Accesso remoto verso router 3G/4G
Chiunque si sia cimentato nell’uso di router 3G/4G si sarà posto il problema se e come sia possibile raggiugere il router tramite l’IP Pubblico e ottenuto tramite la connessione mobile 3G/4G per accedere eventualmente alla console di amministrazione web o pubblicare su tale IP pubblico dei servizi offerti d host connessi a tale router.
Di seguito nell’ipotesi di utilizzare un Router Teltonika RUT950 e una SIM Dati analizzeremo quali sono le problematiche della raggiungibilità del router mediante l’IP Pubblico ottenuto tramite la connessine Mobile 3G/4G.
Come illustrato nel documento pubblicato sul wiki di Teltonika nel pagina Private and Public IP Addresses vi possono essere tre tipi di scenari quando un ISP assegna ad una connessione Mobile 3G/4G un IP Pubblico, per comprendere meglio come viene gestito il traffico di rete occorre presente il seguente schema in cui vengono evidenziate le interfacce di rete e gli indirizzi IP che devono essere gestiti:
- Interfaccia esterna o WAN ovvero l’interfaccia di rete del modem 3G/4G interno a router (il router Teltonika ha anche un interfaccia RJ45 WAN con cui connettersi all’ISP via cavo con gli standard EEE 802.3 e IEEE 802.3u, sebbene anche tale interfaccia sia esterna durante questa analisi non verrà presa in considerazione)
- Interfaccia Interna o LAN ovvero l’interfaccia di rete del router connessa alla LAN tramite le porte RJ45 o tramite l’interfaccia WiFi
- Indirizzo IP pubblico ovvero l’indirizzo IP che viene assegnato quanto ci si connette a Internet mediante l’ISP
- Indirizzo IP WAN ovvero l’indirizzo IP che viene assegnato all’interfaccia esterna o WAN del router (può coincidere o meno con l’indirizzo IP Pubblico a seconda dello scenario)
- Indirizzo IP LAN ovvero l’indirizzo IP dell’interfaccia interna o LAN del router
Scenario 1: Indirizzo IP Pubblico Statico
L’interfaccia mobile 3G/4G del router ottiene un indirizzo IP Pubblico che non cambierà mai. In questo caso il router eseguirà il NAT dalla rete LAN alla rete WAN e l’ISP risulterà “trasparente”, quindi all’interfaccia esterna o WAN del router sarà assegnato l’IP Pubblico.
Scenario 2: Indirizzo IP Pubblico Dinamico
L’interfaccia mobile 3G/4G del router ottiene un indirizzo IP Pubblico che cambierà ogni volta che viene instaurata la connessione. In questo caso il router eseguirà il NAT dalla rete LAN alla rete WAN e l’ISP risulterà “trasparente”, quindi all’interfaccia esterna o WAN del router sarà assegnato l’IP Pubblico che avrà la caratteristica di essere non permanente, ciò significa che si intende raggiugere il router tramite Internet mediante un nome a dominio occorrerà utilizzare Dynamic DNS (per quanto riguarda il supporto al DDNS da parte dei router Teltonika si veda la pagina https://wiki.teltonika.lt/index.php?title=Dynamic_DNS del wiki di Teltonika).
Scenario 3: Indirizzo IP Pubblico Condiviso
L’interfaccia mobile 3G/4G del router ottiene un indirizzo IP Pubblico che L’ISP assegna ad un gruppo di utenti ed utilizza il NAT per separare il loro traffico. In questo caso il router eseguirà il NAT dalla rete LAN alla rete WAN che coinciderà con la rete privata dell’ISP e l’ISP eseguirà il NAT dalla sua rete privata verso Internet. Quindi all’interfaccia esterna o WAN del router sarà assegnato un’IP privato e l’accesso a Internet avverrà tramite un IP Pubblico condiviso da più utente 3G/4G. Quindi sebbene il router possa accedere a Internet non sarà possibile raggiungerlo in quanto l’IP Pubblico è condiviso.
Soluzioni possibili per l’accesso remoto
Nel caso la connessione avvenga tramite IP Pubblico Statico (Scenario 1) o IP Pubblico Dinamico (Scenario 2) si potrà agevolmente usare un servizio di DNS o DDNS per mappare l’IP ad un nome DNS tramite cui raggiungere il router e quindi eseguire l’accesso remoto o accedere a servizi esposti dal router. Di solito le SIM denominate M2M consento l’utilizzo di un IP Pubblico Dinamico o Statico.
Nel caso la connessione avvenga tramite IP Pubblico Dinamico (Scenario 3) è possibile connettersi al router utilizzando una connessione VPN istaurata dal router che agisce come VPN Client verso un VPN Server aziendale ovviamente nell’ipotesi che esista un VPN Server (per quanto riguarda il supporto alla VPN da parte dei router Teltonika si veda la pagina https://wiki.teltonika.lt/index.php?title=VPN del wiki di Teltonika).
Per approfondimenti su questo tema si veda anche il post How can I connect to my Teltonika 3G/4G router over the Internet?
Nel caso tramite il router sia necessario pubblicare determinati servizi vi può essere un’alternativa se tali servizi offrono dei servizi di relay come nel caso del servizio QuickConnect offerto dai NAS Synology (per quanto riguarda la configurazione si veda Come rendere Synology NAS accessibile da Internet). Per i dettagli tecnici è possibile consultare le White Paper di Synology in cui è disponibile la Synology QuickConnect White Paper che fornisce dettagli tecnici sulla funzionalità QuickConnect e sul Relay Service che permette l’accesso anche nel caso in cui la connessione avvenga tramite IP Pubblico Statico (Scenario 1) o IP Pubblico Dinamico (Scenario 2) o IP Pubblico Dinamico (Scenario 3):
“When a client attempts to reach a Synology NAS using the server’s QuickConnect ID, a request is sent to Synology QuickConnect Server for the registered information of the NAS. This allows the client to obtain network information about the server to identify possible ways to connect it. The information includes the public IP, LAN IP, and NAT type among others, all of which are necessary for the link and do not compromise the security of the NAS. With the given information, the client can identify whether a direct connection with the IP or domain address can be established in LAN or WAN.”
“If no direct connection can be established, the client will attempt to establish a virtual tunnel between the client and the NAS via QuickConnect to allow a temporary direct link for data transmission. This technology allows the server and the client to experience Internet synchronization performance very similar to connecting via WAN IP/DDNS without physically having such an environment.”
“In cases where the virtual tunnel cannot be created, a relay service is available for data transmission. When traffic is relayed, it goes through Synology Relay Server before arriving at its destination. Requiring more time compared to direct connections or QuickConnect hole punching, the QuickConnect relay service serves as the final option for data to be communicated between the NAS and the client.”
Per ulteriori approfondimenti si vedano anche le seguenti pagine sul wiki di Teltonika:
Gentile Ermanno , ho un problema strettamente legato all argomento in questione. Ho comprato il RUT955 proprio per riuscire a entrare da remoto nella mia domotica di casa , pur avendo creato un account DDNS non mi è possibile entrare da remoto in quanto la sim dati vodafone non risulta abilitata a questo uso , in pratica non mi permette di entrare nel router. è possibile che sia colpa della sim?
Ciao Andre,
se la SIM non è di tipo M2M (Machine to machine) è molto probabile che un utilizzi un indirizzo IP Pubblico Condiviso (scenario 3)
Ti consiglierei di contattare Vodafone per capire se la tua SIM utilizzi un indirizzo IP Pubblico Condiviso e nel caso vedere come puoi fartela sostituire con una M2M.
Salve sig Goletto,
mi scusi se la disturbo ma dopo aver girato in rete per un po’ ho trovato il suo interessante articolo ed allora ho pensato che potesse essere in grado di rispondere al mio quesito……
premessa :
ho rinvenuto nella ditta IT in cui lavoro un router RUT950 che monta un vecchissimo firmware ( RUT9XX_R_00.01.497) e pensavo di aggioirnarlo.
E’ una mossa consigliabile o no?
E se si, alla pagina web della Teltonika ci sono una sfilza di firmware possibili. Quale potrei installare sul mio apparato?
Grazie molte
Ciao Ermanno,
nel caso 3 da te esposto, hai esperienza nell’uso dell’IP “WAN privato” nel caso il dispositivo client ed il router utilizzino lo stesso operatoreb mobile?
Immagino che, senza “uscire” su internet ma usando l’indirizzamento interno, la connessione verso il router (ed i relativi servizi esposti) sia possibile.
Grazie,
Igor
Ciao Igor,
mi spiace non ho mai fatto test in tal senso…
Buon giorno Simone,
sicuramente è consigliabile aggiornare ed utilizzare l’utimo firmware e aggiornare anche il bootloader.
Prima conviene aggiornare il bootloader seguendio queste istruzioni
https://wiki.teltonika.lt/view/RUT9xx_Bootloader_Upgrade
Poi aggiornare il firmware
Le ultime versioni sono disponibili qui:
https://wiki.teltonika.lt/view/RUT9xx_Firmware
Io sono curioso di sapere se esiste un modo per capire in quale di questi 3 scenari cade il mio accesso a internet.
