Ciao a tutti, vi espongo il mio problema...
un mio cliente mi ha chiesto di poter controllare dalla sua sede reti tcp/ip di macchinari plc da lui installati in giro x il mondo (partners, clienti e filiali, il primo da fare a settimane sarebbe in siberia!!).
In pratica i macchinari sono in una rete ethernet con schede 10/100 o wireless e un programma di controllo installato su pc e' in grado di controllarle, aggiornarne e correggerne il software di controllo e fare troubleshooting.
La sede in italia ha un ip pubblico da cui lavorera' l'addetto alla teleassistenza.
I requisiti sono affidabilita' e versatilita', in ultimo i costi (e' la prima volta che un cliente mi dice una cosa simile, ma e' un servizio che lui rivenderebbe a caro prezzo, per cui non vuole figure barbine..).
Partiamo dal presupposto di non conoscere la topologia della rete di destinanazione, nel senso che i macchinari verrebbereo configurati in italia prima della spedizione e li si metterebbe in una rete privata tutta loro. Al cliente che li acquistera' si chiedera' un accesso a internet (e a seconda dei casi si potrebbe trattare di un ip pubblico o no.)
La prima cosa che mi e' venuta in mente e' un pc con winsozz 2000 (gli applicativi girano solo li') con PcAniwhere o simili. Il tecnico in siberia, in caso di malfunzionamento o necessita' di intervento chiama l'helpdesk e instaura il collegamento col pc che gestisce la teleassistenza, il resto e' semplice.
Vantaggi di questa soluzione: semplicissima da mettere in piedi (il pc si prepara in un paio d'ore), funziona in ogni caso: il "master" ha ip pubblico e non ci dovrebbero essere problemi di "irraggiungibilita'" indipendentemente dal tipo di rete diconnessione dell'utente finale.
Svantaggi: a fronte di numerose installazioni si presentano innumerevoli pc sparsi per il mondo con un sistema operativo notoriamente non semplice da mantenere (se il figlio dell'amministratore delegato siberiano decide di installare un gioco con crack russe?!?) e software (quelli di controllo dei macchinari) che costano migliaia di euro e sono molto impegnativi da tenere aggiornati con chiavi rilasciate dietro complicate procedure di attivazione etc.
Inoltre i componenti hardware con cui ho a che fare fanno letteralmente schifo, sia che si tratti di pc da 400 euro che di server (sto avendo problemi con banchi di ram) da oltre 50.000 euro. Sarebbe spiacevole scoprire che il pc di controllo in siberia ha un banco di ram difettoso, e' caduta una testina del disco, si e' bruciato un trasformatore...
La seconda idea che mi e' venuta in mente e' mettere un gateway vpn in italia e uno in siberia, due pc linux con openvn.
vantaggiIn questo caso andrei ad abbattere i problemi software (l'unica schifezza di windows 2000 e' il pc da cui si fa teleasssistenza in italia e si puo' pensare di formattarlo anche una volta al mese), inoltre l'unica versione del software di controllo sarebbe in italia, facilmente manutenibile e, a fronte di numerose filiali "allacciate" decisamente "risparmiosa". Non ho grosse esperienze di vpn con openvpn se non didattiche ma ho alcune settimane per mettere su dei laboratori per provare le varie casistiche di problemi (ippubblico-ippubblico, ippubblico-ipnattato, ippubblico-ippattato..)
svantaggi: i problemi di qualita' e quantita' dei componenti hardware non cambia.
Terza soluzione: i due gateway vpn sono hardware.
Vantaggi: mi viene da pensare che la qualita' dei componenti sia decisamente migliore, inoltre ci sono meno pezzi di un pc. insomma piu' robusti e resistono meglio anche alla donna delle pulizie che stacca la spina e la riattacca.
svantaggi: non ho esperienza su apparecchi di questo genere se non router e AP di profilo home. Inoltre non ne ho sottomano due per fare dei laboratori. Sarebbe spiacevole ordinarne due alla Cisco per scoprire che sietro PAT non funziona una fava... (leggi il cliente mi manda a cagare e il mio capo me li fa mangiare).
Riassumendo: il mio dubbio e' sulla versatilita' di una architettura (hardware o software) tipo vpn a fronte di una della due parti invariabile (ip fisso e pubblico) e dell'altra che a seconda della sede da controllare puo' essere un ip pubblico statico, un ip pubblico dinamico, un ip privato dietro nat o addirittura pat...
Grazie a chi mi sapra' dare un po' di aiuto..
Rispondi quotando
stesso discorso vale per le testine dei dischi o per l'alimentatore.
