collegare più router in parallelo

Rr-mario92 · 12 apr 2023

Salve,
premetto che sono appena iscritto e questo è il mio primo post.
Non ho trovato la soluzione al mio problema in altre discussioni, spero possiate essere d'aiuto.
Inizio con descrivere la mia attuale configurazione:
Ho connessione Tim 1Gb con in cascata un frtzbox 7490 collegato WAN-LAN, così usi il Tim solo come modem e gestisco tutto dal fritz (che è un bomba).
il problema nasce ora...
Ho un'altra rete LAN (altro router separato che da ora chiameremo router2) alla quale sono collegati alcuni dispositivi, tra i quali PLC di vari impianti.
vorrei collegare insieme queste due reti, quella del fritz e del router2. Il tutto vorrei farlo sullo stesso livello IP, per intenderci allo stesso indirizzo 192.168.1 e ad ogni router assegnare un diverso intervallo di IP (così da non mandarli in conflitto nell'assegnazione degli indirizzi ai vari dispositivi)
In questo modo i dispositivi delle due reti possono vedersi tra loro, e questo già di per se è un vantaggio, ma soprattutto, se il fritzbox, per un motivo qualsiasi, dovrei riavviarlo o si spegnesse, i PLC rimarrebbero collegati tra loro perchè il loro ip sarà gestito dal router2.

attualmente il router2 è collegato tramite porta WAN con indirizzo 192.168.2.1 , quindi vede i dispositivi della rete del fritz 192.168.1.1
premetto che il mio attuale router2 non permette il collegamento lan-lan (è sottolineato proprio nel manuale) chiedo vostro consiglio se tale configurazione è fattibile e che tipo di router consigliate (non mi interessa il wifi sul router2)
In giro per internet leggo solamente di router in cascata disabilitando il dhcp e altre funzioni, riducendoli a semplici switch, ma in caso di caduta del fritz i plc rimarranno sconnessi, impossibilitati a comunicare tra loro paralizzando l'intero processo dell'azienda.

Grazie in anticipo per i vostri consigli.

x_term · 12 apr 2023

r-mario92 intanto, davvero un FritzBox per una rete con plc che costeranno migliaia di euro?
Secondo, se non supporta LAN-LAN non puoi avere lo stesso indirizzamento, le due reti non potrebbero ruotare traffico perché per loro la rete locale è quella ed ha gli stessi numeri della rete remota.
Al massimo puoi mettere il Fritz in modo client IP, usare il TIM Hub per gestire il tutto e su router2 spegnere il firewall/aprire tutte le porte per consentire la comunicazione Fritz>router2.
Oppure ancora, elimini il router TIM, usi router2 come principale e in cascata il Fritz in client IP.

[cancellato] · 12 apr 2023

r-mario92

Mi sembra che ti serva uno switch, non un altro router - i router si usano appunto quando si hanno sottoreti diverse e occorre farle comunicare fra di loro.

Se i PLC sono configurati per usare DHCP e ci dipende l'intero processo dell'azienda non mi affiderei al server DHCP di un Fritz o altro router consumer. Ci sono switch [smart] managed che hanno anche un server DHCP.

Comunque se metti tutti i dispositivi nella stessa subnet, e hai due server DHCP nella subnet (che offrono range separati), i dispositivi prenderanno l'IP del server che risponde per primo, non puoi decidere tu facilmente da quale server ottenere l'IP - specialmente con server DHCP non configurabili come quelli di router consumer. Comunque finché hanno un IP valido per la sottorete funzioneranno.

Se vuoi soluzioni fault-tolerant è possibile avere server DHCP in cluster/failover - si può fare con un paio di serverini Linux.

mark129 · 12 apr 2023

r-mario92 Il tutto vorrei farlo sullo stesso livello IP, per intenderci allo stesso indirizzo 192.168.1 e ad ogni router assegnare un diverso intervallo di IP (così da non mandarli in conflitto nell'assegnazione degli indirizzi ai vari dispositivi)

E qual è il senso o la ragione di questi vincoli?

r-mario92 in caso di caduta del fritz i plc rimarranno sconnessi

Non mi è chiaro cosa scrivi: se la subnet è la stessa per tutti i PLC, cosa gliene importa del Fritz?

