Caso operativo di interconnessione di 3 sedi distanti tra loro

[mad bull]

Ciao a tutti.
Ho un caso operativo che richiede la connessione di tre differenti LAN c/o tre sedi lontane di proprietà di una singola società.
Non è tanto la questione del collegamento, vi è la possibilità di farlo sia tramite fibra che tramite ponte radio.
L'area è più o meno questa:

Quel che mi "preoccupa" è altro...
Tutte le tre sedi dispongono di un'ottima connessione ad internet quindi non ho esigenze di condividere la connessione a internet, quel che mi serve è connettere le tre LAN a distanza o via fibra o con un ponte radio formandone, all'esito, una sola grande LAN ma mantenendo per ogni sede la sua connessione ad internet.
Come risolvo la questione della presenza di tre connessioni ad internet?
Consigli? Pareri?
Grazie.

 

[r3dl4nce]

Ogni sede avrà la sua connessione + firewall che gestisca VN tra le 3 reti, con opportune regole per smistare il traffico

 

[mad bull]

Ogni sede avrà la sua connessione + firewall che gestisca VN tra le 3 reti, con opportune regole per smistare il traffico

Vuoi dire che relativamente il mio dubbio, mi sto preoccupando per "niente", per non dire altro? :D
Quali firewall consigliate di utilizzare?

 

[r3dl4nce]

Secondo me stai partendo dal finale, senza avere chiaro cosa devi fare.

Ci sono queste tre sedi, ok.
Perché devono essere interconnesse? Esistono dei server e/o servizi in una delle sedi a cui devono accedere dalle altre? Deve esserci una gestione centralizzata utenti con dominio Windows? Ogni sede deve avere risorse di rete replicate e essere indipendente? Devono essere raggiungibili da ogni sede certe periferiche di rete? Ecc ecc
Cerca quindi in primis di capire che servizi e funzionalità devono essere interconnesse, poi se si parla di una realtà abbastanza strutturata e/o ampia, sarebbe bene che ci fosse un'assistenza sistemistica e informatica in grado di gestire la struttura compreso di server, periferiche, connessioni, ecc

 

[mad bull]

Con estrema franchezza, devo ancora incontrarmi con il committente. Mi ha solo accennato l'intenzione che ha e volevo chiarirmi il punto indicato.
Lo sentirò per chiarire le necessità e ve le esplicherò prima di procedere al lavoro così da perseguire la miglior soluzione sulla base dei vostri consigli e pareri. Grazie intanto.

 

[r3dl4nce]

Per curiosità, hai mai gestito situazioni simili? Che conoscenze hai di sistemistica? Reti? Firewall? VPN?

 

[mad bull]

Per curiosità, hai mai gestito situazioni simili? Che conoscenze hai di sistemistica? Reti? Firewall? VPN?

Ho gestito e gestisco reti locali semplici, nello specifico di questo caso ho alcuni dubbi da chiarire ma non ho alcun timore nella riuscita del lavoro. ;)

 

[jeyhw]

A me sembra una normale e classica situazione in cui c'è l'esigenza di creare tra le varie LAN un collegamento via VPN, con wireguard o OpenVPN ad esempio

 

[r3dl4nce]

A me sembra una normale e classica situazione in cui c'è l'esigenza di creare tra le varie LAN un collegamento via VPN, con wireguard o OpenVPN ad esempio

Certo, ma devi anche gestire la sicurezza tra le sedi, mica da ogni sede devono accedere completamente alla rete dell'altra sede, ci saranno servizi che devono aver eaccesso e altri che non devono, quindi la VPN va gestita comunque L3 e con firewall, se poi ci sono server o apparati simili dovrebbero essere in DMZ, ecc ecc

 

[jeyhw]

Certo, ma devi anche gestire la sicurezza tra le sedi, mica da ogni sede devono accedere completamente alla rete dell'altra sede, ci saranno servizi che devono aver eaccesso e altri che non devono, quindi la VPN va gestita comunque L3 e con firewall, se poi ci sono server o apparati simili dovrebbero essere in DMZ, ecc ecc

Ma si certo, poi si adatta e regola l'accesso secondo necessità. Nel primo post sembra però che non ci sia consapevolezza, o che non sia stato precisato e neppure accennato dal suo committente, la soluzione del "problema" con una regolare configurazione di una VPN.

 

[mad bull]

Vi ringrazio. Probabilmente avete sovrastimato l'importanza della cosa, il committente esige qualcosa di molto semplice ma per il momento ancora non mi ha precisato. A quanto ho capito ha l'esigenza di unire le tre LAN delle tre sedi e fine, ma capisco che non è una cosa così superficiale...
Come detto, mi ha solo chiesto la fattibilità; non appena avrò maggiori dettagli vi farò sapere.