è una cosa fissa da router a router, o cambia in base alla zona in cui mi trovo e all’ISP a cui mi connetto?
ed è assolutamente impossibile usare DDNS nel terzo scenario?
Grazie della sua attenzione
Normalmente se la SIM non è di tipo M2M (Machine to machine) cadi nel terzo scenario e in questo caso essendo l’IP condiviso da più connessioni contemporaneamente non c’è modo di usare DDNS
La dizione “IP Pubblico Condiviso” mi pare un po’ fuorviante.
Direi più semplicemente che il computer/router dell’utente non ottiene un IP Pubblico ma un IP Privato
Buongiorno, anch’io volevo condividere qui la mia necessità di accedere da remoto ad una periferica collegata ad un router LTE in questo momento con SIM iliad…
Per ottenere un IP pubblico mi sono affidato a no-ip, dov’è al mio account mi hanno assegnato un ip pubblico credo statico, in quanto c’è una numerazione fissa che vedo nell’account….
Uscito la modalità di aprire la porta 80, di conseguenza nel router ho aperto la porta 80 facendolo collegare all’account di no-ip….
Il problema è che quando da remoto chiamo indirizzo IP della mia periferica collegata al router, o quando chiamo l’indirizzo IP assegnato da no-ip, non funziona niente e mi dice impossibile raggiungere il sito…
Cosa devo fare o dove sbaglio? Magari se qualcun altro che mi può dare una mano.
Grazie
Ciao Matteo,
no-ip è un dns dinamico (DDNS) e ti permette di assegnare un nome host all’indirizzo ip pubblico dinamico di Iliad e cambia rapidamemte l’associazione nome-ip ogni volta che l’ip pubblico dinamico cambia…
Quindi l’accesso lo devi fare tramitite il nome configurato tramite no-ip e non tramiye l’IP
Sfortunatamente se la SIM di Iliad espone un indirizzo ip pubblico dinamico condiviso tra più SIM (vedi lo scenario 3 descritto in questo post) l’utilizzo di no-ip non ti permette di arrivare al router…
La cosa migliore quando si hanno questo tipo di necessità è quella di procurarsi delle SIM M2M (Machine to machine)
Sto riscontrando lo stesso problema con SIM ho.mobile, non riesco a capire perchè ho 2 indirizzi IP pubblici, il primo è quello che viene passato a no-ip, ed è quello che viene visto anche dall’esterno con ad esempio il servizio myip, ma che non da accesso al router, mentre il secondo è quello effettivo, quello che si può visionare nella sezione SIM 3g/4g del router ed è quello che effettivamente funziona.
Attualmente sto cercando un modo per accedere al router da SSH (TP-link Archer MR600) per leggere questo indirizzo IP e mandarlo ad una casella email nel caso di cambio, oppure qualsiasi altra soluzione, perchè comunque il secondo indirizzo IP è effettivamente raggiungibile dall’esterno
Ciao Francesco,
leggendo questo post sul supporto sembra che fono a poco tempo fa la configurazione da te richiesta non era possibile
https://supporto.ho-mobile.it/t5/Forum-Configuro-Internet/Utilizzo-di-Ho-su-mdem-router-G4-problemi-in-entrata-da-remoto/td-p/14990
Il fatto che l’IP che viene nattato sia anche raggiungibile è in effetti strano, quello pubblico credo sia come di solito condiviso e qundi non utilizzabile per i tuoi scopi
Puoi comunque provare a sentire il supporto tecnico di Ho per capire se negli ultimi mesi hanno fatto qualche modifica tecnica che permetta di ottenere quanto da te desiderato.
In alternativa puoi valutare un servizio come https://ipstatico.org/ (io però non ho esperienze di utilizzo in merito)
Ti aggiorno, il fatto di raggiungere l’IP WAN dall’esterno è solo una cosa momentanea, riprovando il giorno dopo, nonostante l’indirizzo IP non sia cambiato non si può accedere. Ho sentito sia il supporto tecnico di HO, che mi ha detto che loro non possono fare niente, perchè non hanno facoltà di gestire nulla, sia il supporto di TP-Link per capire se potessi passare l’indirizzo IP WAN, e mi hanno detto che queste SIM hanno doppio NAT e non si può fare nulla.
Ti ringrazio, provo a vedere il sito che mi hai segnalato, e se riesco provo a replicare la sua funzione utilizzando un server che ho su un’altra linea
Ciao, dovrei fare la stessa cosa, ina ipcam su un MR600. Se collego la ipcam su una modem in rete fissa, riesco a vederlo dalla sua ap, se invece lo collego ad una sim, non va (ne iliad e ne Ho). come hai risolto?