Rr-mario92 · 13 apr 2023

[cancellato]
grazie per la risposta, dimenticavo di specificare che non sono un esperto, la tua è stata l'unica risposta semplice da capire per me, grazie.
Quindi, se ho capito bene, configurando un ip statico nelle impostazioni dei PLC, essi continueranno a comunicare tra loro anche senza router, ma solamente se collegati ad uno switch? se si ci sono diverse tipologie di Switch per supportare tale cosa o va bene uno qualsiasi? (non sapevo ci fossero diversi tipi )

Comunque, spiego alcune cose anche per gli altri: il tim e il fritz sono nati molti anni fa solo per l'ufficio, solo di recente si sono aggiunti i plc e di conseguenza il router2. Oggi vorrei connettere il tutto per poter gestire i plc, oltre che da remoto (il fritz gli darà la connessione internet) ma anche in rete lan mentre sono in ufficio, o da smartphone (connesso al wifi del fritz).
tale cosa sarà possibile solo se collego il fritz con i router2 (o altra configurazione per la quale cerco consiglio qui sul forum)

grazie sempre per l'attenzione.

mark129 · 13 apr 2023

r-mario92 Oggi vorrei connettere il tutto per poter gestire i plc, oltre che da remoto (il fritz gli darà la connessione internet) ma anche in rete lan mentre sono in ufficio, o da smartphone (connesso al wifi del fritz).
tale cosa sarà possibile solo se collego il fritz con i router2 (o altra configurazione per la quale cerco consiglio qui sul forum)

Routing e subnetting sono due aspetti collegati ma diversi, che si possono sovrapporre in vari modi.

In una rete IP tutti i device (PC, smartphone, PLC) connessi fisicamente tra loro e che condividono la stessa subnet (che si compone dell'indirizzo di rete, 192.168.1.0 E della relativa netmask, 255.255.255.0, entrambe modificabili) "si vedono" tra loro.
Anche i device connessi fisicamente tra loro su subnet diverse possono "vedersi" fra loro se esistono dei gateway che fanno routing tra le diverse subnet.
Quindi ci sono diverse strade per avere questo collegamento fisico e logico che rispondono a diverse esigenze e si adattano a differenti vincoli (per es. dici che router2 non può fare routing sulle porte LAN - cosa che il Fritz fa, invece - ma forse lo può fare sulla porta WAN).

MaxBarbero · 13 apr 2023

r-mario92 ma non ha più senso, anche per una questione di sicurezza, prendere un router decente che gestisca il tutto, tenere separati PLC e altri dispositivi in 2 vlan distinte, e magari eliminare anche il router Tim (se contrattualmente si può fare)?

Rr-mario92 · 13 apr 2023

MaxBarbero
il Vlan sarebbe una soluzione, quindi anche se i due router si trovano su livelli diversi, tramite vlan (ovviamente con le opportune configurazioni/credenziali) possono vedersi?
scusa se le mie domande possono essere stupide, ma sono un principiante e soprattutto in riferimento alle vlan, non ho la minima idea di come si impostano e usino.
per questo posso sempre vedere come impostare tale configurazione cercando su Google.
Se mi dite che questo fa al caso mio, faccio una prova.
in effetti 1)rimarrei separate le reti per maggiore sicurezza, 2)do accesso online alla seconda rete, 3) solo io che ho le credenziali della vlan posso accedervi dalla rete lan de fritz.
è così che funzionerebbe?
ps, ho omesso il modello del router2 "tp link er605"

SSuxsem · 13 apr 2023

Concordo sul fatto che hai molti modi per risolvere il problema e che togliere di mezzo uno (o anche due, se puoi sostituire il router dell'ISP, ovvero il tim hub) ti semplificherebbe la vita, ma date le dichiarate poche conoscenze in materie provo a indicarti la soluzione che richiede meno interventi possibili. (Presuppone che ho compreso bene la topologia attuale, ovvero WAN del fritzbox collegata ad una LAN del tim hub e WAN del tplink collegata ad una LAN del fritzbox, e che la subnet del tplink sia 192.168.2.1/24, /24 vuol dire che la maschera di rete è formata da 24 bit su 32 settati ad 1, ovvero 255.255.255.0)

1) Fissiamo l'IP del router2 sul fritzbox: per far ciò segui il punto 2 di questa guida (https://it.avm.de/assistenza/banca-dati-informativa/dok/FRITZ-Box-7360-int/201_Far-assegnare-dal-FRITZ-Box-a-un-dispositivo-della-rete-sempre-lo-stesso-indirizzo-IP/). In questo modo il DHCP del fritzbox assegnerà sempre lo stesso IP al tplink (router2). Segnati questo IP che FARO' FINTA essere nel tuo caso 192.168.1.99

2) Creiamo una rotta statica sul fritzbox verso la subnet 192.168.2.1/24, attraverso 192.168.1.99 ovvero attraverso il tplink: per far ciò segui il punto 1 di questa guida: (https://it.avm.de/assistenza/banca-dati-informativa/dok/FRITZ-Box-4040/581_Creare-una-route-IP-statica-nel-FRITZ-Box/), Nel campo "Rete IPv4" metti 192.168.2.1, nel campo "Maschera di sottorete" metti 255.255.255.0, nel campo "Gateway" metti 192.168.1.99 (ovvero l'IP riservato al tplink prima) e spunta la casella per attivare la rotta.

Fatto.

Risultato:
Lato rete dei PLC non cambia nulla: quando un host (dispositivo) della rete dei PLC prova ad andare a raggiungere un PC dell'ufficio (sotto fritzbox) ci riuscirà perché il tplink, non avendo nella sua tabella di routing la 192.168.1.1/24 userà la rotta di default che passa per il fritzbox 192.168.1.1. Se proveranno ad andare su internet il fritzbox a sua volta userà la sua rotta di default verso il tim hub.
Quello che cambia è quando vuoi raggiungere un host della rete dei PLC DALLA rete dell'ufficio: il fritzbox si rende conto che un dispositivo 192.168.2.x è raggiungibile attraverso il tplink e non inoltrerà il pacchetto al tim hub ma al tplink.
Ciò ti permette di raggiungere i PLC anche dall'esterno configurando il port forwarding sul tim hub (al fritzbox), sul fritzbox (al tplink) e sul tplink, MA NON LO FAREI IN ALCUN CASO in quanto stai esponendo i PLC all'esterno! Il tplink ha un buon supporto VPN, mi configurerei quella per raggiungere i PLC da casa.

Svantaggi di questo approccio:

I dispositivi della rete dei PLC sono sotto doppia NAT (potenzialmente tripla se anche il fritzbox natta verso il tim hub). In linea teorica ciò non costituisce un problema (i router trasformeranno IP e porte correttamente ed in maniera automatica) ma per alcune applicazioni specifiche (soprattutto quelle che involgono connessioni peer to peer) potresti sperimentare alcuni blocchi. In questa configurazione la cosa ideale sarebbe spegnere la NAT lato tplink ma purtroppo sul tuo specifico router ciò è impossibile (https://community.tp-link.com/en/home/forum/topic/571608)
Alcuni protocolli di auto-discovery nella rete (tipo il mDNS, che permette ai dispositivi di "annunciarsi" sulla rete) ed il traffico di tipo broadcast non viaggeranno tra la rete dell'ufficio e quella dei PLC. Ci sarebbe la necessità di utilizzare dei reflector che sono in grado di inoltrare questo tipo di traffico, ma in un tutta onestà nel tuo scenario lo considero un vantaggio il fatto di segregare questo tipo di traffico.

Quando sarai più esperto con le VLAN butta via tutto, metti un unico buon gateway al posto del tim hub e lavora con switch e traffico taggato tramite VLAN a valle, possibilmente ridondando gli switch (è facile, basta collegarli insieme al gateway con una coppia di cavi ed attivare l'STP per evitare loop) e magari anche il gateway (lì ogni vendor ha i propri protocolli di fault-tolerancy), ciò ti permetterà anche di filtrare puntualmente il traffico tra le subnet.

