Grazie davvero per le molte risposte dettagliate ed esaustive.
Mi pare di iniziare a capire come fare.
Premesso che, lato sicurezza può non essere elevata perchè i pc li suiamo solo noi di famiglia, tutti gli altri smartphone wifi li collego con la rete ospite del fritz limitandoli. Quindi i pc dell'ufficio possono collegarsi alla stessa lan dei plc (stesso livello).

Da ciò sarei propenso a provare questa soluzione, sotto vostra correzione:
Sostituire il router2 con uno switch, magari uno managed, senza attivare vlan, vpn ecc.... per semplificare la configurazione alla mia poca conoscenza, limitando anche i costi nel non comprare altro.
Se ho capito bene, poichè i plc avranno un loro ip statico (assicurandomi che siano sullo stesso livello del fritz e su di esso riservarli a loro per non assegnarli automaticamente ad altri dispositivi), anche collegandoli tra loro con solamente lo switch dovrebbero continuare a poter comunicare tra loro?
Quindi se poi collego lo switch al fritz gli do accesso non solo ad internet, ma soprattutto (quello che interessa) alla lan dove è connesso l'ufficio da cui posso "gestirli".
gestirli da casa/remoto non mi interessa se compromette la sicurezza, (ammesso di saperci mettere le mani per farlo), quindi non aprirò nessuna porta o altro.

    Suxsem Ciò ti permette di raggiungere i PLC anche dall'esterno configurando il port forwarding sul tim hub (al fritzbox), sul fritzbox (al tplink) e sul tplink, MA NON LO FAREI IN ALCUN CASO in quanto stai esponendo i PLC all'esterno! Il tplink ha un buon supporto VPN, mi configurerei quella per raggiungere i PLC da casa.

    Meglio usare un tunnel cloudflare a quel punto piuttosto che esporre diretto con un port forwarding

        • [cancellato]

        • Messaggio #16

        r-mario92 Sostituire il router2 con uno switch, magari uno managed, senza attivare vlan, vpn ecc.... per semplificare la configurazione

        Puoi anche cominciare con una configurazione semplice e poi man man che acquisisci esperienza passare a una configurazione più complessa. Uno switch manged appena installato funziona come un unmanaged - finché non lo configuri altrimenti. Tocca te decidere quanto vuoi spendere per lo switch. Se pensi però di non usare mai certe funzioni può non aver senso spendere di più.

        r-mario92 collegandoli tra loro con solamente lo switch dovrebbero continuare a poter comunicare tra loro?

        Se hanno IP statici continueranno a comunicare finché funziona lo switch. Se non vai proprio al risparmio estremo, gli switch sono dispositivi piuttosto robusti.

        r-mario92 Quindi se poi collego lo switch al fritz gli do accesso non solo ad internet, ma soprattutto (quello che interessa) alla lan dove è connesso l'ufficio da cui posso "gestirli".

        Esatto. Senza configurazioni particolari, uno switch è un "replicatore di porte" per connettere più dispositivi alla stessa rete. Se tutto quello che occorre è ampliare una rete, è molto più semplice usare uno switch che un router - gli switch hanno proprio quello scopo.

                MaxBarbero dipende dal tipo di protocollo da esporre. Gli argo tunnel di Cloudflare consentono solo traffico web (http, https e websocket)

                @"r-mario92" in linea di principio ciò che hai detto funziona. A quel punto ricordati solo di limitare il pool (ovvero il range) degli indirizzi assegnati dal dhcp del fritz e di scegliere per i plc indirizzi statici fuori da quel pool ma sempre all'interno della subnet del fritz (192.168.1.x)

                    Suxsem dipende dal tipo di protocollo da esporre. Gli argo tunnel di Cloudflare consentono solo traffico web (http, https e websocket)

                    in realtà ho visto che esporta anche altri protocolli (tcp, ssh, rdp, etc..), ma come dici tu, va visto il metodo di connessione per stabilire se può essere una soluzione.

                    Non sapendo il budget, io comunque sostituirei il tutto con un sistema semplice ma almeno prosumer che mi permetta abbastanza semplicemente di configurare il tutto con le vlan. Se è un sistema di produzione non farei troppi esperimenti con dei router e switch customer che, per carità funzionano anche, ma troppe cose diverse diventano difficili da gestire.

                    • Suxsem ha risposto a questo messaggio

                        [cancellato]
                        ok, confermi che un po c isto capendo, già il fatto che la mia proposta funziona e buona cosa.
                        Risparmio si ma nei limiti della mia applicazione, estremo no, perché comunque vi devo lavorare, troppo costosa no perché tanto non la utilizzerei, siamo una piccola azienda quindi per le ridotte dimensioni può essere gestita im, diciamo, "media economia"

                        [cancellato] Se pensi però di non usare mai certe funzioni può non aver senso spendere di più.
                        https://amzn.eu/d/371GHe9 ho trovato questo, direi dovrebbe andare considerando anche il costo sostenuto.
                        anche se per ora inizio collegando tutto ad un semplice switch e provando se funziona il tutto.

                        Suxsem A quel punto ricordati solo di limitare il pool (ovvero il range) degli indirizzi assegnati dal dhcp del fritz e di scegliere per i plc indirizzi statici fuori da quel pool ma sempre all'interno della subnet del fritz (192.168.1.x)

                        grazie per il dettaglio, a quel punto, anche se l'IP è fuori dal pool del fritz, stando sollo stesso livello, riesco a raggiungerlo digitando l'indirizzo nel browser (giusto per fare un esempio)
                        così avrei la conferma definitiva (grazie ai vostri consigli e risposte positive alla mia proposta) che posso fare questa prova.

                        • Suxsem ha risposto a questo messaggio

                                MaxBarbero
                                per qualunque protocollo non web-based è necessario connettere i client remote alla rete cloudflare attraverso Cloudflare WARP (https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/), di fatto diventa una VPN.
                                Inoltre, anche se fosse web-based, sarebbe comunque esporre i PLC all'esterno; in questo caso invece di conoscere l'IP WAN devi conoscere l'hostname del tunnel (ovvio che la sicurezza migliora in quanto viene esposta una specifica porta e volendo uno specifico path ma essendo PLC che controllano potenzialmente macchinari industriali metterei la sicurezza al primo posto).
                                Infine, è necessario avere un server attivo h24 (e configurato) su cui far girare il demone di cloudflared. Visto che ha già il router della tplink con supporto VPN forse nel SUO caso è più semplice 🙂

                                r-mario92 grazie per il dettaglio, a quel punto, anche se l'IP è fuori dal pool del fritz, stando sollo stesso livello, riesco a raggiungerlo digitando l'indirizzo nel browser (giusto per fare un esempio)
                                così avrei la conferma definitiva (grazie ai vostri consigli e risposte positive alla mia proposta) che posso fare questa prova.

                                "stando sullo stesso livello" intendi dire che fanno parte della stessa rete IP e sì, è corretto 🙂

                                      Suxsem Visto che ha già il router della tplink con supporto VPN forse nel SUO caso è più semplice 🙂

                                      volendo togliere il tplink e sostituirlo con uno switch, come da mia proposta di poco fa, così da avrete tutto sullo stesso livello di IP, la vpn dovrei gestirla dal fritz, che mi pare la supporti.
                                      questo sempre un domani quando avrò necessità di farlo.

                                      Suxsem stando sullo stesso livello" intendi dire che fanno parte della stessa rete IP e sì, è corretto 🙂

                                      si stesso livello 192.168.1.x

                                      cosa che non potrei avere con il tplink che mi impone un livello diverso.

                                          sì è giusto, ma prova ad abituarti alla terminologia corretta (rete o subnet, non livello) così diverrai sempre più esperto 🙂

                                          facci sapere come va a finire!

                                            10 giorni dopo

                                            Suxsem
                                            Finalmente ho trovato il tempo di fare il test utilizzando solo lo switch, non è da me ma è andata bene al primo tentativo 🤣
                                            Ovviamente non è il massimo come per la sicurezza, come spiegato da molti di voi, ma per ora va bene così. Col tempo migliorerò.
                                            Grazie ancora a tutti voi.🙃

                                                r-mario92
                                                con un mikrotik RB5009(4011) o un ubiquity edge router12 puoi fare quasi tutto ,bridge, puoi gestire reti separate , vlan, failover, PCC, switch managed ecc con un unico apparato , gestendo la tua rete in maniera ordinata e professionale.
                                                Questo solo per notizia .
                                                Sono contento che hai risolto 👍


                                                  Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                  P.I. IT16712091004 - info@fibraclick.it

                                                  ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile