Buonasera a tutti.
Volevo condividere l'esperienza che mi sono fatto nel utilizzo delle VPN, e al tempo stesso riceve alcuni input su come posso migliorare quello che già sono riuscito a fare. Ricordo a tutti che non sono un esperto di reti, e quello che scrivo sotto è frutto di esperienza fatta sul campo e tante tante tante ricerche in internet e prove fatte.
Innanzitutto descrivo la necessità che mi ha portato a fare tutto questo:
Noi produciamo e vendiamo delle macchine industriali, dove ogni macchina ha una piccola rete ethernet interna composta normalmente da 3/4 fino a una decina di indirizzi IP (non ci sono PC). Gli indirizzi sono sempre gli stessi per ogni macchina.
In ogni macchina monto un Router mikrotik (di norma un HEX ma anche dispositivi più grandi). La LAN del router è collegata ai dispositivi interni mentre la porta WAN verso la rete LAN del cliente che ci ha comprato la macchina (ovviamente la lan del cliente ha poi una sua struttura più o meno complessa che esce su una porta pubblica).
La necessità che abbiamo è di poter collegarci da un PC in azienda alla LAN della macchina per effettuare manutenzione o assistenza alla macchina stessa. Tutto questo senza necessità di scomodare il cliente a modificare la propria configurazione del firewall della propria rete.
Premetto che ci sono parecchi dispositivi che già fanno questo (EWON, secomea gateManager, inhand e molti altri).Li utilizziamo ma non siamo soddisfatti perchè o hanno costi esorbitanti o non sono del tutto affidabili. Inoltre non capisco come facciano a farli funzionare.
Attualmente l'unica maniera che ho trovato per fare tutto ciò è utilizzare le VPN è la seguente:
IN AZIENDA:
- ho un Mikrotik che ho configurato come server OpenVPN ma sulla porta 443 (che da adesso in poi chiamerò semplicemente "SERVER")
- per ogni nuova macchina spedita , aggiungo sul server:
un profilo,
un utente ppp secret,
un pool di indirizzi,
dei certificati,
delle interfacce statiche associate al utente VPN,
e delle route statiche, una per ogni interfaccia.
SULLE VARIE MACCHINE:
Sul router mikrotik di ogni macchina ho configurato un client openVPN che punta al IP pubblico del mio SERVER sulla 443, ogni macchina ha un utente e certificati diversi.
per fare un esempio, se ho 3 macchine uguali A,B,C, ed il mio SERVER S:
-A di lan 192.168.100.0/24 è impostata per connetersi a S:443 con utenteA, passwordA, certificatoA, imposto un interfaccia fissa ovpn_utenteA e c'è una route tra gateway ovpn_utenteA verso 192.168.100.0/24 e un srcNAT masquerade verso l'interfaccia di uscita ovpn_utenteA
-B di lan 192.168.100.0/24 è impostata per connetersi a S:443 con utenteB, passwordB, certificatoB, imposto un interfaccia fissa ovpn_utenteB e c'è una route tra gateway ovpn_utenteB verso 192.168.100.0/24 e un srcNAT masquerade verso l'interfaccia di uscita ovpn_utenteB
-C di lan 192.168.100.0/24 è impostata per connetersi a S:443 con utenteC, passwordC, certificatoC, imposto un interfaccia fissa ovpn_utenteC e c'è una route tra gateway ovpn_utenteC verso 192.168.100.0/24 e un srcNAT masquerade verso l'interfaccia di uscita ovpn_utenteC
Quando mi devo collegare ad una macchina per fare teleassistenza supponiamo la B , entro in S e nelle impostazioni di server openVPN, abilito il utenteB,certificatoB. Dopo un po' B si connette ad S.
A questo punto dal PC dal quale voglio fare teleassistenza, tramite openVPN gui, mi collego con utenteB,passwordB e certificato B ad S.
Ora il PC del ufficio e la rete della macchina sono sulla stessa rete 192.168.100.0/24, e posso fare tranquillamente la teleassistenza.
Questo sistema funziona, ma oltre ad essere macchinoso ha il seguente svantaggio:
io ed un mio collega, non possiamo collegarci in maniera indipendente a due macchine diverse per far teleassistenze contemporaneamente. Questo perché essendo le reti interne delle macchine tutte uguali, se due macchine si collegano contemporaneamente al server ci sarebbe un conflitto di indirizzi IP.
Mi piacerebbe trovare con voi il modo di non dover cambiare impostazioni del server ogni volta, ma averle uniche per tutte le macchine(ad eccezione ovviamente del utente), ma di poter isolare le connessioni tra di loro discriminandole in base al utente stesso. cioè la connessione di utenteB dovrebbe essere su un "virtuale" dove le connessioni di utenteC ed utenteA non esistono nonostante abbiano lo stesso indirizzo.
Sono abbastanza sicuro si possa fare in qualche maniera. Avete delle idee su come si possa fare?
Spero di essermi spiegato sufficientemente chiaro, e soprattutto usando tutti i termini tecnici corretti.
