Vpn tra due sottoreti

[Reyking74]

Buongiorno.
Sono nuovo e quindi mi scuso in anticipo se ho sbagliato sezione.
Ho una domanda e spero qualcuno mi possa aiutare.

Ho un router fornito da un provider (192.168.1.1) al quale ho collegato uno switch a cui sono collegate tutte le apparecchiature del mio ufficio.
Allo stesso switch ho collegato un secondo router (LAN-WAN) e creato una sottorete (192.168.2.1) per far collegare e navigare persone che non sono parte del mio ufficio senza che possano raggiungere la mia rete.
Tuttavia io, collegato alla rete 1.1 ho l'esigenza di collegarmi a uno degli access point presenti nella sottorete 2.1.

Mi rendo conto che essendo due reti diverse la cosa è complicata (del resto serve a questo!) ma mi chiedevo se fosse possibile creare una VPN tra la rete 1.1. e la sottorete 2.1 (magari un ip specifico - in fin dei conti devo raggiungere una sola periferica, ovvero un controller).

Spero di essere riuscito a spiegarmi.
Grazie per l'aiuto.
Roberto

[frakka]

Adesso non ho tempo di spiegarti bene ma non serve assolutamente una vpn: sono sufficienti una banale route statica e due regole di firewall.

Metti marca e modello dei router, che ci guardiamo.

Inviato dal mio Redmi 4 Prime utilizzando Tapatalk

[frakka]

Il pc da cui ti devi collegare all'ap è Windows?

Inviato dal mio Redmi 4 Prime utilizzando Tapatalk

[Reyking74]

Ciao frakka, grazie per le veloci risposte.
E' un po' più complicato. Cercherò di farti uno scenario il più completo possibile senza divagare.

Questo "impianto" comprende un ufficio e un agriturismo e finora c'erano due linee (quindi 2 modem e 2 internet separati).

Tra le due linee, entrambe con IP statico, era stata creata una VPN per consentire ad un pc dell'ufficio (collegato a un router Eolo Microtik) di collegarsi a una una "cloud key" della Ubiquiti installata nel router dell'albergo (un telecom) per consentire la gestione dei vari access point collegati al router dell'albergo senza dover andare fisicamente lì (gestivano gli accessi degli ospiti, creavano vouchers ecc. - funzioni non rilevanti in questa sede).

Ora hanno eliminato la rete telecom e stanno facendo navigare gli ospiti dell'albergo con la stessa connessione internet dell'ufficio (attraverso un ponte radio).
Seppure la cloud key si occupi di "schermare" l'ufficio dagli ospiti dell'albergo (come detto, è lei che consente o nega l'accesso a internet per chi è collegato agli access point), non è saggio lasciare entrambi nella stessa rete, per ovvie ragioni di sicurezza (virus in primis, ma anche privacy ecc.), quindi ho creato una sottorete con un altro modem, un ASUS con ingresso WAN e ci ho collegato l'intero albergo.

In questo momento l'albergo e l'ufficio sono indipendenti, quindi sicuri, ma per poter gestire la cloud key devo scollegarmi fisicamente dal Microtik e collegarmi fisicamente al modem ASUS. Quello che vorrei fare è potermi collegare dal router dell'ufficio (192.168.1.1) alla Cloud key collegata al router dell'albergo (192.168.2.10) senza dover armeggiare con cavi o dovermi disconnettere da una rete per collegarmi ad un'altra.

Ecco le info tecniche che mi hai chiesto.
Il router dell'ufficio è Eolo Microtik, il pc dell'ufficio è Windows 10 pro, il router dell'albergo è Asus e il controller degli access point è Ubiquiti Unifi Cloud Key.

Ti ringrazio.
Roberto

[Reyking74]

Ciao, buonasera.
Non ho più ricevuto risposta e sono ancora incastrato con il mio problema.
Oramai ho creato le due reti e il mio pc è collegato al router con rete 1.1 ma per interagire con la periferica connessa alla rete 2.1 stacco il cavo e mi collego fisicamente all'altro router (naturalmente sono costretto a tenere un IP dinamico).

Vorrei capire il modo per accedere dal mio pc collegato alla rete 1.1 a un ip specifico della rete 2.1.

I dettagli delle periferiche utilizzate sono nel mio precedente post.
Grazie a chi mi può aiutare.
Roberto

[j0h89]

Potrei dire una cavolata, nel caso perdonami.
Ma non sarebbe più semplice installare, su uno dei PC ad uso esclusivo tuo non della sottorete 2.1, un teamviewer, o ancora meglio un anydesk, con accesso non vigilato e password?
Così facendo, avendo a disposizione una connessione remota protetta da password, potresti connetterti da ovunque e avere accesso alla rete 2.1.

Altrimenti, per quanto riguarda la vpn, m'informo un pochino e soprattutto ci penso; per ora sono alle prime armi con il pfsense che semplifica molto la creazione di openvpn, ipsec e simili! Ho già fatto qualcosina del genere ma bisogna valutare le possibilità offerte dal tuo modem e dai router.

Inviato dal mio nokia 3300 utilizzando la forza del pensiero

[frakka]

Scusami, me ne sono completamente dimenticato!
Più tardi provo a riprendere in mano il topic...

Inviato dal mio Redmi 4 Prime utilizzando Tapatalk

[frakka]

Ieri sera non sono riuscito, ci provo nel weekend.

Inviato dal mio Redmi 4 Prime utilizzando Tapatalk

[frakka]

Scusa ma c'è qualcosa che non mi torna... Semplifichiamo con uno schemino.



Se ho capito bene, quella sopra riportata dovrebbe essere la tua situazione attuale.

In questo momento, se da un pc collegato alla rete 192.168.2.x faccio un tracert verso Google, vedo passare il pacchetto prima sul router ASUS e poi sul Mikrotik di EOLO.
In realtà un computer connesso alla rete dell'albergo 192.168.2.x che dovesse pingare il tuo PC nella rete 192.168.1.x, in questa configurazione dovrebbe riuscire a raggiungerlo senza particolari problemi.

Diverso è invece il discorso per il computer che si trova nella rete 192.168.1.x: Questo PC non riuscirà a pingare nessun dispositivo all'interno della rete 192.168.2.x (neppure lo stesso 192.168.2.1 del router ASUS) a meno che non gli venga aggiunta una rotta statica che definisca come gateway per la sola subnet 192.168.2.0/24 l'IP sulla rete 192.168.1.x dell'ASUS.

E' chiaro e corretto oppure ho capito male qualcosa io?

In questa configurazione, in realta non la più sicura per la rete "ufficio" (perchè è la rete dell'albergo ad avere accesso diretto alla rete dell'ufficio e non viceversa) per raggiungere il controller Ubiquiti non c'è assolutamente bisogno di una VPN: E' sufficiente nattare sull'ASUS la porta 8443 verso l'IP del controller per riuscire a gestire la cloud key.

Ovviamente l'asus deve avere la porta 8443 aperta inbound sulla sua WAN (192.168.1.x) e quindi per poter accedere alla Ubiquiti sarà sufficiente digitare come indirizzo: http://IP-ROUTER-ASUS:8443


Giusto?

[frakka]

Ciao.
Hai poi risolto?