MaxBarbero
il Vlan sarebbe una soluzione, quindi anche se i due router si trovano su livelli diversi, tramite vlan (ovviamente con le opportune configurazioni/credenziali) possono vedersi?
scusa se le mie domande possono essere stupide, ma sono un principiante e soprattutto in riferimento alle vlan, non ho la minima idea di come si impostano e usino.
per questo posso sempre vedere come impostare tale configurazione cercando su Google.
Se mi dite che questo fa al caso mio, faccio una prova.
in effetti 1)rimarrei separate le reti per maggiore sicurezza, 2)do accesso online alla seconda rete, 3) solo io che ho le credenziali della vlan posso accedervi dalla rete lan de fritz.
è così che funzionerebbe?
ps, ho omesso il modello del router2 "tp link er605"

    Concordo sul fatto che hai molti modi per risolvere il problema e che togliere di mezzo uno (o anche due, se puoi sostituire il router dell'ISP, ovvero il tim hub) ti semplificherebbe la vita, ma date le dichiarate poche conoscenze in materie provo a indicarti la soluzione che richiede meno interventi possibili. (Presuppone che ho compreso bene la topologia attuale, ovvero WAN del fritzbox collegata ad una LAN del tim hub e WAN del tplink collegata ad una LAN del fritzbox, e che la subnet del tplink sia 192.168.2.1/24, /24 vuol dire che la maschera di rete è formata da 24 bit su 32 settati ad 1, ovvero 255.255.255.0)

    1) Fissiamo l'IP del router2 sul fritzbox: per far ciò segui il punto 2 di questa guida (https://it.avm.de/assistenza/banca-dati-informativa/dok/FRITZ-Box-7360-int/201_Far-assegnare-dal-FRITZ-Box-a-un-dispositivo-della-rete-sempre-lo-stesso-indirizzo-IP/). In questo modo il DHCP del fritzbox assegnerà sempre lo stesso IP al tplink (router2). Segnati questo IP che FARO' FINTA essere nel tuo caso 192.168.1.99

    2) Creiamo una rotta statica sul fritzbox verso la subnet 192.168.2.1/24, attraverso 192.168.1.99 ovvero attraverso il tplink: per far ciò segui il punto 1 di questa guida: (https://it.avm.de/assistenza/banca-dati-informativa/dok/FRITZ-Box-4040/581_Creare-una-route-IP-statica-nel-FRITZ-Box/), Nel campo "Rete IPv4" metti 192.168.2.1, nel campo "Maschera di sottorete" metti 255.255.255.0, nel campo "Gateway" metti 192.168.1.99 (ovvero l'IP riservato al tplink prima) e spunta la casella per attivare la rotta.

    Fatto.

    Risultato:
    Lato rete dei PLC non cambia nulla: quando un host (dispositivo) della rete dei PLC prova ad andare a raggiungere un PC dell'ufficio (sotto fritzbox) ci riuscirà perché il tplink, non avendo nella sua tabella di routing la 192.168.1.1/24 userà la rotta di default che passa per il fritzbox 192.168.1.1. Se proveranno ad andare su internet il fritzbox a sua volta userà la sua rotta di default verso il tim hub.
    Quello che cambia è quando vuoi raggiungere un host della rete dei PLC DALLA rete dell'ufficio: il fritzbox si rende conto che un dispositivo 192.168.2.x è raggiungibile attraverso il tplink e non inoltrerà il pacchetto al tim hub ma al tplink.
    Ciò ti permette di raggiungere i PLC anche dall'esterno configurando il port forwarding sul tim hub (al fritzbox), sul fritzbox (al tplink) e sul tplink, MA NON LO FAREI IN ALCUN CASO in quanto stai esponendo i PLC all'esterno! Il tplink ha un buon supporto VPN, mi configurerei quella per raggiungere i PLC da casa.

    Svantaggi di questo approccio:

    • I dispositivi della rete dei PLC sono sotto doppia NAT (potenzialmente tripla se anche il fritzbox natta verso il tim hub). In linea teorica ciò non costituisce un problema (i router trasformeranno IP e porte correttamente ed in maniera automatica) ma per alcune applicazioni specifiche (soprattutto quelle che involgono connessioni peer to peer) potresti sperimentare alcuni blocchi. In questa configurazione la cosa ideale sarebbe spegnere la NAT lato tplink ma purtroppo sul tuo specifico router ciò è impossibile (https://community.tp-link.com/en/home/forum/topic/571608)
    • Alcuni protocolli di auto-discovery nella rete (tipo il mDNS, che permette ai dispositivi di "annunciarsi" sulla rete) ed il traffico di tipo broadcast non viaggeranno tra la rete dell'ufficio e quella dei PLC. Ci sarebbe la necessità di utilizzare dei reflector che sono in grado di inoltrare questo tipo di traffico, ma in un tutta onestà nel tuo scenario lo considero un vantaggio il fatto di segregare questo tipo di traffico.

    Quando sarai più esperto con le VLAN butta via tutto, metti un unico buon gateway al posto del tim hub e lavora con switch e traffico taggato tramite VLAN a valle, possibilmente ridondando gli switch (è facile, basta collegarli insieme al gateway con una coppia di cavi ed attivare l'STP per evitare loop) e magari anche il gateway (lì ogni vendor ha i propri protocolli di fault-tolerancy), ciò ti permetterà anche di filtrare puntualmente il traffico tra le subnet.

    Buon divertimento!

      Un velocissimo spunto relativo all'alta disponibilità a livello di gateway, che ho citato prima.
      Ti riporto un'immagine per darti un'idea:

      I dispositivi in alto sono firewall della Sophos (nel tuo caso ovviamente non sono necessari quei modelli, punterei verso l'XGS87 o simili).

      Detto ciò un'infrastruttura del genere deve essere un minimo giustificata, perché il costo di questi dispositivi, più il cablaggio, più la necessità di avere due connessioni ad Internet (preferibilmente con due provider diversi) non sono da poco. Se in azienda potete accettare un disservizio temporaneo che richieda intervento manuale allora non m'inoltrerei nel mondo dell'alta disponibilità sia per i costi che per il tempo richiesti

      Suxsem Ciò ti permette di raggiungere i PLC anche dall'esterno configurando il port forwarding sul tim hub (al fritzbox), sul fritzbox (al tplink) e sul tplink, MA NON LO FAREI IN ALCUN CASO in quanto stai esponendo i PLC all'esterno! Il tplink ha un buon supporto VPN, mi configurerei quella per raggiungere i PLC da casa.

      Ammettendo per ipotesi che lo voglia fare ("esporre" su Internet i PLC), invece del port forwarding non potrebbe semplicemente mettere una /22 come netmask per tutti e quindi con un unico dominio di broadcast far lavorare ARP per il discovery?

      • Suxsem ha risposto a questo messaggio

          mark129 sono piuttosto convinto che non funzionerebbe a causa del nat, ma ci penso meglio!

            • [cancellato]

            • Messaggio #13

            r-mario92 Quindi, se ho capito bene, configurando un ip statico nelle impostazioni dei PLC, essi continueranno a comunicare tra loro anche senza router, ma solamente se collegati ad uno switch?

            Con un IP statico non avranno bisogno di DHCP. Se usare DHCP o meno è una tua scelta. Comunque finché c'è almeno un server DHCP che funziona sulla rete, i dispositivi saranno in grado di ottenere un indirizzo IP, il problema è se non ci sono server funzionanti perché allo scadere del lease potrebbero non funzionare più.

