia la strada giusta in quanto l'IP della WAP cambia ogni volta per cui non credo che ad un successivo riavvio della WAP il tunnel rimanga attivo.

 

Comunque per ora ho tenuto tutto così e ho inserito nell'attuale bridge dove vi sono le porte Ethernet e l'interfaccia wlan1 il tunnel Eoip e stessa cosa nella WAP però non ho ottenuto l'effetto sperato. Ho paura che qui abbia completamente sbagliato. 

 

 

Link to post
Share on other sites
Andrea Annoni

Inserisci solo i rispettivi remote address dei tunnel L2TP. Non usare i pubblici.

lato 951 l'IP del tunnel del WAP

lato  WAP l'IP del tunnel 951

Metti un ID univoco al tunnel che deve essere impostato da ambo le parti.

 

Il tunnel deve andare in running.

 

Fatto ciò inserisci le interfacce EoIP nei bridge LAN

Link to post
Share on other sites
Valerio5000
3 ore fa, Andrea Annoni ha scritto:

Inserisci solo i rispettivi remote address dei tunnel L2TP. Non usare i pubblici.

lato 951 l'IP del tunnel del WAP

lato  WAP l'IP del tunnel 951

Metti un ID univoco al tunnel che deve essere impostato da ambo le parti.

 

Il tunnel deve andare in running.

 

Fatto ciò inserisci le interfacce EoIP nei bridge LAN

Ancora grazie per il supporto, domani mi ci metto di sana pianta e vediamo.

 

Ricapitolando;

 

creo il collegamento VPN L2TP

creo un tunnel EoIP  utilizzando i rispettivi indirizzi remoti che gli assegna il server L2TP

inserisco le interfacce EoIP negli esistenti bridge.

 

Non devo fare altro neanche a livello di firewall ?

Link to post
Share on other sites
Valerio5000
11 ore fa, Andrea Annoni ha scritto:

No non c’è altro da fare 

Ma sulla WAP il server DHCP lo devo disattivare immagino anche se per quello che devo fare non mi è necessario che sia la 951 a casa mia a fare da DCHP anche a casa di mio padre.

Edited by Valerio5000
Link to post
Share on other sites
Valerio5000

Dunque, risultato finalmente raggiunto con qualche imperfezione causata dal fatto che alcuni elementi (probabilmente anche di base in tema di reti) non li possiedo.

 

Tutti i client a valle della WAP quando ho creato il bridge erano virtualmente nella mia rete ad un certo punto ho anche pensato che per errore mi fossi agganciato al wifi di casa mia :D

 

C'è un però; tutti i client sotto la WAP hanno preso come indirizzo IP quelli di casa del tipo 192.168.0.X (la WAP invece come range ho il predefinito 192.168.88.X), questo ha comportato anche il fatto che la WAP mi è scomparsa letteralmente da WinBox essendo rimasta con il suo 192.168.88.1 e questo ha fatto si che ho dovuto resettarla, non è bastato infatti disattivare sulla mia 951 il tunnel, pensando che cosi facendo la WAP tornare ad essere DHCP Server.

 

Ora, io vorrei comunque tenere distinte le 2 "case" mi andrebbe bene anche mantenere il range 192.168.0.X per casa mia e il 192.168.88.X per i client da mio padre ma è fattibile ? Vorrei procedere cosi perchè non sia mai abbia io un problema di rete lui (immagino) si ritroverebbe senza assegnazione di IP con la conseguenza di non poter navigare. Sbaglio ?

 

Guardando in giro ho letto che bisogna attivare una voce  "Use IP firewall" tra le impostazioni del Bridge ma non ha portato alcun effetto. 

 

Mi chiedo se sia tecnicamente fattibile questa cosa.

Link to post
Share on other sites
Andrea Annoni
34 minuti fa, Valerio5000 ha scritto:

Ora, io vorrei comunque tenere distinte le 2 "case" mi andrebbe bene anche mantenere il range 192.168.0.X per casa mia e il 192.168.88.X per i client da mio padre ma è fattibile ? Vorrei procedere cosi perchè non sia mai abbia io un problema di rete lui (immagino) si ritroverebbe senza assegnazione di IP con la conseguenza di non poter navigare. Sbaglio ?

Certo che è possibile ed è il suggerimento che ti avevo indicato io.

Non usare EoIP ma usare le rotte.

Sulla RB951 crei una rotta con destination la subnet di tuo padre e come GW l'Ip del tunnel

Sul WAP del papà crei una rotta con destination la subnet di casa tua e come GW l'IP del tunnel.

La regola va espressa da ambo i lati; altrimenti se la dichiari da un lato solo poi ti serve un NAT (masquerade della subnet); dipende cosa vuoi fare.

 

Discorso IP firewall sul bridge non ha proprio alcun senso dato che ambo i device sono i router della rete. Fai come ti ho detto e vedrai che funziona.

 

Ovviamente stai lavorando a livello Layer2, per cui non pensare di risolvere i nomi host della rete remota. Devi usare i vari indirizzi IP.

 

Link to post
Share on other sites
Valerio5000

Eccomi qui dunque lasciando perdere l'EoIP e impostando le rotte sono riuscito nell'intento tutti i device sotto la WAP mantengono il loro IP e sono separati da quelli di casa a meno che non inserisca l'IP di qualche servizio tipo il NAS ecc e allora raggiungo tutto perfettamente ho fatto diverse prove w sono stato in grado di stampare da un client sotto la WAP (quindi ovunque in Italia) sulla mia stampante a casa sottto la 951.

 

C'è solo un ultima cosa però; facendo in questa maniera utilizzando le rotte non riesco in alcun modo da casa con WinBox ad entrare sulla WAP mentre l'inverso lo posso fare boh..

 

Per il resto mi pare tutto ok peccato non poter risolvere i nomi host come facevo con il tunnel EoIP in pratica mi sembra che devo scegliere se unire il server DHCP usando EoIP  e avere la risoluzione dei nomi host oppure tenere i DHCP separati ma non avere la risoluzione dei nomi host giusto ?

 

MI resta da capire perchè la WAP mi risulta inaccessibile...

 

Ti ringrazio veramente molto per il supporto non so come ringraziarti non sarei mai arrivato anche solo a questo livello senza i tuoi consigli ;);) 

 

 

Link to post
Share on other sites
Valerio5000

Un altra cosa; faccio un esempio pratico per far capire:

 

non è caso, ma supponiamo che a casa mia e a casa di mio padre ci siano due console di gioco PS4 o che sia...Se volessimo fare una partita in LAN solo io e lui si vedrebbero le 2 console oppure le LAN essendo separate non  funzionerebbe la cosa ?

 

 

Link to post
Share on other sites
Andrea Annoni
42 minuti fa, Valerio5000 ha scritto:

C'è solo un ultima cosa però; facendo in questa maniera utilizzando le rotte non riesco in alcun modo da casa con WinBox ad entrare sulla WAP mentre l'inverso lo posso fare boh..

Avrai qualche regola di firewalll.......... sei partito da una configurazione pulita? Io consiglio sempre di rimuovere la default conf e partire da zero.

Non c'è motivo per cui non ti colleghi salvo regola di firewall o restrizioni in IP/Service

 

 

43 minuti fa, Valerio5000 ha scritto:

Per il resto mi pare tutto ok peccato non poter risolvere i nomi host come facevo con il tunnel EoIP in pratica mi sembra che devo scegliere se unire il server DHCP usando EoIP  e avere la risoluzione dei nomi host oppure tenere i DHCP separati ma non avere la risoluzione dei nomi host giusto ?

Non è questione di DHCP ma di DNS locale. Se vuoi risolvere i nomi occorre creare un server DNS sulla tua rete locale per vedere la remota.....e viceversa(il tuo router non sa che pincopallino.com è una risorsa della rete remota; occorre istruirlo in tal senso. Per cui il router della rete remota deve dire al tuo quali sono i nomi host che ha inpancia lui).

Direi abbastanza complesso ........ e rischi di avere diversi problemi se non correttamente configurato. Se non è propio indispensabile eviterei.

