Buongiorno a tutti e grazie per l'interesse alla mia discussione:
ho un ufficio il quale ha una rete collegata ad Internet con Alice Business attraverso un IP statico di 8 assegnati.
È stato messo da Telecom un router della Elsag Datamat (non ho capito se la Elsag è Telecom o altra ditta con appalti ma va bhè non è fondamentale) totalmente incontrollabile, ovvero per agirvi in qualsiasi modo bisogna aprire una richiesta su di un sito e provvedono loro.
Mi serviva di potersi collegare a questo ufficio da remoto in VPN ed ho chiesto attraverso la procedura descritta sopra di potermi nattare la porta 1723 ed il protocollo GRE verso un server Windows 2000 che avrebbe provveduto a gestire la VPN.
Contattato da Elsag mi viene detto che non è possibile, con quel router, aprire al protocollo GRE, l'unico modo per creare questa VPN è "abbattere" il firewall del router, cosa che ho indicato di fare perchè al momento mi è molto importante poter permettere il collegamento VPN.
Ora il mio problema è avere un firewall.
Ho sostituito quindi il rotuter Elsag con un classico ed economico TP-Link TD-8810 che ho visto, dopo varie installazioni, funzionano piuttosto bene.
Ho configurato il router con il tipo di connessione IPoA ed inserito tutti dati riguardanti l'IP pubblico e via dicendo. Perfetto la rete si collega tranquillamente ad Internet ma, c'è sempre un ma, c'è un problema da risolvere: sulla rete è presente un server con un CRM raggiungibile dall'esterno attraverso uno degli 8 IP pubblici assegnati da Telecom, bhè questo server con il nuovo router non è più raggiungibile.
L'impostazione hardware è così: il router è collegato ad uno switch al quale sono collegati tutti i computer della lan tra cui questo server con IP pubblico.
Qualcuno sa dirmi cosa c'è che mi sfugge? Grazie ed un saluto.

Una soluzione potrebbe essere quella di asseganre al CRM un IP sulla lan e gestire poi la sua pubblicazione tramite il firewall

Ciao ermannop e grazie per la risposta. Ci avevo pensato a dare al server col crm un IP della lan e poi farlo raggiungere con una mappatura, porta 80 per la precisione visto che si raggiunge col browser.
Il fatto è che in questo ufficio l'assistenza tecnica la curo io, il crm è di un altro, quindi bisognere far muovere anche quest'altro, il centralino voip è gestito dalla Telecom o Elsag che sia. Pertanto è un gran casino.
Certo nattare il server sarebbe la via più semplice, però visto che sono anche curioso, soprattutto quando le cose non mi funzionanto, mi piacerebbe anche sapere perchè col router Elsag va mentre con il mio no.
Potrebbe essere possibile che nel router Elsag l'IP poubblico del server CRM sia inserito della DMZ e quindi debba fare la stessa cosa su questo router?
Scusate se chiedo invece di provare ma dovrei andare in questo ufficio appositamente e non è vicinissimo, mi piacerebbe avere delle certezze prima.
Grazie!

Il fatto che il CRM avesse un IP pubblico mi fa più pensare che il precedente lo esponesse direttamente non ramite una DMZ (nel caso con relativi problemi di sicurezza)

Grazie di nuovo Ermannop. È possibile che il router che ho messo io non esponga il server con IP pubblico sulla rete mentre il vecchio router della Elsag invece poteva farlo?
Insomma, potrebbe essere impossibile col nuovo router poter fare questa cosa?

probabilmente il vecchio era configurato in un latro modo, configurazione punto, un ip pubblico al router e una configurazione di nat.

Nel tuo caso è normale che un router configurato con ip statico pubblico sull'interfaccia wan non permetta la comunicazione con un ip statico pubblico sull'interfaccia lan.
Per dirla terra terra, molto terra terra, in quanto router il suo scopo è inoltrare il traffico tra due subnet diverse wan-lan che sono due interfaccie diverse.

Grazie Optimus. Purtroppo la configurazione del vecchio router non la posso vedere, l'accesso al router è protetto da password e quelli della Elsag mi hanno chiaramente detto che la password non è possibile fornirla.
Quindi mi dici che con questo nuovo router non sarà possibile ottenere il mio scopo, oppure posso configurarlo in altro modo?

ho dato uno sguardo al manuale e ciò ho capito bene poco.
Buttando là la prima cosa che mi passa per la mente, vedo dal manuale la possibilità di attivare la funzionalità bridge, prova magari cosi gli ip pubblici lato lan potrebbero andare.

Potrebbero ma non ci farei affidamento che il suggerimento sia valido

Ok, grazie! Appena potrò farò questa prova. A presto!

Stavo pensando se non potrei risolvere il problema con un router che fa il multi-nat tipo questo: http://www.hamletcom.com/products/hrdsl512.aspx

Se il server con il CRM è collegato allo stesso switch degli altri pc, che presumo abbiamo ip privato, non è che ci sono confiugurate delle VLAN sullo switch?
Inoltre il collegamento ADSL oltre ad avere 8 indirizzi IP pubblici, sai se ha anche un IP per la punto-punto?

Ciao

Ciao sista e grazie per la risposta. Sì il collegamento ha anche un IP per la punto a punto.
Il router orginale, quella della Elsag, ha anche uno switch integrato, il server CRM è collegato sullo switch del router mentre allo switch del router è collegato l'altro switch dove sono collegati tutti i computer della rete.
Il router che ho messo io ha solo una porta ethernet pertanto l'ho collegato allo switch della lan ed a questo anche il server CRM, però è uno switch 16 porte da 4 soldi puro e semplice, non ha sistema operativo ne tanto meno la possibilità di collegare vlan.

Ecco mi sembrava che mancasse qualcosa Avendo questa situazione devi mettere per forza un dispositivo a cui assegnare gli ip pubblici a valle del router ADSL, ti consiglio un router della Mikrotik, tipo questo http://routerboard.com/index.php?showProduct=56, costa pochissimo e hai 5 porte ethernet completamente configurabili.

Ciao

Grazie ancora sista. Il link che mi hai dato mi apre una pagina generica, potrebbe essere questo il prodotto di cui parli: http://routerboard.com/pricelist.ph...Product=56
Lo dovrei collegare al router e nelle sue 5 porte ethernet collego il server crm e lo switch da 16 porte per la rete?
Con questo dispositivo più il router economico della TP-Link collegandosi in 15 in contemporanea in VPN (PPTP) gestita dal server Windows 2000, potrei rischiare un collasso?
Grazie mille!

Si proprio quello.
Ricapitolando il router ADSL non dovrebbe fare NAT ma semplicemente Routing, sulla WAN hai l'ip della punto-punto e sulla LAN hai uno degli IP pubblici disponibili. La LAN la colleghi a uno switch insieme al mikrotik e al server crm, a tutti assegni un ip pubblico e al mikrotik fai fare NAT verso una porta che collegherai alla LAN interna.

Non so se con il mikrotik si possa anche simulare uno switch su alcune porte è da provare, l'ho sempre usato come router.

Ciao

Grazie sista molto chiaro e molto gentile.
Pensi che con questa "accozzaglia" (router Tp-Link e questo da te soggerito) di dispositivi molto economici 15 connessioni contemporanee in vpn possano rischiare di inchiodare il router, di per se molto economico anche lui quello dalla Tp-Link?

Visto che le VPN le termini su un Server 2000 non credo proprio che avrai problemi.
Agli occhi del router non fa differenza tra una VPN o una connessione HTTP/SMTP/POP/etc. etc.

Ciao