Consigli per implementazione rete vpn

[Jrik]

Ciao e a tutti.
Vi scrivo per chiedere un consiglio relativo ad una rete vpn che dovremo allestire in azienda, non conosco molto l'argomento, non mi sono mai occupato della configurazione di un server vpn e delle relative opzioni, per questo motivo vorrei conoscere il vostro parere.

In azienda è già presente un dispositivo di marca Clavister che farà da server vpn (non credo ci sia la volontà di cambiarlo ma potrei proporlo se mi consigliate un dispositivo valido), a questo dispositivo sarà collegato via cavo un server windows.

All'esterno avremo 50 dispositivi remoti, collegati ad internet con normale sim dati, probabilmente dei teltonika rut 241, i quali si dovranno autenticare sul server vpn di cui sopra, a questi dispositivi teltonika saranno collegati dei datalogger.

Il risultato che vorremmo ottenere è che quello di fare in modo che tutti i dispositivi (circa 50 teltonika, circa 100 datalogger e server windows) si vedano e possano comunicare tra loro.

In azienda c'è un fornitore esterno che si occupa di gestire un'altra vpn (sul dispositivo Clavister di cui sopra) al quale dovremmo fare implementare anche questa nuova vpn, io devo metterlo in contatto con il fornitore che si sta invece occupando dell'installazione dei teltonika e dei datalogger, facendo in modo che facciano le cose in modo corretto e non utilizzi delle soluzioni inadatte, questo fornitore infatti ci aveva proposto di utilizzare il protocollo pptp, quindi capite che devo valutare bene ciò che fa...

Dopo un iniziale confronto con il fornitore (dei teltonika e dei datalogger) abbiamo optato per utilizzare ipsec, nello specifico pensavamo di utilizzare la configurazione dello schema 2 presente a questo link https://wiki.teltonika-networks.com/...ation_examples
ma il fornitore della vpn sostiene che il fatto che le sim dati installate nei teltonika siano delle semplici sim "outbound" quindi con ip nattato, può impedire il funzionamento della vpn in quanto non gli permetterebbe di settare l'ip pubblico sul "firewall centrale".

Purtroppo i tempi a disposizone non mi permettono di studiare bene tutti questi aspetti.

La rete seppure ampia e complessa mi sembra tutto sommato semplice, c'è un server vpn, dei router che faranno da client autenticandosi sul server vpn e forniranno l'ip anche ai datalogger a loro collegati,

Fatte queste premesse vorrei chiedervi quali consigli potete darmi per tenere la situazione sotto controllo, a quali aspetti devo fare attenzione affinchè le conse vengano fatte nel migliore dei modi, (scelta del protocollo, tun, tap ecc.), per l'ip mobile nattato ci sono soluzioni?

Se pensate che siano soluzioni migliori per implementare questa vpn fatemelo pure sapere.

Grazie.

[OUTATIME]

Prima cosa, verifica se il dispositivo Clavister di cui sopra supporta l'aggiunta di 50 connessioni contemporanee in aggiunta a quelle che già deve gestire, sia a livello di licenze, ma soprattutto di hardware.
Concordo con il fornitore che se le sim hanno IP nattato, la connessione dev'essere di tipo client-server. Per rispondere alla tua domanda, si, ci sono soluzioni, ma sono inutili, primo perchè le sim con IP pubblico costano, secondo perchè non tutti gli operatori le danno, terzo perchè si può bypassare il problema come ti ho detto sopra.
Personalmente la farei molto più semplice con una configurazione client-server basata su Wireguard.