3G/4G VPN senza ip pubblico statico



  • Buongiorno a tutti,

    vi chiedo consiglio:
    devo pensare di realizzare una rete VPN site-to-site tra due postazioni tramite SIM 3G/4G.
    Presupposto per la rete è che il server abbia IP STATICO, ma vodafone non da ip statico e per di più natta il traffico… senza passare dal contratto M2M.
    Conoscete provider che permettano di realizzare la comunicazione tra le due sim senza piani tariffari ad hoc?



  • fino a qualche mese fa c'era TIM che , pur essendo dinamico e quindi occorreva utilizzare uno dei tanti servizi DDNS (no-ip , dyndns , ecc.) , ora anche loro sono passati al sistema "IP nattato" e quindi non pubblico e quindi … non raggiungibile .... questo è quanto mi risulta ad oggi ...



  • Il problema di fondo è che non ci sono più indirizzi IPv4; i provider stanno infatti usando già da tempo indirizzi privati con NAT sulla loro infrastruttura.

    In questi ultimi giorni invece, in maniera non uniforme sul territorio italiano, quasi tutte le connessioni 3g/4g consumer di qualunque provider cellulare stanno passando ad indirizzi privati nattati. Anche se in questo momento la propria connessione è su un ip pubblico, non c'è certezza che la prossima volta che si connetterà continui ad essere così.

    Anche alcuni provider wireless hanno iniziato a fornire indirizzi privati ai nuovi contratti "salvo richiesta esplicita" (il che fa presagire che il diritto di avere un ip pubblico anche dinamico possa essere successivamente negato o tariffato diversamente).

    E' ovvio che questo determinerà (fino all'introduzione di IPv6, la cui disponibilità di offerte è ancora scarsa nel nostro paese) l'aumento medio del prezzo delle connettività per avere un indirizzo pubblico garantito, per non parlare del costo degli ip statici, che non ho mai visto offrire su rete 3g/4g.

    Per quanto riguarda specificatamente i provider cellulari, impegnati oggi ad acquisire nuovi clienti consumer grazie alle nuove connettività a HSPA/LTE (21Mbps/42Mbps) competitive per prestazioni alle linee fisse, non sono ancora state definite con esattezza le opzioni commerciali per richiedere l'IP pubblico sulla connessione (provate a parlare con il customer care di un qualunque operatore e ve ne renderete conto); occorre però ricordare che caratteristiche come ad es. "M2M" (che è un'opzione commerciale, non tecnica) vengono solo offerte per le aziende. D'altronde, come dicono loro ai privati "non c'è scritto da nessuna parte che con questa connessione un ip pubblico sia garantito" e "sono fatte solo per dare l'accesso ad internet".

    L'impressione che ho quindi avuto come professionista IT e parlando con gli operatori cellulari è che il problema non venga reso palese in attesa che il mercato si abitui alla variazione, con un aumento delle tariffe per chi vorrà fare servizi inbound; d'altronde l'uso di VPN site-to-site, controllo remoto e voip (che sostanzialmente si basano sulla possibilità di fare traffico entrante) sono applicazioni meno diffuse rispetto alla richiesta di connettività standard (basata su traffico uscente).

    Vista questa situazione, mi sono personalmente già orientato sulle seguenti opzioni, da cui sono sempre derivati costi maggiori:

    • dove possibile, non usare connettività cellulare per VPN / controllo remoto / voip ma preferire linee cablate, con ip statico
    • dove è richiesta mobilità, richiedere contratti business con ip dinamico pubblico garantito e senza nat

    In alternativa e per concludere (ma con ulteriore aggravio economico/gestionale), rimarrebbe tecnicamente possibile creare vpn site-to-site (quindi collegare anche più siti tra loro) creando un "centro stella vpn" usando un firewall pfsense appoggiato ad una connettività con ip pubblico e facendolo raggiungere da "nodi periferici" su connettività 3g "private", utilizzandole quindi solo in modalità outbound.

    Quella della "VPN centrale" è la tecnica che ha da tempo distinto Teamviewer da altre soluzioni di controllo remoto, essa infatti basa la propria superiorità proprio sulla non necessità di configurare il traffico entrante o di avere una connessione "aperta", tutto quello che serve è disporre un "accesso ad internet", quindi anche una connessione 3g/4g nattata va bene.

    Chi soffrirà maggiormente di questa situazione (almeno nel primo periodo) è sicuramente il cliente privato, ormai avvezzo a  piccole implementazioni di controllo remoto/telesorveglianza/voip che hanno improvvisamente smesso di funzionare.


Log in to reply