            Ovviamente perché i dispositivi si parlino fra loro ci vuole almeno uno switch. Quello che tu chiami "router" è in realtà un dispositivo che fa sia da router (fra interfaccia WAN e interfacce LAN) sia da semplice switch (fra interfacce LAN). Può essere più pratico separare i due dispositivi, anche per avere più porte perché difficilmente un router consumer ha più di 4/5 porte LAN - gli switch arrivano facilmente fino a 48 e sono anche "stackabili".

            Uno switch di solito lavora a livello Ethernet - guarda a quale MAC address è indirizzato un pacchetto, guarda nella sua tabella a che porta è quell'indirizzo, e manda il pacchetto lì. Un dispositivo manda il pacchetto al suo gateway (router) solo quando è per una rete diversa dalla sua. Il router guarda l'indirizzo di destinazione IP e cerca nella sua tabella di reti per vedere se sa dove inoltrarlo.

            Quindi finché i dispositivi sono nella stessa rete, basta uno switch. Quando devono andare su internet che è una rete diversa ci vuole un router - oppure se nella LAN ci sono più sottoreti separate. Ci sono valide ragioni per creare sottoreti separate in una LAN, per isolare il traffico. Nel tuo caso potrebbe essere opportuno che i PLC non siano nella stessa rete di altre macchine che non hanno bisogno di accederci.

            L'isolamento delle reti viene fatto di solito con le VLAN - queste funzionano a livello Ethernet e isolano il traffico (i Fritz non supportano le VLAN) efficacemente. Poi, se si vuole che tutto o parte del traffico sia in grado di passare da una VLAN all'altra, si assegnano sottoreti (a livello IP, quindi) alle VLAN, e si usa un router per far passare il traffico fra una VLAN e un'altra, e magari anche un firewall per limitare quale traffico può passare).

            r-mario92 ci sono diverse tipologie di Switch per supportare tale cosa o va bene uno qualsiasi?

            Ci sono diversi tipi di switch, a costi diversi:

            • unmanaged: sono i più economici ma non hanno altra funzione che far comunicare tra loro i dispositivi
            • managed layer 2: costano un po' di più ma offrono funzioni più sofisticate a livell Ethernet come VLAN, link-aggregation, ecc. Le versione chiamate "smart managed" sono in genere un po' semplificate nelle funzioni, e hanno una interfaccia web di gestione, a costi un poco inferiori. Comunque le funzioni base e più utili ci sono
            • manager layer 3: costano di più ma offrono anche funzionalità di routing e altri servizi a livello TCP/IP. Anche questi si trovano in versione smart managed.

            Trovi anche alcuni switch a metà fra i L2 e L3, in genere con funzioni L3 un po' più limitate.

            Direi che devi prima decidere che rete vuoi (un'unica rete, sottoreti separate) e poi si può decidere come implementarla al meglio. Se non sei esperto però mi farei seguire da un professionista, specialmente se è un'azienda e ci sono costi importanti in caso di fermo.

                Grazie davvero per le molte risposte dettagliate ed esaustive.
                Mi pare di iniziare a capire come fare.
                Premesso che, lato sicurezza può non essere elevata perchè i pc li suiamo solo noi di famiglia, tutti gli altri smartphone wifi li collego con la rete ospite del fritz limitandoli. Quindi i pc dell'ufficio possono collegarsi alla stessa lan dei plc (stesso livello).

                Da ciò sarei propenso a provare questa soluzione, sotto vostra correzione:
                Sostituire il router2 con uno switch, magari uno managed, senza attivare vlan, vpn ecc.... per semplificare la configurazione alla mia poca conoscenza, limitando anche i costi nel non comprare altro.
                Se ho capito bene, poichè i plc avranno un loro ip statico (assicurandomi che siano sullo stesso livello del fritz e su di esso riservarli a loro per non assegnarli automaticamente ad altri dispositivi), anche collegandoli tra loro con solamente lo switch dovrebbero continuare a poter comunicare tra loro?
                Quindi se poi collego lo switch al fritz gli do accesso non solo ad internet, ma soprattutto (quello che interessa) alla lan dove è connesso l'ufficio da cui posso "gestirli".
                gestirli da casa/remoto non mi interessa se compromette la sicurezza, (ammesso di saperci mettere le mani per farlo), quindi non aprirò nessuna porta o altro.

