NordVPN--->ModemDraytek--->RB1100AHx2

[weldox]

Ciao a tutti.
Ho provato a fare una ricerca sul forum ma non ho trovato niente in merito, quindi mi permetto di aprire questo topic.

Ho cercato anche su google ma trovo solo indicazioni di altre configurazioni e non riesco a chiarirmi i concetti base di quello che voglio fare.

In pratica l'ho riassunto nel titolo. Lo spiego per esteso:

Attualmente sono connesso "in chiaro", il modem Draytek è in modalità Bridge e il Router RB1100AHx2 è in PPPoE Client, fa da Firewall, smista il traffico ecc..ecc..

Però ho la necessità di collegarmi ad internet in maniera criptata, per questioni di sicurezza e privacy.
Per questo motivo volevo impostare la rete in modo che la WAN comunichi in maniera criptata ad un server VPN a pagamento (NordVPN è stata la nostra scelta).

Volevo chiedervi, da principiante quale sono, quale sarebbe la strada ideale che dovrei seguire...

Il modem in mio posseso può essere impostato per ricevere i dati criptati con la VPN, ma facendo così non credo più di poterlo fare lavorare in bridge trasparente, come ho fatto fino ad ora.

Dite che è fattibile mettere il modem in modalità trasparente e poi utilizzare l'RB1100AHx2 come client VPN che cripta e decripta il traffico WAN e poi lo distribuisce a tutta la rete?
Voi come procedereste?

PS: non sono vincolato a tali dispositivi, se avete consigli e suggerimenti anche in merito a questo sono molto bene accettati!

Grazie mille!
Maurizio

PS: L'unica "guida" che ho trovato è a questo link:
https://www.ilsoftware.it/articoli.asp? ... nVPN_11430
Che mi suggerisce:

"Chi non avesse trovato nulla di valido, può orientarsi sui router a marchio Mikrotik, produttore lettone che offre ottimi dispositivi con supporto server OpenVPN integrato a prezzi concorrenziali (vedere ad esempio questa pagina su Amazon).
Il router Mikrotik, essendo sprovvisto di funzionalità modem (non integra un modem ADSL2+), può essere installato "dietro" ad un qualunque dispositivo capace di negoziare la connessione con il provider Internet e che sia configurabile in bridge.
Una guida passo-passo per la configurazione di OpenVPN sui router Mikrotik è disponibile a questo indirizzo."

Tuttavia, indipendentemente dal protocollo OpenVPN integrato, che potrebbe essere una soluzione interessante (a parte che non si capisce a quale dispositivo faccia riferimento)...la famigerata "guida passo-passo" porta ad una pagina simpaticamente vuota...

[radiation]

Dovresti creare una VPN (client) sul Mikrotik con le credenziali del servizio, e poi creare una rotta per mandare tutto il traffico sulla VPN; il mio consiglio è di creare due subnet.....una per la navigazione in chiaro e una per la navigazione attraverso VPN.....poi vedi tu.
Per fare ciò dopo che hai creato la subnet che usi per la VPN devi creare una rule per marchiare i pacchetti da mandare sulla VPN: ad esempio

/ip route rule
add dst-address=0.0.0.0/0 src-address=192.188.188.0/24 table=VPN

e poi una rotta per mandare questi paccheti sulla VPN; sempre per esempio:

/ip route
add comment="Rotta pr uscire su VPN" distance=1 gateway=\
192.168.255.1 routing-mark=VPN

dove 192.168.255.1 è il GW della tua VPN

[weldox]

Quindi il mio Modem lo lascio impostato com'è, per la connessione ADSL in PPPoE trasparente.
Saranno poi le interfacce client sul Mikrotik che diversificheranno il tipo di traffico.

Poi sul Mikrotik aggiungo al mio client in chiaro PPPoE (quello attualmente impostato) un client VPN (meglio L2TP oppure OVPN? Il servizio che ho acquistato credo supporti entrambi i protocolli).

A questo punto marcando e creando le regole, seguendo il tuo ottimo suggerimento, ho due possibilità di instradamento del traffico. Così non ho nemmeno il problema di dover mandare offline tutta la rete durante la fase di impostazione.

Ho capito bene?

Grazie infinite!

[radiation]

Quale protocollo usare vedi tu...... forse con L2TP hai meno noie.
Per la configgurazione come ripeto devi decidere. Al massimo, se non commetti errori, avrai un buco di qualche istante.

[weldox]

Grazie ancora! Ti devo un po' di birre!

[weldox]

Sono riuscito ad impostare il tutto.

Ho faticato un po' per via dell'impostazione dell'IPSec però adesso funziona.

Avendo già molteplici VLAN (5 o 6) ho creato una lista VPN nella quale includo o meno le VLAN che mi interessano.

Attualmente la sto testando su una VLAN dedicata ai guest, in questo modo non blocco il lavoro dell'ufficio.

La sto provando tramite smartphone, e mi va tutto bene (Whatsapp, Facebook, applicazioni varie, Applicazione per determinare l'IP, Applicazione che valuta il ping e la velocità Download e Upload...) tranne la navigazione su Safari...
Sembra che sia bloccato il traffico e non capisco perchè.

[weldox]

Errata corridge:

Il traffico non è bloccato...alcuni siti vanno bene, altri non vanno.
Devo capire se il problema è relativo al server VPN oppure a qualcosa nel mio firewall che blocca le connessioni in tal senso.

[weldox]

blocca solo HTTPS

[weldox]

Volevo segnalare che è tutto ok!

Aveva problemi il server della VPN...mi rifiutava tutte le connessioni a siti HTTPS!
Tra l'altro non solo un server, hanno avuto problemi con qualche server.
Io avevo provato a cambiarli ma era una cosa che non dipendeva dalle impostazioni del mio router!
Ci volevano solo un po' di ferie per sistemare tutto!

Ringrazio Radiation per l'aiuto! (te ne devo tante di birre! un giorno salderò il conto! )