come fare vpn su vlan

[sara]

Ciao a tutti ho un problema con la tesi. e sono anche una novellina del mondo delle reti!!!

ho tante macchine con lo stesso ip (non posso cambiarlo) nell'azienda cliente e su di esse non posso installare niente (non sono pc ma macchine industriali già esistenti).
il mio problema è raggiungerle in assistenza remota.

io ho pensato ad una soluzione con le vpn per raggiungere l'azienda cliente, metterei un router vpn in azienda cliente dove configuro un vpn server.
Sul mio pc installerei un programma vpn client.

ora il problema è che le macchine hanno tutte lo stesso ip. ho pensato ad una soluzione tramite le vlan (ogni macchina una vlan). è una soluzione realistica???
ma soprattutto come fare fare il tutto?cioè quando chiamo in ftp una determinata macchina come fare a chiamare una o un'altra vlan?

ho molti dubbi...aiuto!

[sara]

premetto che ora non sono collegate, dovrei ipotizzare io una soluzione.

ho cercato di semplificare, ma in realtà io posso collegarmi sulla porta eth2 delle macchine. questa porta è configurabile, quindi posso scegliere l'ip. ma io devo chiamare in ftp la tastiera e queste hanno tutte lo stesso ip.
se mi attacco alla eth2 e faccio ftp (indirizzo tastiera) questa mi risponde, quindi la eth2 è una porta fittizzia che lascia passare tutti i comandi verso la tastiera ma non c'è nessun modo di configurare un routing interno tra eth2 e tastiera. devo vedermela da fuori.


quindi avevo pensato... faccio una vlan per macchina e sfrutto l'indirizzo ip della vlan per scegliere quale tastiera interrogare.

[sara]

la proposta di attaccare un router per macchina ci avevo pensato ma è alquanto dispendiosa in termini economici e quindi è stata scartata per il momento.
per me sarebbe l'ultima spiaggia.

volevo cercare una soluzione alternativa se possibile. Le idee vagliate sono state diverse:
-fare un pat delle porte del router server vpn in modo di indirizzare il traffico su una o l'altra macchina e poi raggiungere le tastiere.
- fare una vlan per macchina e da pc client interrogare una o l'altra vlan (non so come).

volevo sapere se esistevano altre soluzioni o se queste erano fattibili (e come realizzarle facilmente per una inesperta come me)...

per adesso avevo a disposizione solo uno switch 3com 4400 se per provare localmente se la soluzione con le vlan funzionava. ho configurato 2 vlan (ho a disposizione due macchine per fare le prove) e ho attaccato le macchine una per vlan sulle porte untagged. il mio pc l'ho attaccato alla porta tagged comune alle due vlan. ora abilitando e disabilitando sulla mia scheda di rete una o l'altra vlan riuscivo a parlare con una o l'altra tastiera. ma come riproporre questo da remoto.
anche perchè le vlan le configuro sul router e non posso abilitarle e disabilitarle a piacimento.
e poi come faccio a dirgli che voglio parlare con la tastiera che fa parte della vlan1 da remoto?

suggerimenti?

[zot]

Ste cose mi fanno drizzare i peli delle unghie...
Dici che sta cosa è per la tesi ? Quindi hai studiato la teoria delle reti e, come ti è stato detto, saprai che in un'unico dominio di broadcast non possono coesistere 2 indirizzi IP uguali, quindi è facile capire che la prima cosa da fare sarebbe creare n dominii di broadcast . MA questa non è la soluzione, è un rattoppare qualcosa che è stato pensato e/o implementato alla cazzo di cane.
E poi, cazzo, l'università serve SOLO a darti una forma mentis che sia efficente nell analizzare e sviluppare, quindi inizia con l 'analizzare :

1)Che protocollo utilizzano le macchine industriali per l' assistenza remota ? (telnet, ssh, http ....)
2)Le due interfacce di rete sono sullo stesso apparato ? se no,ci sono due apparati per ogni macchina industriale?
3)Ho accesso alle modifiche parametriche delle macchine industriali ??
4)....

In ultimo ma io me lo chiederei per prima cosa : Perchè cazzo non si possono cambiare sti cavolo di IP ?

[sara]

tiro su il post perchè la soluzione è ancora lontana e spero nelle vostre conoscenze.
l'ip delle macchine non può essere cambiato perchè l'azienda le ha progettare così e non ho scelta.
le due eth sono sullo stesso controller, una con ip fisso e una configurabile.
Di quest'ultima posso solo decidere ip e mask (se abilito il routing interno tra eth1 e eth2) oppure posso decidere ip, mask e gateway se lo disabiltito.
Queste sono le uniche cose che posso configurare. Sia in uno che nell'altro caso attaccando il pc a eth2 e pingando 192.168.1.89 (indrizzo controllo) e 192.168.1.92 (indirizzo console) funziona.
Ora avendo tra le mani un mikrotik (basso costo) ho fatto qualche prova.
ho configurato le interfacce del mikrotik e ho creato, tramite il nat, un ip alias per ogni macchina e per ogni console impostando:

-quello che arriva a 192.168.2.79 (ip eth2 mikrotik) mandalo a 10.247.2.81 (alias) che lo rigira a 192.168.1.89 (ip controllo macchina 1)

-quello che arriva a 192.168.3.79 (ip eth3 mikrotik) mandalo a 10.247.3.81 (alias) che lo rigira a 192.168.1.89 (ip controllo macchina 2)

fatto la prova....


problema: se stacco la macchina 2 dal mikrotik e provo a pingare 10.247.3.81 mi aspetto che non ho risposta. invece qualcuno risponde!!!perchè?non è che risponde la macchina 1 che invece è attaccata al mikrotik???

scusate il papiro, ma spero che qualcuno mi aiuti!

come posso fare?ho sbagliato le regole del nat?

[Rizio]

Verifica gli arp address della macchina che ti risponde ai ping (ovviamente da un pc sulla lan). Dopo cerca di capire che effettua proxy-arp e perchè.

Rizio

[sara]

scusa la mia totale ignoranza, ma come faccio?

poi una domanda, lo scenario che ho pensato è giusto o non serve a nulla rispetto al problema che ho io di ip uguali?

cmq grazie mille che cerchi di aiutarmi!

[Rizio]

scusa la mia totale ignoranza, ma come faccio?

Dipende da che sistema usi per fare il ping. In linea di massima, se usi windows, da console fai un ping poi guardi la tabella arp con un

Codice: Seleziona tutto

arp -a

dopodichè spegni la macchina e riprovi il ping tornando a riguardare dopo la tabella arp e verifichi che mac address ti ha risposto 'stavolta al ping. Se è uguale a quello di prima hai $qualcosa che ti fà proxy arp altrimenti, molto probabilmente hai un ip duplicato.
Poi queste sono solo ipotesi, non sò con certezza in che ambiente ti muovi e csa usi perciò stò teorizzando a grandi linee.

poi una domanda, lo scenario che ho pensato è giusto o non serve a nulla rispetto al problema che ho io di ip uguali?

Purtroppo ho già provato la volta scorsa ad aiutarti e non ci sono riuscito perchè io utilizzerei mezzi diversi fin dalla base (o per lo meno ci proverei ) perciò temo anche questa volta di non poterti dare un giudizio effettivo.
Si, come concetto il fare nat su indirizzi delle seconde schede di rete può funzionare ma mi sembra un maccherone incasinatissimo che rischia di stare su finchè tira il vento. Mi fà un pò paura perchè non riesci a controllare esattamente cosa succede nei vari passaggi e basta poco per incasinare le acque. Poi capisco che le esigenze sono quelle e la disponibillità dei materiali pure perciò non discuto ma non riesco a calarmi nella tua realtà con questi presupposti, sorry.

Rizio

[paolomat75]

Riesci a fare una topologia schematizzata con gli IP?

Paolo

[sara]

io ho lo schema degli indirizzi e il nat che ho messo sul mikrotik ma come lo mando?

[paolomat75]

io ho lo schema degli indirizzi e il nat che ho messo sul mikrotik ma come lo mando?

Parlavo di un disegno grafico su cosa vuoi realizzare (puoi disegnarlo com Project o simili)

Paolo

[zot]

Ah Sá secondo me hai le idee parecchio confuse. Se vuoi un aiuto, chiariscitele e qui riporta come funzionano ste macchine, se no stiamo a parla dell'aria fritta.