                  Suxsem Ciò ti permette di raggiungere i PLC anche dall'esterno configurando il port forwarding sul tim hub (al fritzbox), sul fritzbox (al tplink) e sul tplink, MA NON LO FAREI IN ALCUN CASO in quanto stai esponendo i PLC all'esterno! Il tplink ha un buon supporto VPN, mi configurerei quella per raggiungere i PLC da casa.

                  Meglio usare un tunnel cloudflare a quel punto piuttosto che esporre diretto con un port forwarding

                      • [cancellato]

                      • Messaggio #16

                      r-mario92 Sostituire il router2 con uno switch, magari uno managed, senza attivare vlan, vpn ecc.... per semplificare la configurazione

                      Puoi anche cominciare con una configurazione semplice e poi man man che acquisisci esperienza passare a una configurazione più complessa. Uno switch manged appena installato funziona come un unmanaged - finché non lo configuri altrimenti. Tocca te decidere quanto vuoi spendere per lo switch. Se pensi però di non usare mai certe funzioni può non aver senso spendere di più.

                      r-mario92 collegandoli tra loro con solamente lo switch dovrebbero continuare a poter comunicare tra loro?

                      Se hanno IP statici continueranno a comunicare finché funziona lo switch. Se non vai proprio al risparmio estremo, gli switch sono dispositivi piuttosto robusti.

                      r-mario92 Quindi se poi collego lo switch al fritz gli do accesso non solo ad internet, ma soprattutto (quello che interessa) alla lan dove è connesso l'ufficio da cui posso "gestirli".

                      Esatto. Senza configurazioni particolari, uno switch è un "replicatore di porte" per connettere più dispositivi alla stessa rete. Se tutto quello che occorre è ampliare una rete, è molto più semplice usare uno switch che un router - gli switch hanno proprio quello scopo.

                              MaxBarbero dipende dal tipo di protocollo da esporre. Gli argo tunnel di Cloudflare consentono solo traffico web (http, https e websocket)

                              @"r-mario92" in linea di principio ciò che hai detto funziona. A quel punto ricordati solo di limitare il pool (ovvero il range) degli indirizzi assegnati dal dhcp del fritz e di scegliere per i plc indirizzi statici fuori da quel pool ma sempre all'interno della subnet del fritz (192.168.1.x)

                                  Suxsem dipende dal tipo di protocollo da esporre. Gli argo tunnel di Cloudflare consentono solo traffico web (http, https e websocket)

                                  in realtà ho visto che esporta anche altri protocolli (tcp, ssh, rdp, etc..), ma come dici tu, va visto il metodo di connessione per stabilire se può essere una soluzione.

                                  Non sapendo il budget, io comunque sostituirei il tutto con un sistema semplice ma almeno prosumer che mi permetta abbastanza semplicemente di configurare il tutto con le vlan. Se è un sistema di produzione non farei troppi esperimenti con dei router e switch customer che, per carità funzionano anche, ma troppe cose diverse diventano difficili da gestire.

                                  • Suxsem ha risposto a questo messaggio

                                      [cancellato]
                                      ok, confermi che un po c isto capendo, già il fatto che la mia proposta funziona e buona cosa.
                                      Risparmio si ma nei limiti della mia applicazione, estremo no, perché comunque vi devo lavorare, troppo costosa no perché tanto non la utilizzerei, siamo una piccola azienda quindi per le ridotte dimensioni può essere gestita im, diciamo, "media economia"

                                      [cancellato] Se pensi però di non usare mai certe funzioni può non aver senso spendere di più.
                                      https://amzn.eu/d/371GHe9 ho trovato questo, direi dovrebbe andare considerando anche il costo sostenuto.
                                      anche se per ora inizio collegando tutto ad un semplice switch e provando se funziona il tutto.