Buon divertimento!

SSuxsem · 13 apr 2023

Un velocissimo spunto relativo all'alta disponibilità a livello di gateway, che ho citato prima.
Ti riporto un'immagine per darti un'idea:

I dispositivi in alto sono firewall della Sophos (nel tuo caso ovviamente non sono necessari quei modelli, punterei verso l'XGS87 o simili).

Detto ciò un'infrastruttura del genere deve essere un minimo giustificata, perché il costo di questi dispositivi, più il cablaggio, più la necessità di avere due connessioni ad Internet (preferibilmente con due provider diversi) non sono da poco. Se in azienda potete accettare un disservizio temporaneo che richieda intervento manuale allora non m'inoltrerei nel mondo dell'alta disponibilità sia per i costi che per il tempo richiesti

mark129 · 13 apr 2023

Suxsem Ciò ti permette di raggiungere i PLC anche dall'esterno configurando il port forwarding sul tim hub (al fritzbox), sul fritzbox (al tplink) e sul tplink, MA NON LO FAREI IN ALCUN CASO in quanto stai esponendo i PLC all'esterno! Il tplink ha un buon supporto VPN, mi configurerei quella per raggiungere i PLC da casa.

Ammettendo per ipotesi che lo voglia fare ("esporre" su Internet i PLC), invece del port forwarding non potrebbe semplicemente mettere una /22 come netmask per tutti e quindi con un unico dominio di broadcast far lavorare ARP per il discovery?

SSuxsem · 13 apr 2023

mark129 sono piuttosto convinto che non funzionerebbe a causa del nat, ma ci penso meglio!

[cancellato] · 13 apr 2023

r-mario92 Quindi, se ho capito bene, configurando un ip statico nelle impostazioni dei PLC, essi continueranno a comunicare tra loro anche senza router, ma solamente se collegati ad uno switch?

Con un IP statico non avranno bisogno di DHCP. Se usare DHCP o meno è una tua scelta. Comunque finché c'è almeno un server DHCP che funziona sulla rete, i dispositivi saranno in grado di ottenere un indirizzo IP, il problema è se non ci sono server funzionanti perché allo scadere del lease potrebbero non funzionare più.

Ovviamente perché i dispositivi si parlino fra loro ci vuole almeno uno switch. Quello che tu chiami "router" è in realtà un dispositivo che fa sia da router (fra interfaccia WAN e interfacce LAN) sia da semplice switch (fra interfacce LAN). Può essere più pratico separare i due dispositivi, anche per avere più porte perché difficilmente un router consumer ha più di 4/5 porte LAN - gli switch arrivano facilmente fino a 48 e sono anche "stackabili".

Uno switch di solito lavora a livello Ethernet - guarda a quale MAC address è indirizzato un pacchetto, guarda nella sua tabella a che porta è quell'indirizzo, e manda il pacchetto lì. Un dispositivo manda il pacchetto al suo gateway (router) solo quando è per una rete diversa dalla sua. Il router guarda l'indirizzo di destinazione IP e cerca nella sua tabella di reti per vedere se sa dove inoltrarlo.

Quindi finché i dispositivi sono nella stessa rete, basta uno switch. Quando devono andare su internet che è una rete diversa ci vuole un router - oppure se nella LAN ci sono più sottoreti separate. Ci sono valide ragioni per creare sottoreti separate in una LAN, per isolare il traffico. Nel tuo caso potrebbe essere opportuno che i PLC non siano nella stessa rete di altre macchine che non hanno bisogno di accederci.

L'isolamento delle reti viene fatto di solito con le VLAN - queste funzionano a livello Ethernet e isolano il traffico (i Fritz non supportano le VLAN) efficacemente. Poi, se si vuole che tutto o parte del traffico sia in grado di passare da una VLAN all'altra, si assegnano sottoreti (a livello IP, quindi) alle VLAN, e si usa un router per far passare il traffico fra una VLAN e un'altra, e magari anche un firewall per limitare quale traffico può passare).

r-mario92 ci sono diverse tipologie di Switch per supportare tale cosa o va bene uno qualsiasi?

