Creare una Vpn

[Elektrica]

Salve a tutti 

avrei bisogno di creare una vpn tra un impianto (knx) che ha interfaccia ip e il mio computer per potermi collegare da remoto in tutta sicurezza, inoltre una volta capito il funzionamento vorrei applicarlo anche quando metto in rete altre tipologie di impianti.

Vi scrivo in quanto per aprire le porte sui router non ho problemi , ma creare una VPN non l'ho mai fatto.

di cosa ho bisogno è chi mi può aiutare ?

grazie

[radiation74]

Di sicuro ti serve che il router, o comunque un "oggetto" dal lato host (dove hai il modulo KNX) , faccia da server VPN. Non tutti i router commerciali lo fanno.

Evita di creare VPN PPtP che sono fortemente vulnerabili; prediligi invece IPsec, OpenVPN, L2TP.

 

Dal lato client se usi VPN standard non ti serve nulla, in quanto usi il cient di Windows. Se invece usi VPN IPsec con i vari certificati ecc allora devi usare i proprio client (es. Cisco, Citrix ecc).

 

 

Io in tutti gli impianti che realizzo metto sempre un piccolo router della Mikrotik (es. mAP, mAP-lite, RB950 ecc che costano 15-20€) e lo uso proprio come server VPN; in più avendo il software centralizzato Dude se il cliente è interessato tiro su una seconda VPN verso di me per il managment e il controllo impianto. Così se cambia router ecc io ho sempre la via di salvezza e posso riconfigurare anche quello.

[giovanni.v]

Appoggio i suggerimenti di Andrea ma mi sento di aggiungere un paio di warning.

RouterOS di Mikrotik è davvero molto versatile ma proprio per questo chi è abituato a prodotti commerciali potrebbe trovarsi poco a suo agio. L'interfaccia principe è quella da linea di comando quindi prima bisogna studiare, non tanto i comandi quanto la logica del sistema; sebbene ci siano ben due interfacce grafiche se non si conosce la logica anche queste aiutano ben poco.

Per quanto riguarda OpenVPN la mia personale esperienza dice che su RouterOS è meglio evitarla.

 

Per finire un link ad una presentazione RooterOS/IPSEc da un trainer qualificato:  http://mum.mikrotik.com/presentations/HR13/kirnak.pdf

[Elektrica]

Grazie Andrea

mi avevano consigliato i prodotti della Teltonika

io avrei bisogno in un primo momento di un router 3G 4G da lasciare in cantiere per una prima fase di avviamento, ovviamente con il mio pc dall'ufficio mi dovrei connettere, dopo di che una volta che l'impianto funziona collegare il tutto al router del cliente, sempre con vpn.

Considera che in ufficio io ho un Fritzbox 7490 se può servire.

Ciao grazie

[radiation74]

Motivo in più per usare mikrotik. Fa anche da router 3G-4G.

Addirittura in qualche caso dove c'è il cliente "tirchio" che ha una SIM dati ricaricabile con soglie ridotte di traffico uso uno script dove la parte dati si attiva solo previo invio di un SMS con un certo formato (volendo solo da alcuni numeri). 

 

Vado a mente ma quasi tutti i FritzBox! hanno la possibilità di gestire VPN sia in uscita che in entrata. Purtroppo però sempre se ricordo bene solo PPTP. 

 

Alternative a mikrotik c'è ne sono molte. Se parliamo in ambito industriale ci sono prodotti tipo il tosibox (che guarda caso ha una routerboard personalizzata) che ha  interfaccia grafica più semplice è addirittura offre un certificato su usb da usare come lato client (solo chi ha quella chiavetta può collegarsi). Io l'ho usata su alcuni impianti dove ho dei PLC in telegestione. 

Esistono poi moltissimi apparati M2M in ambito industriale; se fai una ricerca il web è pieno.

 

Puoi usare delle board Alix o Raspberry e installare il firewall PfSense e gestire la VPN da lì....

 

Puoi usare i prodotti PepLink. Insomma tutto poi dipende dal budget che vuoi spendere.

io come anticipato prima uso mikrotik primo perché sono molto molto versatili e completi, secondo sono dei muli, terzo costano davvero poco (poi dipende dai modelli perché i CCM in cloud passano le 1000€).

Come diceva Giovanni nascono con programmazione via terminale tipo Cisco. Hanno il sistema operativo RouterOS che magari all'inizio può risultare un po' ostico, ma con l'utility Winbox per la programmazione è molto più semplice. 

Poi il web è pieno di dispense, guide, filmati per ogni esigenza anche per chi si avvicina al mondo mikrotik. Anche solo per configurare una VPN.

Io proprio domani dopo anni e anni che li uso mi sono deciso a dare l'esame per certificarmi MTCNA (prima non ho mai avuto esigenza).

 

 

 

 

[Elektrica]

In effetti ho visto che costa molto meno Mikrotik, e dovendololasciare per un periodo in cantiere quasi quasi mi conviene.

Consigliami il modello mikrotik che ha anche la gestione delle sim e magari mi fa anche il wifi.

Il Teltonicka si aggirava intorno alle 100 euro.

Attendo tue notizie.

Grazie

[radiation74]

Mikrotik usa lo stesso sistema operativo sia su dispositivi da 15€ che da 1000€.

cambia l'hardware il processore la memoria.

 

Puoi usare appunto i mAP che sono oggetti da due porte Ethernet, Wi-Fi e porta micro-usb (con adattatore a usb) nella quale ci puoi mettere la chiavetta 3G.

altrimebti vai su apparati tipo RB941,  RB950, RB951, RB2011 che di porte ne hanno 5 (il 2011 ne ha 10) processore più grande, wireless più potente e ci sono modelli con fibra e/o porte gigabit.

se invece vuoi il gsm integrato devi andare su delle board diverse ma non ricordo a memoria la sigla (sto scrivendo da cel).

 

conunque come detto prima a livello di configurazione non cambia nulla. 

Magari per iniziare prendi la RB950 o il piccolo mAP 

[Lucky67]

Mi permetto di rubare qualche informazione...se non ho capito male potrei usare uno dei router microtik con una sim dati e controllare un plc con porta ethernet? Se non ho capito male, coi dovuti accorgimenti lato server/client è come se fossi fisicamente sul posto o sbaglio? E' complesso configurare il tutto? A livello di documentazione supporto sono ben messi? Grazie

[radiation74]

Si. O usi un qualsiasi Mikrotik con porta USB e ci infili una chiavetta 3G/4G oppure acquisti una board con una scheda GSM mini PCI.

La cosa migliore è che la SIM sia con IP pubblico (ormai solo TIM)  e tu accedi al router in VPN; altrimenti devi far connettere il router a un tuo apparato.

In entrambi i casi con un paio di regole di routing puoi accedere alla rete remota proprio come se fossi collegato localmente.

RouterOS è un po' ostico; soprattutto per chi è abituato ad apparati semantici dove la vita è un po' più facile. Il WEB comunque è pieno di wiki , guide, tutorial per ogni esigenza.

Esiste anche il forum di RouterOS dove praticamente trovi di tutto.

La flessibilità e il costo di questi apparati però è indiscutibile.

[Lucky67]

Scusa la mia ignoranza ma cosa intendi per connettere il mio apparato?

[radiation74]

Nel caso la SIM sia con IP nattato (quindi irraggiungibile) l'unica soluzione è fare in modo che sia il router mikrotik a fare una VPN verso un tuo apparato. Un tuo apparato potrebbe essere un router, un PC oppure un'altro mikrotik. Insomma qualcosa che supporti VPN SERVER. 

[Fabrixxio]

Ciao radiation74, stavo cercando un modo per creare una VPN utilizzando una SIM non dedicata ( per intenderci M2M )ed evitare prodotti costosi tipo EWON ed ho visto il tuo post che parla dei prodotti MicroTik. 

 

Quello che devo fare io è installare un router 3G/4G sull'impianto e potere accedere a tutti i PLC della rete locale come se fossi fisicamente li. Con gli EWON lo posso fare, è possibile farlo con il MicroTIk, sarebbe sufficiente comprare un MicroTik mAP ed un router Mikrotik wAP LTE Kit  da installare sull'impianto ?

 

Non ho poi ben capito se una volta configurato tutto lato impianto mi posso collegare dall'ufficio semplicemente dal PC o se devo avere un altro MicroTik .

 

Grazie 

 

Fabrizio

[Livio Orsini]

Per prima cosa gli accodamenti sono vietati (hai letto il regolamento quando lo hai acettato?)

inoltre questa discussione è ferma da circa 4 anni.

 

Se vuoi apri una discussione sull'argomento di tuo interesse.