                                      Suxsem A quel punto ricordati solo di limitare il pool (ovvero il range) degli indirizzi assegnati dal dhcp del fritz e di scegliere per i plc indirizzi statici fuori da quel pool ma sempre all'interno della subnet del fritz (192.168.1.x)

                                      grazie per il dettaglio, a quel punto, anche se l'IP è fuori dal pool del fritz, stando sollo stesso livello, riesco a raggiungerlo digitando l'indirizzo nel browser (giusto per fare un esempio)
                                      così avrei la conferma definitiva (grazie ai vostri consigli e risposte positive alla mia proposta) che posso fare questa prova.

                                      • Suxsem ha risposto a questo messaggio

                                              MaxBarbero
                                              per qualunque protocollo non web-based è necessario connettere i client remote alla rete cloudflare attraverso Cloudflare WARP (https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/), di fatto diventa una VPN.
                                              Inoltre, anche se fosse web-based, sarebbe comunque esporre i PLC all'esterno; in questo caso invece di conoscere l'IP WAN devi conoscere l'hostname del tunnel (ovvio che la sicurezza migliora in quanto viene esposta una specifica porta e volendo uno specifico path ma essendo PLC che controllano potenzialmente macchinari industriali metterei la sicurezza al primo posto).
                                              Infine, è necessario avere un server attivo h24 (e configurato) su cui far girare il demone di cloudflared. Visto che ha già il router della tplink con supporto VPN forse nel SUO caso è più semplice 🙂

                                              r-mario92 grazie per il dettaglio, a quel punto, anche se l'IP è fuori dal pool del fritz, stando sollo stesso livello, riesco a raggiungerlo digitando l'indirizzo nel browser (giusto per fare un esempio)
                                              così avrei la conferma definitiva (grazie ai vostri consigli e risposte positive alla mia proposta) che posso fare questa prova.

                                              "stando sullo stesso livello" intendi dire che fanno parte della stessa rete IP e sì, è corretto 🙂

                                                    Suxsem Visto che ha già il router della tplink con supporto VPN forse nel SUO caso è più semplice 🙂

                                                    volendo togliere il tplink e sostituirlo con uno switch, come da mia proposta di poco fa, così da avrete tutto sullo stesso livello di IP, la vpn dovrei gestirla dal fritz, che mi pare la supporti.
                                                    questo sempre un domani quando avrò necessità di farlo.

                                                    Suxsem stando sullo stesso livello" intendi dire che fanno parte della stessa rete IP e sì, è corretto 🙂

                                                    si stesso livello 192.168.1.x

                                                    cosa che non potrei avere con il tplink che mi impone un livello diverso.

                                                        sì è giusto, ma prova ad abituarti alla terminologia corretta (rete o subnet, non livello) così diverrai sempre più esperto 🙂

                                                        facci sapere come va a finire!

                                                          10 giorni dopo

                                                          Suxsem
                                                          Finalmente ho trovato il tempo di fare il test utilizzando solo lo switch, non è da me ma è andata bene al primo tentativo 🤣
                                                          Ovviamente non è il massimo come per la sicurezza, come spiegato da molti di voi, ma per ora va bene così. Col tempo migliorerò.
                                                          Grazie ancora a tutti voi.🙃

                                                              r-mario92
                                                              con un mikrotik RB5009(4011) o un ubiquity edge router12 puoi fare quasi tutto ,bridge, puoi gestire reti separate , vlan, failover, PCC, switch managed ecc con un unico apparato , gestendo la tua rete in maniera ordinata e professionale.
                                                              Questo solo per notizia .
                                                              Sono contento che hai risolto 👍


                                                                Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                P.I. IT16712091004 - info@fibraclick.it

                                                                ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile