videosorveglianza in rete nattata 4g

[mistermars]

Buongiorno,
ho necessità di accedere ad un sistema di videosorveglianza che si trova in rete (RETE 1) che accede ad internet tramite un router 4g Huawei B525s-23a e sim ho-mobile.
Ho-mobile non assegna un ip pubblico ma solo privato e quindi risulta impossibile accedere da remoto alla rete Lan.
Ho pensato di risolvere creando una vpn in questo modo:

il router Huawei B525s-23a ha la possibilità di funzionare come client vpn l2tp.

In una casa (RETE2) in cui ho ip statico e fibra 100mb ho creato un server vpn l2tp utilizzando un NAS Qnap con l'app "qvpn service".

installato il client in uno smartphone android riesco a collegarmi tranquillamente a tutta la lan in qui si trova al NAS (RETE 2) . Se faccio un ping all'ip assegnato dalla vpn al router Huawei (10.2.0.2) quest'ultimo risponde.
Se invece provo a pingare l'ip del router (192.168.8.1 ) o qualsiasi IP della RETE1 nessuno risponde.

Se dalla RETE 1 provo a collegarmi alla RETE 2 riesco a vedere qualsiasi periferica.

Mi potete dire cosa sto sbagliando? l'NVR della videosorveglianza con ip 192.168.8.100 dovrebbe rispondere alla porta 8888. Come faccio da un client remoto ad arrivare a questo dispositivo? Ho già aperto nel virtual server la porta 8888 per l'ip 192.168.8.100

[x_term]

Quote:

Originariamente inviato da mistermars

Se faccio un ping all'ip assegnato dalla vpn al router Huawei (10.2.0.2) quest'ultimo risponde.
Se invece provo a pingare l'ip del router (192.168.8.1 ) o qualsiasi IP della RETE1 nessuno risponde.

Se dalla RETE 1 provo a collegarmi alla RETE 2 riesco a vedere qualsiasi periferica.

Mi potete dire cosa sto sbagliando? l'NVR della videosorveglianza con ip 192.168.8.100 dovrebbe rispondere alla porta 8888. Come faccio da un client remoto ad arrivare a questo dispositivo? Ho già aperto nel virtual server la porta 8888 per l'ip 192.168.8.100

Devi controllare tutti i firewall e cosa hai impostato come source IP per le regole e/o si potrebbe fare qualche regola di SNAT sul qnap (ma non ho idea se si possa fare, non li uso quei NAS io) in modo che la richiesta dal cellulare venga trasformata come se venisse dalla rete 2... oppure ancora potrebbe essere che il server VPN abbia qualche funzione di client isolation abilitata, ovvero impedisce che i client della VPN si parlino tra loro.
Ma nella rete nattata non hai un NVR con qualche servizio cloud?
Io lo uso così dietro Eolo e mi va più che ottimamente, senza sbattermi VPN e firewall, che tanto non le guardo quasi mai dall'esterno.

[mistermars]

Quote:

Originariamente inviato da x_term

Devi controllare tutti i firewall e cosa hai impostato come source IP per le regole e/o si potrebbe fare qualche regola di SNAT sul qnap (ma non ho idea se si possa fare, non li uso quei NAS io) in modo che la richiesta dal cellulare venga trasformata come se venisse dalla rete 2... oppure ancora potrebbe essere che il server VPN abbia qualche funzione di client isolation abilitata, ovvero impedisce che i client della VPN si parlino tra loro.
Ma nella rete nattata non hai un NVR con qualche servizio cloud?
Io lo uso così dietro Eolo e mi va più che ottimamente, senza sbattermi VPN e firewall, che tanto non le guardo quasi mai dall'esterno.

mi sa che nel Nas non si possa fare niente. Però quando pingo sull'ip vpn del huawei dal telefono (in rete 4g) il router risponde.

Purtroppo l'nvr non ha un servizio cloud se no avrei risolto cosi.

[OUTATIME]

Partendo dal presupposto che la porta 8888 sul router della rete2 sià già aperta verso il Qnap, devi dire al Qnap di instradare il traffico della porta 8888 verso l'IP di VPN, e a seguire dal router della rete1 verso l'IP della videosorveglianza.
Quindi:
Chiamata su porta 8888 > forward verso il Qnap > forward verso la VPN > forward verso l'IP della videosorveglianza.

[mistermars]

Quote:

Originariamente inviato da OUTATIME

Partendo dal presupposto che la porta 8888 sul router della rete2 sià già aperta verso il Qnap, devi dire al Qnap di instradare il traffico della porta 8888 verso l'IP di VPN, e a seguire dal router della rete1 verso l'IP della videosorveglianza.
Quindi:
Chiamata su porta 8888 > forward verso il Qnap > forward verso la VPN > forward verso l'IP della videosorveglianza.

mi sa che al Qnap non fa a dirgli nulla
Oltre a creare il server l2tp non mi fa creare nessuna regola.

Ho visto che ci sono dei router mikrotik di cui ne parlano abbastanza bene che costano circa €25 e che potrebbero funzionare come server vpn. Avrei la possibilità anche di mettere il server vpn in un casa collegata in ultra fibra.
Potrebbe andare bene?
Nel caso mi converebbe prenderne uno e configurarlo come server vpn l2tp per sfruttare il router Huawei che può funzionare solo come client vpn l2tp?
Oppure prenderne due: un router mikrotik impostato come server openvpn messo nella casa con collegamento ultrafibra 1Gb (Ip statico), e l'altro messo in cascata al router huawei e impostato come client openvpn?

[x_term]

Quote:

Originariamente inviato da mistermars

mi sa che al Qnap non fa a dirgli nulla
Oltre a creare il server l2tp non mi fa creare nessuna regola.

Ho visto che ci sono dei router mikrotik di cui ne parlano abbastanza bene che costano circa €25 e che potrebbero funzionare come server vpn. Avrei la possibilità anche di mettere il server vpn in un casa collegata in ultra fibra.
Potrebbe andare bene?
Nel caso mi converebbe prenderne uno e configurarlo come server vpn l2tp per sfruttare il router Huawei che può funzionare solo come client vpn l2tp?
Oppure prenderne due: un router mikrotik impostato come server openvpn messo nella casa con collegamento ultrafibra 1Gb (Ip statico), e l'altro messo in cascata al router huawei e impostato come client openvpn?

Se il router Huawei supporta L2TP, puoi usarne solo uno. Meno fai NAT con le VPN meglio è, quindi evitando roba in cascata.
Mikrotik le uso da una vita, però non sono le più facili da configurare...

[overcrak]

Mi vengono in mente alcune soluzioni piu o meno ortodosse.

La più semplice sarebbe un "reverse ssh tunnel", ma potrebbe farti smadonnare un po' la configurazione, e necessita di un server SSH a cui appoggiarsi (può anche essere a casa tua).

La seconda potrebbe essere un tunnel "hamachi" su di una raspberry pi zero da piazzare su rete 1, in modo da collegarti poi all'interfaccia della raspberry tramite VNC e da li controllare il tutto. Macchinoso ma funzionante ed economico.

La terza soluzione, quella verso cui stai andando tu, potrebbe funzionare dopo molti smadonnamenti.
Non conosco l'apparato in uso da te, ma sono abbastanza sicuro che con un mikrotik potresti farlo. La logica è che se il client VPN è anche il gateway internet, saprà bene dove instradare il traffico, purche lo si istruisca a mettere in comunicazione le varie sottoreti (non è scontato che accada, soprattutto che le "macchine interne" possano vedere e raggiungere i client VPN collegati).

[malatodihardware]

Se ho capito bene cosa hai fatto, potresti provare su un dispositivo della rete2 (dove c'è il qnap) a mettere una route statica verso 192.168.8.0 subnet 255.255.255.0 gateway l'IP del qnap
Se così funziona, a quel punto provi a vedere se il router della rete2 supporta delle route statiche così lo fa automaticamente per tutti i dispositivi.

Inviato dal mio MI 8 utilizzando Tapatalk