Buona sera, sono Daniele.
Io un router 4g con sim Iliad per avere internet al capannone. Ho un impianto di sorveglianza con nvr.
Posso controllare le mie telecamere tramite app, oppure tramite web , perché nvr è collegato ad un router vpn. Volevo sapere, come faccio ha collegarmi al router 4g tramite router VPNALT?
Al nvr ho modificato l’ip, il gathway, dns e la porta, ma su router 4g?
Grazie
Buona sera, sono Daniele.
Io un router 4g con sim Iliad per avere internet al capannone. Ho un impianto di sorveglianza con nvr.
Posso controllare le mie telecamere tramite app, oppure tramite web , perché nvr è collegato ad un router vpn. Volevo sapere, come faccio ha collegarmi al router 4g tramite router VPNALT?
Al nvr ho modificato l’ip, il gathway, dns e la porta, ma su router 4g?
Grazie
Ciao Daniele,
non ho esperienze dirette con VPNALT e Iliad, ma leggendo questo https://t.me/s/altatensionesicurezza?before=313 sembra di possa usare con l’accortezza di usare l’apn Iliad nei VpnAlt4G.
Ciao
È possibile che per reti con ip pubblico dinamico, ovvero nattate dall’ ISP, le regole di cambio DNS impostate sul router LTE vengano ignorate dal router dell’ ISP che applicherà le proprie impostazioni DNS?
Ciao,
non dovrebbe capitare perché richieste fatte al router dell’ISP sono verso indirizzi IP e non nomi hostname, la risoluzione hostname – IP è gia stata fatta a monte dal router LTE, l’unica cosa che potrebbe capitare che l’ISP rediriga chiamate verso alcuni IP ad altri IP…
Nello specifico quale sarebbe il problema?
Ciao,
Nulla solo scoprire se ci fossero altre limitazioni per le reti nattate, oppure il solo problema riguarda l’inoltro porte. Ma hai risposto già.
Redirigere chiamate ip verso altri ip potrebbe essere una secondo elemento. Mi chiedo se ci possano essere altre limitazioni
Grazie
Buongiorno Ermanno, sono anche io alla ricerca di un dispositivo che mi permetta di intrare in una rete aziendale dove utilizzo dispositivi professionali non windows base, ma avendo una sim vodafone commerciale non riesco ad entrare. E’ possibile non cambiare la SIM e utiizzare qualche router Teltonika?
Ciao Stefano,
purtroppo normalmente le normali SIM dati ricadono nello scenario 3 e non c’è molto che si possa fare…
Puoi sentire Vodafone per capire se viene o meno usato un IP condiviso (scenario 3), Vodafone rende possibile comunque SIM M2M che permettono di implementare lo scenario 1
Buonasera Ermanno, vorrei complimentare per la descrizione.. ma vorrei creare una VPN Server (ARCHIVIAZIONE REMOTA a casa) ma essendo che ho un modem router Vodafone 4G con Giga Dati illimitato e ho provato a creare il server vpn nel raspberry pi 4 e collegando con la vpn client dal mio telefono con rete esterna non vede per niente nemmeno funziona. Ho dei dubbi ma la rete mobile ha dei limiti di accesso?? puoi aiutarmi a capire o trovare una soluzione.. grazie mille…
Ciao Federico,
sul modem router Vodafone 4G hai fatto le necessarie configurazioni per consentire una VPN in entrata?
Prova a vedere se questa guida ti può essere d’aiuto
https://www.natted.it/2017/11/configurare-passo-passo-un-server-vpn-vodafone-station-revolution/
Ciao Ermanno, allora specifico bene non ho un modem Vodafone ma un HUAWEI b525s 63a 4G/LTE con dentro la sim Vodafone ovviamente configurato anche bel virtual server (port Forwaring ) poi nel mio Raspberry ho creato delle configurazioni OpenVPN Lato server e nel mio telefono lato client ma in locale funziona in remoto non funziona secondo me L sim Vodafone non ha la “M2M” presumo.
Ciao Federico,
le SIM possono essere o semplicemente dati o di tipo M2M, ma se tu non hai espressamente richiesto una M2M sicuramente hai una SIM Dati e quindi rientri nelle scenario 3 e la VPN probabilmente è blocata dal NAT eseguito dall’ISP…
Ciao Ermanno,
no non ho richiesto la M2M anche perché non sapevo che esistesse. e sicuro che sia una normale sim con giga illimitati. quindi è sicurissimo che rientro allo scenario 3. è possibile convertire in m2m e quindi cambierebbero i costi? ho visto un sito che fornisce la sim M2M https://www.thingsmobile.com/it/privati/thingsmobile.
Ciao
non so dirti se Vodafone possa convertirti la SIM, so che ha la possibilità di fornire SIM M2M ma occorre sentire il loro servizio clienti
Si ci sono vari vendor che forniscono sim M2M non ho esperienze dirette e quindi non so quale consiglierti ne quale sia la copertura
ti ringrazio molto..
Ciao Ermanno, ho un problema, ho appena acquistato una sim dati di windtre, con il modem/router solo wireless in dotazione non ho alcun problema, mi aggancio al desktop remoto dell’azienda e posso svolgere il mio “lavoro agile”. Se la stessa sim la metto nel router tp-link archer mr 200 v.1 mi connetto ad internet tranquillamente con una velocità fantastica e posso usare il cavo ethernet. L’unico problema è l’accesso al desktop remoto che non c’è verso di farlo collegare. Non è il cattivo funzionamento del tp link perchè ne ho due e si comportano così entrambi. Dove sbaglio? L’ho settato in tutte le salse ma niente da fare. Mi puoi aiutare?. Grazie. Un saluto.
Ciao Mauro,
hai provato a controllare che il firewall sul tp-link archer mr 200 non ti stia bloccando il traffico RDP (TCP 3389)?
ciao, ho un problema. una ditta che si chiama Wifi Italia, sta installando un hotspot gratuitito in un edificio del mio comune,dove io faccio assistenza. il problema è che il comune è in possesso di una sim vodafone quindi mi servirà un router 4g,ma Wifi Italia dice che con le sim il sistema non funzionerà in quanto non comunica con il server a Roma,e dicono che con le sim non si ha un ip pubblico. credo che vogliano dire che la rete è nattata. ti chiedo, a far commutare la sim vodafone in versione M2m secondo te posso risolvere? e utilizzando dyndns serve a qualcosa? ho trovato poi sim con apn unico cioè ip pubblico con wind ma vorrei riuscire a risolvere con vodafone, poi ho trovato per bypassare il Nat si può utilizzare una vpn ma sono sicuramente passaggi complicati. ti ringrazio
Ciao con una SIM M2M si ha a disposizione un IP Pubblico senza NAT, Dyndns se sei nello scenario 3 che ho descritto (cosa molto probabile) non risolvi perchè lo stesso IP pubblico corrisponde a più SIM. Dyndns serve quando l’IP pubblico è dinamico ma assegnanto ad una sola SIM.
La questione però da capire e se tu devi esporre dei servizi tramite la SIM o se con la SIM accedi a servizi
Ciao,
articolo davvero ben fatto. Ho navigato per due giorni prima di trovarlo e mi ha risolto in modo semplice ogni dubbio: se navighi su 4G ti becchi il double NAT. Punto e stop e non ci si può fare nulla (ammetto che però ho provato anche altre soluzioni sciamaniche… e ovviamente non hanno funzionato)!
Avrei una domanda: lo stesso problema si verifica anche per il 5G o la distribuzione degli IP viene gestita diversamente?
Grazie per l’aiuto!
Ciao,
premesso che non ho informazioni a riguardo, dando un occhiata veloce a questo documento https://www.gruppotim.it/content/dam/telecomitalia/it/archivio/documenti/Innovazione/MnisitoNotiziario/2017/1-2017/capitolo-6/capitolo%2006.pdf non vengono menzionati cambi nella gestione dell’IPv4
Ciao,
Ho letto più volte il tuo articolo molto ben fatto, complimenti. Io mi trovo in una situazione simile:
https://community.teltonika-networks.com/?qa=blob&qa_blobid=286823224742922434
Per come hai descritto nel tuo articolo, fatta la VPN posso pingare gli ip dietro al rut950 dalla lan server. Io riesco ad accedere alla lan1 dalla lan2 ma non il contrario. Mi spieghi meglio la questione del relay legato a Nas sinology? Grazie
Grazie
Ciao Francesco,
in sostanza i servizi come Nas sinology assomigliano un po’ ai servizi di accesso remorto come TeamViewer.. ovvero il client che deve accedere al Nas e il NAS si connettetono ad un server in Internet gestito da Sinology tramite il quale vengono svolte le varie operazioni… NAS e Client non si parlano direttamete ma tramite un intermediario che è il relay e quindi di fatto le trasmissini so no sempre verso il relay.. poi per i dettagli tecnici fai rifermento ai link che avevo messo nell’articolo.