Caso operativo di interconnessione di 3 sedi distanti tra loro

[mad bull]

Credo comunque
Questo sarebbe in sè abbastanza facile. Firewall su ogni sede. Il firewall nella sede con IP pubblico farà da server OpenVPN / Wireguard (ad oggi consiglio la seconda) e i firewall nelle due sedi si connetteranno con client VPN alla principale. A quel punto c'è banalmente da gestire gli instradamenti nelle regole di firewall.
Potrebbe essere utile, per non incasinare troppo le regole di firewall, che le 3 sedi abbiano sottoreti diverse, che dovrai gestire come LAN del firewall, esempio
- sede principale: 192.168.1.0/24
- sede 2: 192.168.2.0/24
- sede 3: 192.168.3.0/24

così le regole di routing diventano semplicissime

Ecco, grazie mille. Così mi hai fatto già un po' di chiarezza in più. Relativamente le "sottoreti", questo già lo tenevo conto esattamente come mi hai indicato, cosa che comunque credo basilare per non creare conflitti di rete.
Con la stessa pazienza, posso chiedere gentilmente un approfondimento su come rendere autonome (senza la creazione di conflitti) le 3 connessioni ad internet per ogni sede interconnettendo comunque le 3 LAN e utilizzando l'IP della prima sede per accedere alla LAN completa dall'esterno?
Si tratta di un punto clou che vorrei avere decisamente chiaro, scusate l'insistenza nel merito.

 

[r3dl4nce]

Ogni sede ha la sua connessione e andrà su internet tramite quella, quindi non ci sono conflitti. Tramite VPN passeranno invece solo i pacchetti relativi al traffico dei dispositivi i quali dovranno essere raggiungibili tra le 3 sedi e/o dall'esterno.

Esempio, c'è un dispositivo nella terza sede con il suo IP della LAN terza sede. Il gateway di questo dispositivo sarà il firewall della terza sede che gestirà quindi l'instradamento dei pacchetti e la VPN. Se dall'interfaccia VPN arriveranno dei pacchetti destinati al dispositivo in questione, il firewall gestirà il routing instradando i pacchetti sulla VPN. In questo modo se dalle altre 2 sedi ci sarà necessità di raggiungere ildispositivo in questione, basterà chiamarlo con il suo IP di LAN della terza sede e le regole di routing nei firewall faranno il "lavoro sporco". L'accesso dall'esterno in realtà non sarà nulla più che un caso di ulteriore NAT. Il firewall nella prima sede avrà configurate le regole per cui "se arriva una richiesta su interfaccia WAN / IP pubblico con porta destinazione X, eseguo NAT traslando IP di destinazione verso l'IP di LAN terza sede del dispositivo in oggetto". Le regole di routing poi faranno il resto, sapendo che dalla prima sede per raggiungere la terza si dovrà passare per la VPN.

Se hai una buona conoscenza di come funziona il protocollo IP, routing di rete e NAT, vedi che è molto banale, si opera tutto a Layer3 molto facilmente. Se non hai queste conoscenze, è un bel problema...

 

[mad bull]

A me interessa averla chiara in testa e sapere di cosa si andrà a parlare. Ti ho compreso e quindi ti ringrazio per avermi chiarito le idee. In ogni caso al momento del lavoro mi farò risentire su questo thread. Grazie mille @r3dl4nce !

 

[r3dl4nce]

Eventualmente, se hai voglia e tempo e ti andasse di approfondire l'argomento sistemistica/reti, potresti dare una bella lettura a Reti di calcolatori di Tanenbaum. Anzi, ti dirò di più, se non conosci i livello ISO/OSI, come funzionano il protocollo IP, TCP, UDP, ecc, ti direi comunque di leggertelo

 

[mad bull]

Eventualmente, se hai voglia e tempo e ti andasse di approfondire l'argomento sistemistica/reti, potresti dare una bella lettura a Reti di calcolatori di Tanenbaum. Anzi, ti dirò di più, se non conosci i livello ISO/OSI, come funzionano il protocollo IP, TCP, UDP, ecc, ti direi comunque di leggertelo

Accolgo volentieri il tuo consiglio, grazie.

 

[jeyhw]

Accolgo volentieri il tuo consiglio, grazie.

Il consiglio di r3dl4nce è valido per chiunque sia interessato a questa materia, sia pure solo a livello hobbistico/amatoriale (come me) figuriamoci per qualcuno che opera nel campo come te. Lo dico senza presunzione o volontà di ammonimento (Figuriamoci! Non avrei i titoli o l'autorità per farlo, e non lo farei comunque; io stesso spesso mi perdo in sciocchezze), ma è qualcosa da intraprendere nel tuo stesso interesse e in quello della tua azienda. Ciao

 

[mad bull]

Il consiglio di r3dl4nce è valido per chiunque sia interessato a questa materia, sia pure solo a livello hobbistico/amatoriale (come me) figuriamoci per qualcuno che opera nel campo come te. Lo dico senza presunzione o volontà di ammonimento (Figuriamoci! Non avrei i titoli o l'autorità per farlo, e non lo farei comunque; io stesso spesso mi perdo in sciocchezze), ma è qualcosa da intraprendere nel tuo stesso interesse e in quello della tua azienda. Ciao

Certo, assolutamente @jeyhw .
Ma infatti non lo nego, ci mancherebbe.