Ci sono diversi tipi di switch, a costi diversi:

unmanaged: sono i più economici ma non hanno altra funzione che far comunicare tra loro i dispositivi
managed layer 2: costano un po' di più ma offrono funzioni più sofisticate a livell Ethernet come VLAN, link-aggregation, ecc. Le versione chiamate "smart managed" sono in genere un po' semplificate nelle funzioni, e hanno una interfaccia web di gestione, a costi un poco inferiori. Comunque le funzioni base e più utili ci sono
manager layer 3: costano di più ma offrono anche funzionalità di routing e altri servizi a livello TCP/IP. Anche questi si trovano in versione smart managed.

Trovi anche alcuni switch a metà fra i L2 e L3, in genere con funzioni L3 un po' più limitate.

Direi che devi prima decidere che rete vuoi (un'unica rete, sottoreti separate) e poi si può decidere come implementarla al meglio. Se non sei esperto però mi farei seguire da un professionista, specialmente se è un'azienda e ci sono costi importanti in caso di fermo.

Rr-mario92 · 13 apr 2023

Grazie davvero per le molte risposte dettagliate ed esaustive.
Mi pare di iniziare a capire come fare.
Premesso che, lato sicurezza può non essere elevata perchè i pc li suiamo solo noi di famiglia, tutti gli altri smartphone wifi li collego con la rete ospite del fritz limitandoli. Quindi i pc dell'ufficio possono collegarsi alla stessa lan dei plc (stesso livello).

Da ciò sarei propenso a provare questa soluzione, sotto vostra correzione:
Sostituire il router2 con uno switch, magari uno managed, senza attivare vlan, vpn ecc.... per semplificare la configurazione alla mia poca conoscenza, limitando anche i costi nel non comprare altro.
Se ho capito bene, poichè i plc avranno un loro ip statico (assicurandomi che siano sullo stesso livello del fritz e su di esso riservarli a loro per non assegnarli automaticamente ad altri dispositivi), anche collegandoli tra loro con solamente lo switch dovrebbero continuare a poter comunicare tra loro?
Quindi se poi collego lo switch al fritz gli do accesso non solo ad internet, ma soprattutto (quello che interessa) alla lan dove è connesso l'ufficio da cui posso "gestirli".
gestirli da casa/remoto non mi interessa se compromette la sicurezza, (ammesso di saperci mettere le mani per farlo), quindi non aprirò nessuna porta o altro.

MaxBarbero · 13 apr 2023

Suxsem Ciò ti permette di raggiungere i PLC anche dall'esterno configurando il port forwarding sul tim hub (al fritzbox), sul fritzbox (al tplink) e sul tplink, MA NON LO FAREI IN ALCUN CASO in quanto stai esponendo i PLC all'esterno! Il tplink ha un buon supporto VPN, mi configurerei quella per raggiungere i PLC da casa.

Meglio usare un tunnel cloudflare a quel punto piuttosto che esporre diretto con un port forwarding

[cancellato] · 13 apr 2023

r-mario92 Sostituire il router2 con uno switch, magari uno managed, senza attivare vlan, vpn ecc.... per semplificare la configurazione

Puoi anche cominciare con una configurazione semplice e poi man man che acquisisci esperienza passare a una configurazione più complessa. Uno switch manged appena installato funziona come un unmanaged - finché non lo configuri altrimenti. Tocca te decidere quanto vuoi spendere per lo switch. Se pensi però di non usare mai certe funzioni può non aver senso spendere di più.

r-mario92 collegandoli tra loro con solamente lo switch dovrebbero continuare a poter comunicare tra loro?

Se hanno IP statici continueranno a comunicare finché funziona lo switch. Se non vai proprio al risparmio estremo, gli switch sono dispositivi piuttosto robusti.

r-mario92 Quindi se poi collego lo switch al fritz gli do accesso non solo ad internet, ma soprattutto (quello che interessa) alla lan dove è connesso l'ufficio da cui posso "gestirli".

