Accesso remoto verso router 3G/4G

Chiunque si sia cimentato nell’uso di router 3G/4G si sarà posto il problema se e come sia possibile raggiugere il router tramite l’IP Pubblico e ottenuto tramite la connessione mobile 3G/4G per accedere eventualmente alla console di amministrazione web o pubblicare su tale IP pubblico dei servizi offerti d host connessi a tale router.

Di seguito nell’ipotesi di utilizzare un Router Teltonika RUT950 e una SIM Dati analizzeremo quali sono le problematiche della raggiungibilità del router mediante l’IP Pubblico ottenuto tramite la connessine Mobile 3G/4G.

Come illustrato nel documento pubblicato sul wiki di Teltonika nel pagina Private and Public IP Addresses vi possono essere tre tipi di scenari quando un ISP assegna ad una connessione Mobile 3G/4G un IP Pubblico, per comprendere meglio come viene gestito il traffico di rete occorre presente il seguente schema in cui vengono evidenziate le interfacce di rete e gli indirizzi IP che devono essere gestiti:

  • Interfaccia esterna o WAN ovvero l’interfaccia di rete del modem 3G/4G interno a router (il router Teltonika ha anche un interfaccia RJ45 WAN con cui connettersi all’ISP via cavo con gli standard EEE 802.3 e IEEE 802.3u, sebbene anche tale interfaccia sia esterna durante questa analisi non verrà presa in considerazione)
  • Interfaccia Interna o LAN ovvero l’interfaccia di rete del router connessa alla LAN tramite le porte RJ45 o tramite l’interfaccia WiFi
  • Indirizzo IP pubblico ovvero l’indirizzo IP che viene assegnato quanto ci si connette a Internet mediante l’ISP
  • Indirizzo IP WAN ovvero l’indirizzo IP che viene assegnato all’interfaccia esterna o WAN del router (può coincidere o meno con l’indirizzo IP Pubblico a seconda dello scenario)
  • Indirizzo IP LAN ovvero l’indirizzo IP dell’interfaccia interna o LAN del router

Scenario 1: Indirizzo IP Pubblico Statico

L’interfaccia mobile 3G/4G del router ottiene un indirizzo IP Pubblico che non cambierà mai. In questo caso il router eseguirà il NAT dalla rete LAN alla rete WAN e l’ISP risulterà “trasparente”, quindi all’interfaccia esterna o WAN del router sarà assegnato l’IP Pubblico.

Scenario 2: Indirizzo IP Pubblico Dinamico

L’interfaccia mobile 3G/4G del router ottiene un indirizzo IP Pubblico che cambierà ogni volta che viene instaurata la connessione. In questo caso il router eseguirà il NAT dalla rete LAN alla rete WAN e l’ISP risulterà “trasparente”, quindi all’interfaccia esterna o WAN del router sarà assegnato l’IP Pubblico che avrà la caratteristica di essere non permanente, ciò significa che si intende raggiugere il router tramite Internet mediante un nome a dominio occorrerà utilizzare Dynamic DNS (per quanto riguarda il supporto al DDNS da parte dei router Teltonika si veda la pagina https://wiki.teltonika.lt/index.php?title=Dynamic_DNS del wiki di Teltonika).

Scenario 3: Indirizzo IP Pubblico Condiviso

L’interfaccia mobile 3G/4G del router ottiene un indirizzo IP Pubblico che L’ISP assegna ad un gruppo di utenti ed utilizza il NAT per separare il loro traffico. In questo caso il router eseguirà il NAT dalla rete LAN alla rete WAN che coinciderà con la rete privata dell’ISP e l’ISP eseguirà il NAT dalla sua rete privata verso Internet. Quindi all’ interfaccia esterna o WAN del router sarà assegnato un’IP privato e l’accesso a Internet avverrà tramite un IP Pubblico condiviso da più utente 3G/4G. Quindi sebben il router possa accedere a Internet non sarà possibile raggiungerlo in quanto l’IP Pubblico è condiviso.

Soluzioni possibili per l’accesso remoto

Nel caso la connessione avvenga tramite IP Pubblico Statico (Scenario 1) o IP Pubblico Dinamico (Scenario 2) si potrà agevolmente usare un servizio di DNS o DDNS per mappare l’IP ad un nome DNS tramite cui raggiungere il router e quindi eseguire l’accesso remoto o accedere a servizi esposti dal router. Di solito le SIM denominate M2M consento l’utilizzo di un IP Pubblico Dinamico o Statico.

Nel caso la connessione avvenga tramite IP Pubblico Dinamico (Scenario 3) è possibile connettersi al router utilizzando una connessione VPN istaurata dal router che agisce come VPN Client verso un VPN Server aziendale ovviamente nell’ipotesi che esista un VPN Server (per quanto riguarda il supporto alla VPN da parte dei router Teltonika si veda la pagina https://wiki.teltonika.lt/index.php?title=VPN del wiki di Teltonika).

Per approfondimenti su questo tema si veda anche il post How can I connect to my Teltonika 3G/4G router over the Internet?

Nel caso tramite il router sia necessario pubblicare determinati servizi vi può essere un’alternativa se tali servizi offrono dei servizi di relay come nel caso del servizio QuickConnect offerto dai NAS Synology (per quanto riguarda la configurazione si veda Come rendere Synology NAS accessibile da Internet). Per i dettagli tecnici è possibile consultare le White Paper di Synology in cui è disponibile la Synology QuickConnect White Paper che fornisce dettagli tecnici sulla funzionalità QuickConnect e sul Relay Service che permette l’accesso anche nel caso in cui la connessione avvenga tramite IP Pubblico Statico (Scenario 1) o IP Pubblico Dinamico (Scenario 2) o IP Pubblico Dinamico (Scenario 3):

“When a client attempts to reach a Synology NAS using the server’s QuickConnect ID, a request is sent to Synology QuickConnect Server for the registered information of the NAS. This allows the client to obtain network information about the server to identify possible ways to connect it. The information includes the public IP, LAN IP, and NAT type among others, all of which are necessary for the link and do not compromise the security of the NAS. With the given information, the client can identify whether a direct connection with the IP or domain address can be established in LAN or WAN.”

 

If no direct connection can be established, the client will attempt to establish a virtual tunnel between the client and the NAS via QuickConnect to allow a temporary direct link for data transmission. This technology allows the server and the client to experience Internet synchronization performance very similar to connecting via WAN IP/DDNS without physically having such an environment.”

 

In cases where the virtual tunnel cannot be created, a relay service is available for data transmission. When traffic is relayed, it goes through Synology Relay Server before arriving at its destination. Requiring more time compared to direct connections or QuickConnect hole punching, the QuickConnect relay service serves as the final option for data to be communicated between the NAS and the client.”

Per ulteriori approfondimenti si vedano anche le seguenti pagine sul wiki di Teltonika: