Vai al contenuto
PLC Forum


Consiglio hardware per vpn server


plfrmcmp83

Messaggi consigliati

Vorrei inserire nella mia rete LAN domestica un dispositivo dedicato alla funzione di server vpn, allo scopo di generare un canale di comunicazione sicura per l'accesso da remoto. Qualche mese fa avevo aperto una discussione simile, mi era stato consigliato tra le altre cose anche il Miktotik RB931. Poi per vari motivi non ho più fatto nulla. Esiste qualcosa anche con meno funzioni? Il router ce l'ho già, il wifi ce l'ho già.. Non è un discorso di prezzo, che comunque è accettabile, solo sapere se esiste un oggetto hw dedicato alla sola funzione di server vpn. Grazie

Link al commento
Condividi su altri siti


Andrea Annoni

Esistono vari device con questa funzione. Ad esempio i nas di Synology e Qnap; anche se io non li amo tanto per queste funzioni e obbligano ad aprire le porte della VPN verso di questi. 

Sicuramente Mikrotik e la scelta migliore in quanto è un dispositivo molto versatile e potente e gestisce tutte le VPN.

Un RB931 costa meno di 15€......meno di così non saprei davvero cosa si possa pretendere.

tra l’altro tutti i Mikrotik hanno stesso sistema operativo; si differenziano tra loro per porte, processore, memoria e poco altro 

Link al commento
Condividi su altri siti

Ottimo, procederò col Mikrotek.

Rb931-2nd è la stessa cosa? Dove lo trovi a meno di 15? È prezzo per utenti finali o professionisti?

Link al commento
Condividi su altri siti

Grazie Andrea. Come al solito chiaro, conciso, risoluto. Procederò nei prossimi giorni con l'acquisto, non prima di aver scaricato una scheda tecnica, almeno per dare un occhio a dimensioni, tensione alimentazione, interfaccia di configurazione, ecc..

Link al commento
Condividi su altri siti

Andrea Annoni

Se vuoi qualcosa di più performante dal punto di vista alimentazione (DC-IN 10-30Vdc e anche PoE) e degli ingombri puoi guardare un mAP.

Oppure ancora più piccolo (a mio avviso il più piccolo oggetto di rete sul mercato) guarda il mAP-Lite

Link al commento
Condividi su altri siti

  • 3 weeks later...

Finalmente ho avuto modo di aprire il pacco del RBmAPL-2nd. Subito pensavo che si fossero dimenticati del router perché nella scatola si vedeva solo l'alimentatore a spina, il router è talmente miniaturizzato che stava nascosto sotto un lembo di cartone. Direi che a livello hardware non possono presentarsi problemi di installazione, oltretutto è anche dotato di una comoda calamita e le dimensioni talmente compatte lo rendono adatto ad essere "nascosto" ovunque, ovviamente lasciando un po' di spazio per dissipare. Consuma pochi watt, ma al tatto dopo un po' quasi scotta, quindi meglio lasciare un po' di aria intorno oppure appoggiarlo su una superficie metallica.

Concluse le considerazioni fisiche, ho alimentato e connesso il dispositivo al mio router esistente. Per default genera una rete wifi senza password, nel mio caso avevo già attivo il DHCP sul router preesistente quindi il nuovo dispositivo ha già ricevuto un indirizzo IP locale e impostato il gateway, permettendomi fin da subito la navigazione in Internet.

Detto questo ho aperto la pagina web del nuovo Miktotik e la prima impressione è quella di trovarmi di fronte a un sistema molto più completo e professionale rispetto ai router da "commercio" che finora avevo utilizzato. È disponibile anche un sistema a riga di comando (che al momento non conosco) e nella parte grafica le schede, finestre, campi, ecc sono veramente innumerevoli. È comunque presente una sezione "quick config", dove penso siano raccolte le configurazioni più comuni.

In rete è presente una wiki abbastanza ricca la cui lettura richiede un po' di tempo e volontà e che comunque pian pianino ho già cominciato a scorrere.

Vengo infine al mio obiettivo iniziale, cioè quello di generare all'interno della LAN un mio server vpn da cui connettermi da un client vpn remoto.

Il primo dilemma che mi pongo: devo lasciare il dispositivo in modalità router con nat degli indirizzi (e poi aprire le porte del server vpn sia sul Mikrotik che sul router principale che ho a monte), oppure meglio cambiare strategia? L'oggetto mi sembra potente e flessibile, immagino però che siano richieste anche competenze specifiche (più di quelle che possiedo ora) per uscire dallo standard e fare qualcosa di custom.

