Ciao Giuliano
> Il tutto si traduce in un host (raspberry) collegato:
> a) in wifi (prima rete lan) con la saponetta per l'accesso ad internet (su
> cui far viaggiare la VPN)
> b) in rete cablata (seconda rete lan) con uno switch POE al quale attaccare
> le telecamere IP.
>
> Ecco la prima domanda: si può fare?
Sì, si può fare, però la saponetta deve avere un IP pubblico a quale
si può accedere da internet e devi configurarla per inoltrare le
connessioni sulla porta della vpn verso il raspi.
Ti scrivo una configurazione di esempio:
- rete 192.168.1.0/24 per internet: ip fisso su wlan0 192.168.1.1 del
raspi a cui inoltrare le connessioni dalla saponetta sulla porta, ad
esempio, 4444 per la vpn)
- rete 10.2.2.0/24 per la lan locale
- vpn su 172.16.3.0/24
- sul raspi ti serve:
o un server dhcp per assegnare gli ip alle periferiche della lan
(a meno che tu non usi un dhcp esterno o tu assegni gli ip fissi ad
ogni periferica)
o firewall configurato per fare il routing del traffico dalla vpn
alla rete interna e per bloccare tutte le connessioni da internet che
non siano sulla 4444 della vpn
o wireguard (o altro server vpn) in ascolto sulla 4444
o zoneminder in ascolto sulla rete lan e sulla vpn
A questo punto dal client devi collegarti alla vpn e poi con il
borwser puoi accedere all'ip vpn del raspi. Realmente non è neppure
necessario configurare il firewall per fare routing perché zoneminder
già ascolta sulla vpn, diciamo che quello ti serve se dal client
esterno vuoi raggiungere direttamente le altre periferiche della rete
lan (che poi forse sarebbe lo scopo reale di una vpn).
> ha senso oppure esistono soluzioni migliori?
La doppia rete isola le periferiche della lan da internet, quindi puoi
controllare tramite raspi (con firewall, dhcp, dns, proxy, ecc) in che
modo tali periferiche raggiungono internet; questo sicuramente può
aumentare la sicurezza delle rete interna.
Però se la vpn ti serve solo per zoneminder senza necessità di accesso
diretto alle altre periferiche forse ti può convenire mettere
zoneminder dietro un webserver (apache, lighttpd, ecc) e accedere
direttamente con il browser (se l'autenticazione con user+pwd non ti
sembra sufficiente aggiungi il certificato client). Non mi pronuncio
sulla sicurezza di vpn contro user+pwd+certificato, non sono esperto
in materia, ma è una possibile soluzione alternativa.
Ciao
Simone