 

30 minuti fa, Valerio5000 ha scritto:

non è caso, ma supponiamo che a casa mia e a casa di mio padre ci siano due console di gioco PS4 o che sia...Se volessimo fare una partita in LAN solo io e lui si vedrebbero le 2 console oppure le LAN essendo separate non  funzionerebbe la cosa ?

 

Non sono un amante del gaming........per cui non so come funzionino esattamente. Ma se hai modo di specificare l'indirizzo IP funziona perfettamente in quanto la console ha come GW il rispettivo router, il quale sa che quel detrminato IP lo deve instradare sul tunnel e consegnarlo al router remoto.

Se invece fa una richiesta broadcast per vedere chi c'è allora in questo caso no.

Se proprio c'è questa esigenza puoi crearti una Vlan, oppure un bridge con determinate porte alle quali inserisci un tunnel EoIP. In poche parole solo play di papà risulterebbe nella tua LAN.

 

Link to post
Share on other sites
Valerio5000

Ciao e buon anno prima di tutto ;)

 

Dunque ho fatto altre prove con successo e devo dire che sto testando e imparando più in queste due settimane che nel corso degli anni che uso Mikrotik :D

 

Allora nel mio esempio delle PS4 confermo che viene effettuata una richiesta di broadcast a tutti gli effetti qundi con le sole rotte non funziona. 

 

La cosa che volevo fare io era di dare la possibilità a mio padre tramite la sua TV di accedere in DLNA al mio NAS però mantenendo distinte le due reti quindi con i rispettivi DHCP Server attivi mi sembra di capire però che sia più complicato di quanto inizialmente credessi. Vedendo un po in ROS ho visto che posso impostare un po di cose su DNS Server come dici tu e leggendo un po nel web mi sembra di capire che è qui dove bisognerebbe "giocare". Non saprei effettivamente che strada intraprendere.

 

Tra l'altro mi confermi che per far comparire in automatico in WinBox i dispositivi Mikrotik deve anche qui passare traffico broadcast ?

 

Vorrei approfittare di questa micro lezione di RouterOS per capirne un po di più e applicare quanto appreso a situazioni reali per esempio:

 

ho un amico a cui anni fa ho cablato la parte LAN del suo appartamento disposto su 2 piani fornendogli una RB951 installata dietro il modem del provider (mi pare Fastweb ora) e 2 mAP nei punti opposti perchè il wifi singolarmente dalla 951 era troppo debole e questa configurazione va avanti (bene) da anni.

 

Ogni tanto mi chiede se posso aprirgli porte sulla RB o fare piccoli interventi dove devo entrare o nel modem di FW o nella 951 ma puntualmente devo recarmi di persona aspettando il primo Sabato sera disponibile perchè la connessione di casa non ha un IP fisso e il servizio "cloud" di RouterOS non so perchè non ha mai funzionato nonostante abbia inserito da subito la 951 in DMZ nel modem FW. Ora vista la storia che mi hai imparato delle "rotte" mi sta venendo il pallino di configurare a casa mia una rotta che punti alla sua 951 e i 2 mAP collegati a valle della stessa però non voglio che ci sia la minima possibilità anche per puro caso che da casa del mio amico si possa accedere a qualsiasi dispositivo da me. Ora per fare questo correggimi se sbaglio devo;

 

1. assicurarmi che la sua subnet sia diversa dalla mia (per cui se io ho un qualcosa del tipo 192.168.0.X lui deve avere un 192.168.1.X o simile) giusto ?

2. impostare una VPN L2TP tra le due RB951

3. inserire unicamente nella mia RB una rotta per cui la sua subnet venga inviata all'IP del tunnel L2TP in questo modo io potrò accedere a qualsiasi client a casa sua ma non si potrà fare l'inverso semplicemente perchè la sua RB non avendo nessuna rotta impostata non potrà inoltrare nulla verso di me, corretto ?

4. qui è il dubbio più grande; la sua 951 è dietro il modem FW, dovrò effettuare qualche apertura porte o qualche settaggio in questo affare benedetto che è obbligato a tenersi o mi basta lasciarla in DMZ la 951 ?