Accetto consigli, ricordo che il dispositivo è dotato 2 interfacce: 1 ethernet e 1 wireless.

Intanto grazie

Link al commento
Condividi su altri siti

Se hai telecom,vedi se riesci a fare un pppoe e poi da lì implementi un vpn.Non so se microtick prevede un ddns nativo on device.Perché se non hai un ip pubblico e statico hai bisogno di ddns.

Link al commento
Condividi su altri siti

Nel caso specifico ho un IP statico pubblico, pertanto non dovrebbe essere necessario impostare il Ddns, potrei comunque farlo in un secondo momento, dopo aver attivato il server vpn, che è il mio obiettivo principale. Grazie

Link al commento
Condividi su altri siti

Andrea Annoni

I quick set utilizzali se sei alle prime armi, ma poi il mio consiglio è di evitare e partire da conf pulite rimuovendo le default.

Usa Winbox al posto della pagina web in modo da poter lavorare anche a livello

MAC (utile se rimuovi le conf).

Tutti i Mikrotik hanno identiche funzioni.....ma ovviamente quello da te preso e il più piccolo della famiglia e le prestazioni ovviamente sono molto limitate.

 

Detto questo il mio consiglio è di fargli fare solo da server VPN; il mAP lite per bello che sia e comunque un oggetto da potenza limitata e, per quanto possibile, fargli fare da router e server VPN rischi di tirargli il collo. Soprattutto con grossi volumi di traffico.

Inoltre avendo una sola ETH dovresti usare le vlan (sempre ammesso poi che modem e resto della rete le supportino)..... e quindi ulteriore dispendio di processore oltre che di conoscenze.

Scegli quale VPN usare, apri le porte sul router in base alla tua decisione, è imposta le rotte e il NAT (non essendo il router dovrai lavorare con quello) .

Link al commento
Condividi su altri siti

Penso di aver combinato via web browser un casino, spero risolvibile.. Ero alla ricerca di un menù per il salvataggio e ripristino delle impostazioni (che non ho trovato) quando sono entrato nel menù interfacce e dopo aver ripetutamente premuto la lettera D iniziale su entrambe le interfacce (eth e wlan), penso di averle disabilitate entrambe e ora non sono più in grado di connettermi col Mikrotik, ho tentato anche col winbox digitando anche l'indirizzo MAC, ma al momento nulla da fare. Avete suggerimenti?

Link al commento
Condividi su altri siti

Andrea Annoni

Se sono disabilitate non ci entri. 

La Ethernet ti da il link? 

Se non si attiva il link e disabilitata e non puoi farci nulla.

devi resettare 

Link al commento
Condividi su altri siti

Resettato con esito positivo. Ora, prima di iniziare a smanettare, dove puntualmente succede che vado a manipolare un sacco di flag e parametri che poi dimentico e vado a sporcare la configurazione del router, vorrei poter salvare per step le modifiche. Esiste la possibilità di fare un esporta/importa configurazione?

Link al commento
Condividi su altri siti

Andrea Annoni

Usa Winbox e lavora in safe-mode se non sei sicuro.

 

per salvare puoi andare nel menu file e fare un backup. Ma attenzione che è valido solo su stesso apparato; se lo copi su un’altro potresti avere problemi. Sopratutto sui vecchi firmware dove si copiavano e scrivevano anche i MAC address.

Se invece vuoi salvarla e poi usarla da altre parti fai un export (solo a video) oppure export file=Pippo  e ti crea il file Pippo nella cartella file che poi puoi modificare con blocco note o editor.

per copiare basta che trascini il file nel tuo pc 

Link al commento
Condividi su altri siti

2 minuti fa, Andrea Annoni scrisse:

Usa Winbox e lavora in safe-mode se non sei sicuro

Scusa se mi intrometto ma in safe-mode cosa fa ?  Anch'io sto smanettando con un mikrotik e mi chiedevo la funzionalità. 

Link al commento
Condividi su altri siti

Andrea Annoni

SE sbagli qualcosa e si riavvia o se lo riavvii tu la routerboard torna alla configurazione prima di premere safe-mode.

se invece terminato di lavorare si esce dal safe viene salvata la configurazione in running 

Link al commento
Condividi su altri siti

Buongiorno,

sono qui a raccontarvi gli sviluppi del mio tentativo di creare una mia VPN privata.