Esatto. Senza configurazioni particolari, uno switch è un "replicatore di porte" per connettere più dispositivi alla stessa rete. Se tutto quello che occorre è ampliare una rete, è molto più semplice usare uno switch che un router - gli switch hanno proprio quello scopo.

SSuxsem · 13 apr 2023

MaxBarbero dipende dal tipo di protocollo da esporre. Gli argo tunnel di Cloudflare consentono solo traffico web (http, https e websocket)

@"r-mario92" in linea di principio ciò che hai detto funziona. A quel punto ricordati solo di limitare il pool (ovvero il range) degli indirizzi assegnati dal dhcp del fritz e di scegliere per i plc indirizzi statici fuori da quel pool ma sempre all'interno della subnet del fritz (192.168.1.x)

MaxBarbero · 13 apr 2023

Suxsem dipende dal tipo di protocollo da esporre. Gli argo tunnel di Cloudflare consentono solo traffico web (http, https e websocket)

in realtà ho visto che esporta anche altri protocolli (tcp, ssh, rdp, etc..), ma come dici tu, va visto il metodo di connessione per stabilire se può essere una soluzione.

Non sapendo il budget, io comunque sostituirei il tutto con un sistema semplice ma almeno prosumer che mi permetta abbastanza semplicemente di configurare il tutto con le vlan. Se è un sistema di produzione non farei troppi esperimenti con dei router e switch customer che, per carità funzionano anche, ma troppe cose diverse diventano difficili da gestire.

Rr-mario92 · 13 apr 2023

[cancellato]
ok, confermi che un po c isto capendo, già il fatto che la mia proposta funziona e buona cosa.
Risparmio si ma nei limiti della mia applicazione, estremo no, perché comunque vi devo lavorare, troppo costosa no perché tanto non la utilizzerei, siamo una piccola azienda quindi per le ridotte dimensioni può essere gestita im, diciamo, "media economia"

[cancellato] Se pensi però di non usare mai certe funzioni può non aver senso spendere di più.
https://amzn.eu/d/371GHe9 ho trovato questo, direi dovrebbe andare considerando anche il costo sostenuto.
anche se per ora inizio collegando tutto ad un semplice switch e provando se funziona il tutto.

Suxsem A quel punto ricordati solo di limitare il pool (ovvero il range) degli indirizzi assegnati dal dhcp del fritz e di scegliere per i plc indirizzi statici fuori da quel pool ma sempre all'interno della subnet del fritz (192.168.1.x)

grazie per il dettaglio, a quel punto, anche se l'IP è fuori dal pool del fritz, stando sollo stesso livello, riesco a raggiungerlo digitando l'indirizzo nel browser (giusto per fare un esempio)
così avrei la conferma definitiva (grazie ai vostri consigli e risposte positive alla mia proposta) che posso fare questa prova.

SSuxsem · 13 apr 2023

MaxBarbero
per qualunque protocollo non web-based è necessario connettere i client remote alla rete cloudflare attraverso Cloudflare WARP (https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/), di fatto diventa una VPN.
Inoltre, anche se fosse web-based, sarebbe comunque esporre i PLC all'esterno; in questo caso invece di conoscere l'IP WAN devi conoscere l'hostname del tunnel (ovvio che la sicurezza migliora in quanto viene esposta una specifica porta e volendo uno specifico path ma essendo PLC che controllano potenzialmente macchinari industriali metterei la sicurezza al primo posto).
Infine, è necessario avere un server attivo h24 (e configurato) su cui far girare il demone di cloudflared. Visto che ha già il router della tplink con supporto VPN forse nel SUO caso è più semplice

r-mario92 grazie per il dettaglio, a quel punto, anche se l'IP è fuori dal pool del fritz, stando sollo stesso livello, riesco a raggiungerlo digitando l'indirizzo nel browser (giusto per fare un esempio)
così avrei la conferma definitiva (grazie ai vostri consigli e risposte positive alla mia proposta) che posso fare questa prova.

"stando sullo stesso livello" intendi dire che fanno parte della stessa rete IP e sì, è corretto