Vai al contenuto
PLC Forum


Con teleassistenza


alessandropa

Messaggi consigliati

Buonasera,

L'argomento è stato sicuramente trattato più volte, ma vorrei oggi porlo in base alla mia situazione. Ammetto che non sono molto ferrato su VPN LAN WAN ecc. Chiedo perciò pazienza se sbaglio qualcosa o ci metterò un po' a capire. Attualmente a casa ho un fritzbox di Eolo nel quale ho IP pubblico fisso e nel quale modem ho configurato una VPN, quindi credo lo posso definire il mio server VPN.

Con il cellulare ad esempio mi collego perfettamente e , se ho capito bene, il mio cellulare può essere considerato un client di questa VPN. Vorrei ora acquistare un router il quale può essere anche lui configurato come client VPN e collegarsi al mio fritzbox server. Fino a qui ho detto bene? Ora se questo router che devo acquistare lo installo in un quadro remoto e una porta la connetto a internet e l altra ad esempio a un PLC, potrei essere in grado di pingare tale PLC da casa o da un qualsiasi PC client della mia VPN? Tra i client della VPN devo creare delle rotte? O tutti i client si vedono? Sul router installato nel quadro devo creare delle regole tra LAN e WAN oppure è già funzionante? Grazie a chi avrà pazienza di aiutarmi e insegnarmi qualcosa di nuovo

Link al commento
Condividi su altri siti


In linea di principio è tutto corretto quanto hai detto.

Però per poter accedere dall tua sede al PLC di sicuro serve almeno una rotta......quella per dire al fritzbox dove e quale è la subnet del PLC remoto (che in questo caso, DEVE essere diversa dalla LAN dove c'è il fritzbox).

 

Dico almeno perchè in realtà su questo genere di funzioni tutto dipende dai router in uso. Fritzbox lo uso spesso anche io ma solo solo come modem in bridge (la PPPoE la esegue il firewall dietro) e di sicuro necessita di specificare la router verso il PLC. Non credo che altri client (ad esempio lo smartphone) possa poi vedere il PLC direttamente perchè, sempre andando a memoria, il fritz adotta il client isolation di default e quindi occorre disabilitarlo.

Per  lavorare senza NAT poi occorre anche anche il router dove c'è il PLC conosca la tua subnet e quindi specificare la famosa "rotta di ritorno"; diversamente vanno mascherati i pacchetti provenienti dall VPN verso il PLC.

 

 

Io per fare queste cose in genere uso al 99% i dispositivi Mikrotik che hanno diverse funzioni molto potenti e permettono di fare praticamente di tutto e di più...... anche di lavorare con......subnet paradossalmente uguali sia da un lato che dall'altro.

Link al commento
Condividi su altri siti

Ciao Andrea, grazie per la risposta.

Quindi diciamo che lato PLC e router client non devo fare granché se non avere l'accortezza di impostare subnet diverse ad esempio se il mio Fritz ha 192.198.0.xxx il PLC dovrà avere 192.168.10.xxx è corretto? Il PC per la programmazione si può collegare re direttamente in vpn al Fritz o anche in ufficio devo mettere un router client? Di mikrotic non conosco nulla e non credo di essere in grado configurarne, se ci fosse la possibilità di avere un sistema plug and play sarei anche interessato a valutare questa opzione...

Link al commento
Condividi su altri siti

Il PC lo puoi collegare al Fritzbox direttamente; anzi è meglio cosi hai una NAT di meno.

Sul fritz devi dichiarare una rotta con destinazione la subnet del PLC e come gateway l'IP della VPN che assegni al router remoto.

Probabilmente basta questa perchè la maggior parte dei router commerciali nattano già i pacchetti.

 

Per Mikrotik si, di sicuro non sono i router con interfaccia web che tutti si aspettano. ma le potenzialità sono notevoli. Non esiste nulla di plug and play in Mikrotik ma di sicuro si possono creare degli script automatici di configurazione per fare quello che decidi che devono fare.

Link al commento
Condividi su altri siti

Ok, ho pensato al Fritz in quanto è già in mio possesso e in quanto ho già fatto l abbonamento per avere l IP fisso e volevo sfruttare questa cosa.

Ti chiedevo se mi serviva un router lato PC perché non sempre l assistenza la posso fare connesso al Fritz ma per esempio mi può capitare di doverla fare con un hot spot da telefono, e quindi di essere anche io client a mia volta. La strada che penso di seguire sarà quindi questa: acquisto un router in grado gestire una VPN e lo faccio puntare al Fritz. Nel Fritz imposto rotte subnet ecc (spero di farcela). Dopo di che collegato al Fritz in casa dovrei pingare il PLC o qualsiasi altro device....ora mi rimane da capire quando non sono fisicamente sul fritz

Link al commento
Condividi su altri siti

Non ti serve un'altro router ma fare la VPN dal PC verso il Fritz.

Poi come già spiegato non so se il fritz adotta il client isolation.

Link al commento
Condividi su altri siti

Ciao Andrea,

ho fatto delle prove e ovviamente, dato le mie scarse basi, quello che sto cercando di fare non sta funzionando...

provo a elencarti i test eseguiti e le problematiche riscontrate.

  1. il mio server della VPN come dicevamo è il fritzbox il quale, da quando ho capito accetta VPN di tip IPsec.
  2. con il cellulare, arrivo a connettermi, da qualsiasi parte del mondo alla VPN, e nelle impostazioni android ho selezionato un tipo IPsec Xauth PSC la quale come configurazione mi     chiede indirizzo server che prendo dal fritz, identificatore IPSec, chiave IPSec, nome utente e password.
  3. ho preso un router che avevo a casa, un dir 300 della dilink nel quale, nel menu a tendina delle varie opzioni per connettersi a internet, c'e la scelta L2TP, che da quanto ho capito sarebbe il tipo di VPN per l' IPSec, ma non vedo opzioni di IPSec.
  4. Cattura.PNG.278fffcb73462bd636513eb3c91c2268.PNG

 

la mia domanda ora è mi manca la parte IPSec nel dir 300? mi manca la sicurezza IPSec per quaesto non mi si connette?

 

come avrai intuito non ci capisco molto di PPT PPOE LT2P ecc ma a quanto pare il fritz accetta solo LT2P/IPSec correggimi se sbaglio.

 

grazie ancora per l'aiuto 

Link al commento
Condividi su altri siti

Si esatto. Il Fritz gestisce solo il protocollo IPsec........e il Dlink invece gestisce L2TP....che non è la stessa cosa (L2TP Over IPSec è ancora un'altra cosa)

Link al commento
Condividi su altri siti

ah ok bene, 

approfitto della tua bontà e competenza, sapresti indicarmi un router  che gestisca l' ipsec che posso acquistare ad una cifra ragionevole? ovviamente qulcosa con di commerciale con una web page dove anche io riesco a configurarlo😅

Link al commento
Condividi su altri siti

Purtroppo facile o difficile dipende un po' dalle tue capacità; Sinceramente non saprei.... o meglio, quelli che utilizzo io la gestiscono ma non hanno cifre da distribuzione..... Unico brand che costa davvero poco è Mikrotik. E va bene anche quello da 15€. Ma non ha un'interfaccia user friendly.......

Link al commento
Condividi su altri siti

  • 3 weeks later...
alessandropa

Ciao Andrea,

eccomi qui di nuovo...da quando ci siamo sentiti l'ultima volta sono riuscito appena oggi a instaurare correttamente la VPN tra il mio fritz di casa ovvero il server con ip pubblico e il mio fritz remoto per ora in rete tramite thetering usb... diciamo fino a qui tutto ok la vpn è su si riconnette quando va giu tutto bene.

ora avviene il mio problema di routing ovvero vorrei far vedere al mio pc connesso la server la sottorete del client. ho provato a fare all'interno del server una regola di routing dove do come gateway l'ip locale assegnato alla vpn e come rotta la sotto rete remota ma il fritz come gateway mi lascia usare tutti gli ip tranne quello dedicato alla vpn..sapresti come mai?

inoltre è corretto che la rotta va fatta sul server?

grazie ancora

Link al commento
Condividi su altri siti

Andrea Annoni

La rotta va dichiarata da ambo i latri se non vuoi essere nattato.

Come IP non puoi e non devi dare quello locale della VPN......che senso ha? Devi dichiarare l'end-point remoto

Link al commento
Condividi su altri siti

alessandropa

Ok, ma faccio ancora difficoltà a capire....come rotte il Fritz mi chiede una subnet 255.255.255.0, poi mi chiede un gateway e qui non so che ip mettere cosa metto lato server? E lato client? Poi mi chiede una rete ipvr anche qui cosa dovrei mettere lato server e cosa lato client? Ho una totale confusione non riesco a trovare il capo di sta cosa...grazie ancora

Link al commento
Condividi su altri siti

Andrea Annoni

Bisognerebbe avere la configurazione sott'occhio. Per subnet intendo la specifica subnet della lan remota: es 192.177.1.0/24

Come Gateway l'IP dell'end-point del tunnel o quello del Fritz remoto; non so come lo stai configurando.