Dopo varie letture e video consultati in rete e nel manuale, anche se devo ancora digerire molti concetti, ho deciso di fare un primo tentativo (che però non è andato a buon fine). Ecco di seguito i passi che ho fatto:

1. bozza di come è costituita la mia LAN (vedi allegato): il provider mi fornisce un indirizzo IP pubblico e statico, ho un router principale della Tp-Link, dal quale viene generata una sottorete LAN 192.168.1.0. Tra i vari dispositivi connessi alla sottorete figura anche il Mikrotik RBmAPL-2nd.

2. Ho effettuato il port forwarding della porta 1723 su router Tp-Link, così che il VPN server sul Mitrotik può rimanere in ascolto da richieste provenienti dall'esterno della rete

Dal Winbox ho effettuato la seguente procedura:

3. abilitazione PPP -> pptp server

4. creazione del pool di indirizzi che verranno assegnati ai client VPN remoti che si connetteranno alla rete (192.168.1.90-192.168.1.95)

5. PPP -> Profiles -> new: indirizzo locale 192.168.1.105,  indirizzi remoti: il pool precedentemente creato

6. PPP -> Secrets -> new: ho inserito nome e password a mio piacimento, servizio: pptp, profilo: quello precentemente creato

7. Creazione nuova connessione VPN lato client (da windows centro di connessioni di rete -> connect to a workplace -> VPN). Indirizzo IP: quello pubblico statico lato WAN del router Tp-link, nome e password come quelle configurate nel Mikrotik,

 

Al tentativo di connessione da remoto, tuttavia, dopo un lento macinare compare errore "Connection failed with error 800, The VPN server might be unreachable".

 

Come posso procedere per verificare qual è il problema?

 

Grazie.

P_20180813_154402_RID.jpg

Link al commento
Condividi su altri siti

Andrea Annoni

Prima di tutto come fai a creare un pool di indirrizzi nella stessa subnet della LAN???

Secondo tu sai che la PPP è fortemente vulnerabile vero??

 

Comunque:

Il pool deve essere diverso.

Il profile dichiarato nei secrets deve essere il default o default-encryption,

Nel PPP server definisci il default-encryption e disavilita CHAP e PAP

 

Cosa usi come client?

Sicuro che il tuo IP sia pubblico? 192.162.x.x ai tempi non lo era......ma vero anche che nopn sono aggiornato sugli aggiornamenti delle nuove subnet del RIPE (data la forte carenza di IPv4)

Link al commento
Condividi su altri siti

Pensavo che il pool di indirizzi remoti fossero quelli assegnati ai client remoti che si connettono alla VPN e che pertanto fosse corretto che appartenessero alla stessa subnet, visto che il mio scopo finale è di collegarmi da remoto come se fossi in locale.

Per quanto riguarda la vulnerabilità intanto questo era un test, potrei comunque modificare il protocollo (quando avrò superato questo primo step)

 

Come scelgo il pool di indirizzi? A che cosa deve essere coerente?

Ok, modificherò in default-encryption. Dove disabilito CHAP e PAP?

 

Come clent utilizzo un portatile con Windows 7, con gli strumenti messi a disposizione del sistema operativo.

Come indirizzo IP WAN avevo messo un esempio, in realtà il mio comincia con 88.213.... e finora è pubblico, poiché è lo stesso che utilizzo per accedere da remoto alle telecamere installate in rete.

 

Si trova in rete una guida passo-passo che mi guidi in questa procedura? Io ad esempio avevo guardato questi video:

 

 

 

Link al commento
Condividi su altri siti

Andrea Annoni

La subnet deve essere diversa; poi la LAN la raggiungi tramite le rotte e/o masquerade.

La subnet puoi sceglierla come cuoi, l'importante è che sia diversa dalla LAN.

 

Le impostazioni di cifratura le trovi sulle impostazioni del server PPTP sotto il menù PPP.

Di guide ve ne sono a bizzeffe e in diverse modalità. Con Mikrotik si possono raggiungere stessi risultati in diversi modi.

La procedura da te descritta è la più semplice ma corretta, ma devi solo modificare quei parametri. Ed essere sicuro che il Mikrotik sia raggiungibile e non abbia regole di firewalling che lo blocchino.

Link al commento
Condividi su altri siti

  • 1 year later...

Ilpunto "S" del regolamento vieta espressamente gli accodamenti, perchè sono causa di disguidi e confusione nelle risposte.

Bisogna aprire sempre una nuova discussione; specialmente se si fa riferimento ad una discussione ferma da più di un annoo da alcuni mesi.

Link al commento
Condividi su altri siti

Ospite
Questa discussione è chiusa alle risposte.
×
×
  • Crea nuovo/a...