 

Ancora un grazie per il supporto ;)

 

Link to post
Share on other sites
abbio90
9 ore fa, Valerio5000 ha scritto:

Ciao e buon anno prima di tutto ;)

 

Dunque ho fatto altre prove con successo e devo dire che sto testando e imparando più in queste due settimane che nel corso degli anni che uso Mikrotik :D

 

Allora nel mio esempio delle PS4 confermo che viene effettuata una richiesta di broadcast a tutti gli effetti qundi con le sole rotte non funziona. 

Puoi fare un tunnel eoip solo esclusivamente sulla porta della PlayStation..

 

10 ore fa, Valerio5000 ha scritto:

Tra l'altro mi confermi che per far comparire in automatico in WinBox i dispositivi Mikrotik deve anche qui passare traffico broadcast ?

Si, nei neighbors lavorando in layer3 non appaiono i dispositivi..

Non c'è broadcast..

10 ore fa, Valerio5000 ha scritto:

configurare a casa mia una rotta che punti alla sua 951 e i 2 mAP collegati a valle della stessa però non voglio che ci sia la minima possibilità anche per puro caso che da casa del mio amico si possa accedere a qualsiasi dispositivo da me.

Ti conviene fare un nuovo profile vpn per i clienti assegnando una subnet differente alla vpn...

E fai le rotte per raggiungere la lan del 951 del tuo amico..per raggiungere il suo modem devi aggiungere un masquerade nel suo 951..

Poi a livello firewall puoi gestire le regole per bloccare accessi verso la tua rete...

Link to post
Share on other sites
Valerio5000

Ciao "abbia90" grazie anche te per l'intervento ;);) 

 

Dunque per pura curiosità, è possibile quindi creare un tunnel EoIP esclusivamente verso un determinato client ? Ma per "porta" si intende la porta ethernet o è possibile destinare il tunnel ad un singolo IP fisso di un client remoto ? Anche una singola interfaccia magari ?

 

Per quanto riguarda il mio amico, mi è chiara la storia delle subnet diverse, a dire la verità ci ha già pensato la procedura guidata per creare un server L2TP perchè in automatico ad un singolo profilo vpn posso decidere se assegnargli IP del mio DHCP o "VPN". Mi è chiarissimo il discorso del masquerade per raggiungere il suo modem (in quest'ultimo mi sembra di capire se inserisco la 951 in DMZ non devo fare altro vero ?) ma meno chiaro il fatto di bloccare a livello di firewall l'accesso alla mia rete; se io imposto le rotte sulla mia 951 ma non faccio altrettanto nella sua non significa che io potrò raggiungere la sua rete mentre lui non potrà non avendo impostato da lui nessuna rotta verso la mia rete ?

Link to post
Share on other sites
abbio90
9 ore fa, Valerio5000 ha scritto:

è possibile quindi creare un tunnel EoIP esclusivamente verso un determinato client ? Ma per "porta" si intende la porta ethernet o è possibile destinare il tunnel ad un singolo IP fisso di un client remoto

Si certo..puoi usare la vpn per tutto ed eoip lo assegni alla sola porta ETH della PlayStation..

 

9 ore fa, Valerio5000 ha scritto:

(in quest'ultimo mi sembra di capire se inserisco la 951 in DMZ non devo fare altro vero ?

La dmz in parole povere significa aprire tutte le porte sia TCP che udp verso un unico host..

9 ore fa, Valerio5000 ha scritto:

di bloccare a livello di firewall

In teoria si, ma se becchi lo smanettone magari riesce a romperti le balle...quindi meglio fare una chain nel firewall per bloccare il traffico proveniente dalla subnet clienti verso le tue subnet interne..

Male andando se non ci sono le rotte sta lì ferma e non da fastidio a nessuno...ma se servisse sei al sicuro

 

Link to post
Share on other sites
Andrea Annoni
11 ore fa, Valerio5000 ha scritto:

Dunque per pura curiosità, è possibile quindi creare un tunnel EoIP esclusivamente verso un determinato client ? Ma per "porta" si intende la porta ethernet o è possibile destinare il tunnel ad un singolo IP fisso di un client remoto ? Anche una singola interfaccia magari ?

Come ha già spiegato Abbio puoi dedicare una singola porta al tunnel EoIP.

Considera che nel 90% delle funzioni con Mikrotik puoi decidere se lavorare a livello interfaccia oppure a livello IP. Per cui nel tuo caso decidere se dedicare una o più porte al tunnel EoIP, oppure se lavorare indicando quale IP deve poi essere instradato sul tunnel (quest'ultimo nel tuo caso sicuramente più complesso e di poco beneficio).

 

 

11 ore fa, Valerio5000 ha scritto:

Mi è chiarissimo il discorso del masquerade per raggiungere il suo modem (in quest'ultimo mi sembra di capire se inserisco la 951 in DMZ non devo fare altro vero ?)

Se sei già in VPN (il 951 si registra da te) non serve mettere nulla in DMZ.

 

11 ore fa, Valerio5000 ha scritto:

se io imposto le rotte sulla mia 951 ma non faccio altrettanto nella sua non significa che io potrò raggiungere la sua rete mentre lui non potrà non avendo impostato da lui nessuna rotta verso la mia rete ?

Si esatto. Lui sarà dietro NAT e quindi non potrà vedere la tua rete se non il tuo router.

Se invece dichiari anche dalla sua parte la rotta di ritorno allora entrambi potete vedere le due LAN.

Link to post
Share on other sites
Valerio5000

Grazie ad entrambi per le risposte, causa faccende urgenti non ho potuto dedicarmi alla questione.

 

Dunque ricapitolando prima di realizzare il tutto; se voglio avere la possibilità da casa mia di accedere alla sua LAN dalla mia abitazione i basta creare un tunnel VPN ed impostare sulla MIA RB951 le corrispondenti rotte.

 

Facendo in questo modo per esempio potrò utilizzare l'utility di Windows desktop remoto in modo che se lui mi da l'IP del suo PC io da casa mia entro direttamente ?

 

Voglio essere sicuro prima di metterla in atto ;)

Link to post
Share on other sites
Valerio5000

Eccomi qui con il mio esperimento :D

 

Dunque premetto che sto utilizzando la WAP con connessione LTE per "allenarmi" prima di mettere mano alla 951 del mio amico.

 

Sono riuscito in alcune cose in altre noma mi riprometto di rifare con più calma la prova;

 

Ho collegato la WAP via ethernet ad un PC con Win10 + un cellulare via Wifi

Ho creato una VPN l2tp tra la mia 951 e la WAP

Ho impostato solo sulla mia 951 la rotta

 

Pingo tutto quello che c'è a valle della WAP poi ho provato a mettere su un server FTP sul PC e confgiurato a dovere con realtive apertura di porta FTP sono riuscito da un client sotto la mia 951 ad accedere a questo server inserendo l'IP che la WAP assegna a questo PC quindi tutto ok.

 

Problemi;

 

Questo è quello più "grave" non so da cosa dipende; ho notato che la connessione VPN tra la WAP e la 951 cade a momenti random magari ogni 10 secondi oppure resta su per 10 minuti interi ma quando si riconnettono le rotte sulla mia 951 non si aggiornano in automatico ma serve sempre il mio intervento andando a ri-specificare il Gateway della rotta. Ho ripovato ad assegnare al profilo L2TP con il quale mi connetto dalla WAP un IP sia remoto che locale fisso pensando che il problema fosse che l'IP remoto cambiava sempre ma non è servito a nulla. Idee ?

 

Nonostante i miei client a casa pingano l'IP della WAP, un semplice 192.168.88.1 poi ne da interfaccia web ne da WinBox entro in ROS (ovviamente a valle della WAP tutto funziona) Perchè ?

 

Ho provato ad entrare in desktop remoto da un PC a casa mia al PC sotto la WAP ma non c'è stato verso, forse qui mi rispondo da solo; è necessario aprire sul firewall della WAP la porta in ascolto del desktop remoto di Windows ?

Link to post
Share on other sites
Andrea Annoni
35 minuti fa, Valerio5000 ha scritto:

Questo è quello più "grave" non so da cosa dipende; ho notato che la connessione VPN tra la WAP e la 951 cade a momenti random magari ogni 10 secondi oppure resta su per 10 minuti interi ma quando si riconnettono le rotte sulla mia 951 non si aggiornano in automatico ma serve sempre il mio intervento andando a ri-specificare il Gateway della rotta. Ho ripovato ad assegnare al profilo L2TP con il quale mi connetto dalla WAP un IP sia remoto che locale fisso pensando che il problema fosse che l'IP remoto cambiava sempre ma non è servito a nulla. Idee ?

Perchè la connessione cade va vista dai log. Potrebbe essere segnale LTE scarso.

Se le rotte le specifichi con gli indirizzi IP dei tunnel (e questi sono fissi) non possono cambiare. Può essere che usi le interfacce oppure assegni i tunnel tramite dei pool di indirizzi.

 

37 minuti fa, Valerio5000 ha scritto:

Nonostante i miei client a casa pingano l'IP della WAP, un semplice 192.168.88.1 poi ne da interfaccia web ne da WinBox entro in ROS (ovviamente a valle della WAP tutto funziona) Perchè ?

Questo dipende dalle regole di firewall. In genere è bene partire da una configurazione pulita, rimuovendo la default conf.

Verifica le filter rules.

Se lo pinghi il NAT dovrebbe essere OK.

 

39 minuti fa, Valerio5000 ha scritto:

Ho provato ad entrare in desktop remoto da un PC a casa mia al PC sotto la WAP ma non c'è stato verso, forse qui mi rispondo da solo; è necessario aprire sul firewall della WAP la porta in ascolto del desktop remoto di Windows ?

No, non centra nulla il firewall. Probabile che a questo punto sia legato al problema di prima e ti manca il masquerade della LAN remota.

Ripeto che occorre capire se lavori di NAT servono i masquerade; se invece lavori senza servono le due rotte.

Link to post
Share on other sites
Valerio5000

Perfetto, non avevo pensato di andare a vedere i LOG devo fare una prova e vedere, segnale scarso non credo perchè in questi giorni sto effettuando la prova a lavoro mentre prima ero a casa ed in entrambi i luoghi il segnale è ottimo, ti posso dire che è random e me ne accorgo perchè ad un certo punto smetto di pingare e dopo qualche secondo l'interfaccia L2TP scompare e ricompare poco dopo.

 

Riguardo il secondo quesito mi riprometto di riprovare disattivando il firewall e/o succressivamente ripartire da una configurazione pulita cosa che invece non ho fatto

 

Per il terzo problema mi confermi che sono operazioni da effettuare sulla WAP o tu parli della 951 a casa ? A livello pratico che regola devo fare ? Perchè non ho capito cosa intendi per "lavori con NAT o senza"..

Link to post
Share on other sites
Valerio5000

Dunque prove fatte e devo dire che piano piano si fanno mini progressi :D

 

Ho giocato un po con le rotte adesso ho raggiunto la situazione in cui anche i servizi desktop remoto da casa mia verso il PC a valle della WAP funziona però per fare il tutto ho dovuto impostare le rotte anche sulla WAP verso la mia rete infatti in questo modo tutti i miei servizi (NAS, RB951 ecc) sono raggiungibili anche dalla WAP alla 951 addirittura posso raggiungere l'interfaccia web di ROS dal PC sotto la WAP ma non riesco a fare il contrario; pingo da casa mia tutti i client sotto la WAP compresa quest'ultima ma mentre raggiungo i client non raggiungo ROS della WAP dal mio PC di casa sia con WinBox sia con Chrome non c'è stato verso e non capisco se dipende dalla mia 951 o dalla WAP. 

 

Quest'ultima adesso è in configurazione predefinita (di fare tutto da zero non avevo tempo), la 951 purtroppo non posso giocare o peggio resettarla perchè ci sono troppe cose da riconfigurare oltre al fatto che viene usata a casa da tutti infatti su questa stò per ora lavorando solo in "Safe Mode".

 

Praticamente la situazione sotto la WAP è come vorrei fosse la mia 951, pingo tutto da casa e raggiungo tutto ma al contrario non è raggiungibile, devo solo invertire la cosa :D

 

Credo sia qualcosa nel firewall della 951

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...