 

[mad bull]

Ora non vorrei diventare pesante in merito a questa discussione. Io sono un piccolo imprenditore attivo in ambito tecnologico ma non ho eccelse conoscenze tecniche e credo si veda ma quando vado a conferire con i miei tecnici e collaboratori vorrei quantomeno riferire soluzioni e modalità di lavoro nel modo corretto, ecco perché sono qui a rischiare di tediarvi ancora. Ho visto che siete molto preparati e credo davvero di essere nel posto giusto, e vi faccio a che i miei complimenti perché mi aiutate a chiarire le idee. Portate pazienza...

Detto ciò, ho sentito il Cliente per un'altra faccenda e ho accennato a questo lavoro da fare. Mi ha detto che se ne parlerà a settembre ma, senza andare nello specifico, mi sono fatto dire meglio le necessità.
Alla luce di quanto mi ha detto, sembrerebbe che in una sede ha un'ottima connessione ad internet cablata in fibra, nelle altre due sedi ha invece la connessione mediante CPE 5G, buone si ma con il solito "problema" conosciuto del NAT che gli impedisce la gestione dall'esterno delle due sedi e questo pare essere diventato un disagio non da poco e per il quale vuole porre una definitiva soluzione.

Lui, per diverse necessità (condivisone dei server che hanno in tutte le sedi, unire le 3 reti di videosorveglianza (al momento singole e separate) [...], desidererebbe solo e semplicemente unire le tre reti LAN quindi interconnettere tra loro le tre sedi mantenendo tuttavia per ogni sede la propria connessione ad internet ma al contempo avere l'IP fisso della prime sede per gestire server e l'NVR della videosorveglianza in modo centralizzato per tutte le sedi.
Non sussistono problemi al collegamento delle sedi mediante fibra, tantomeno via ponte radio (personalmente ritenevo meglio via fibra, ma in ogni caso non sussistono problemi).

Il mio dubbio più pesante era e rimane quello della presenza di tre connessioni ad internet separate, se unisco le reti LAN poi sarebbe come avere un'unica LAN con 3 router per la connessione ad internet: questa cosa non mi suona chiara. Per il resto teoricamente non penso di avere altri particolari problemi.

Ribadisco che appena avrò maggiori e precise informazioni ve le renderò per approfondire la cosa, ma volevo comunque cominciare a chiarirmi le idee sulle modalità e sulle soluzioni possibili.

 

[jeyhw]

Se come hai detto una sede ha la fibra, ha anche un IP pubblico (fisso o dinamico va bene lo stesso) verosimilmente. È quello che basta per settare una VPN come Wireguard ritenuta dai più una soluzione moderna e veloce. La questione degli accessi alle varie LAN si risolve con regole di firewall, ma è secondario come problema. Hai anche detto che hai tecnici e collaboratori. Credo che basti accennare loro quanto appena detto e molto probabilmente capiranno subito come affrontare la problematica. Facci sapere come va a finire. Ciao

 

[mad bull]

Ho dei tecnici si, ma non posso nemmeno riferirmi loro come mi riferirei ad un bambino di 4 anni...
Devo essere il primo ad avere in testa la situazione chiara, comprendere le migliori soluzioni e le modalità operative e come realizzarle. Personalmente credo sia giusto così, anche per rispetto di chi lavora con e per me. :)

 

[r3dl4nce]

Credo comunque

Lui, per diverse necessità (condivisone dei server che hanno in tutte le sedi, unire le 3 reti di videosorveglianza (al momento singole e separate) [...], desidererebbe solo e semplicemente unire le tre reti LAN quindi interconnettere tra loro le tre sedi mantenendo tuttavia per ogni sede la propria connessione ad internet ma al contempo avere l'IP fisso della prime sede per gestire server e l'NVR della videosorveglianza in modo centralizzato per tutte le sedi.

Questo sarebbe in sè abbastanza facile. Firewall su ogni sede. Il firewall nella sede con IP pubblico farà da server OpenVPN / Wireguard (ad oggi consiglio la seconda) e i firewall nelle due sedi si connetteranno con client VPN alla principale. A quel punto c'è banalmente da gestire gli instradamenti nelle regole di firewall.
Potrebbe essere utile, per non incasinare troppo le regole di firewall, che le 3 sedi abbiano sottoreti diverse, che dovrai gestire come LAN del firewall, esempio
- sede principale: 192.168.1.0/24
- sede 2: 192.168.2.0/24
- sede 3: 192.168.3.0/24

così le regole di routing diventano semplicissime