Link al commento
Condividi su altri siti

alessandropa

Ciao Andrea,

 

provo ad inserire dei numeri cosi forse riesco a farti capire.

fritz server

ip 192.168.178.1

subnet 255.255.255.0

fritz client

ip192.168.1.1

subnet 255.255.255.0

 

quando si instaura la vpn, il server riserva al client ip 192.168.178.201 e proprio tramite questo ip accedo al web server del client quindi fino li ci sono.

 

ora lo step che mi blocca è riuscire a pingare la rete 192.168.1.xxx essendo io nella 192.168.178.xxx

ti allego 2 scren delle pagine dove configurare le rotte e/o le porte ma non so se è il posto giusto e sopratutto non capisco che valori inserire.

grazie per l'aiuto

 

porte.PNG

rotta.PNG

Link al commento
Condividi su altri siti

Andrea Annoni

Rete IPv4 192.168.1.0

Maschera: 255.255.255.0

Gateway: 192.168.178.201

 

 

Ovviamente per fare quello che chiedi ti servono anche le rotte di ritorno, altrimenti come fa a rispondere la rete remota

Modificato: da Andrea Annoni
Link al commento
Condividi su altri siti

alessandropa

Questo lato server giusto?

Avevo immaginato anche io un impostazioni simile...ed infatti l avevo anche provato ma alla voce gateway mi lascia mettere qualsiasi io ma non il 201 avvero quello assegnato alla VPN mi risponde con un errore dicendo rotta non ammessa

Link al commento
Condividi su altri siti

alessandropa

Scusa ma continuo a non capire...anzi ci sto capendo sempre meno ... Se il tunnel viene creato da router 192.168.178.1 e assegna un io 192.168.178.201...come può avere subnet diversa la VPN? Come posso capire che subnet ha e risolvere?

Link al commento
Condividi su altri siti

Andrea Annoni

Che versione di Fritz usi?

Non è chge il .201 è l'indirizzo virtuale del Fritz?

 

Sul client (PC) fai un ipconfig per vedere cosa rilascia. 

Link al commento
Condividi su altri siti

alessandropa

Il Fritz è 7.29,

Per quanto riguarda il PC per ora sono connesso al wifi quindi mi prendo il DHCP del fritz server.....non ho ancora configurato il PC come client VPN a sua volta....

Credevo fosse giusto innanzitutto vedere se raggiungo la LAN del fritz client, da locale in casa, poi passare ad essere anche io client mia volta....

Grazie ancora per la pazienza...

Link al commento
Condividi su altri siti

alessandropa

Il .201 è l indirizzo virtuale che viene assegnato al Fritz client quando si connette....nel range degli ip, io con il portatile sono .100 la TV è .101 il cellulare .102 e così via il Fritz remoto quando sale la VPN io in locale lo vedo .201. tutto questo con classe 192.168.178....

Link al commento
Condividi su altri siti

alessandropa

piccolo aggiornamento....

ho cambiato modalità di configurazione vpn ovvero ho utilizzato la modalità LAN to LAN. ora le cose sembrano essere leggermente cambiate in meglio.

riporto di seguito alcuni dati

fritzbox server mi indica nella vpn rete locale 192.168.178.0/24 e rete remota 192.168.1.0/24

fritzbox client mi indica nella vpn rete locale 192.168.1.0/24 e rete remota 192.168.178.0/24 inoltre quest'ultimo mi da anche indirizzo in internete che è lìip pubblico del server...

 

con questa situazione se sono connesso al client ovvero alla lan 192.168.1.xxx riesco a pingare tutta questa lan e riesco a pingare tutta la 192.168.178.xxx

 

viceversa, che e quello che vorrei, se cono connesso alla 192.168.178.xxx riesco a pingare solo fino a 192.168.1.150 (il router) quello che è attaccato a lui no....

Link al commento
Condividi su altri siti

Crea un account o accedi per commentare

Devi essere un utente per poter lasciare un commento

Crea un account

Registrati per un nuovo account nella nostra comunità. è facile!

Registra un nuovo account

Accedi

Hai già un account? Accedi qui.

Accedi ora
×
×
  • Crea nuovo/a...