Configurazione dei server VPN per agente (VPN diretta)
Una VPN diretta di impianto è un tunnel dedicato tra il Mirox-Agent di un singolo impianto e il router proprietario di quell'impianto — lo strumento giusto quando un impianto gestisce già la propria VPN, oppure quando vuoi che Mirox ospiti una VPN verso cui il router dell'impianto si connette. A differenza della VPN personale, che fornisce a ogni utente un profilo che raggiunge tutti gli impianti autorizzati, una VPN diretta è un tunnel di infrastruttura per singolo impianto che configuri una sola volta e su cui transita il traffico dell'intero team per quell'impianto.
Le VPN dirette si configurano dalla pagina Rete di un impianto, nella scheda Site VPN.
Apri in Mirox
Apri la scheda Site VPN dell'impianto. Nell'app questa è la pagina Rete dell'impianto, scheda Site VPN.
Quando usare una VPN diretta
Affidati a una VPN diretta quando la connettività dell'impianto non si adatta al modello standard della VPN personale:
- Il router dell'impianto ospita già il proprio server VPN. Hai un file di configurazione (WireGuard
.conf) o un profilo OpenVPN (.ovpn) e vuoi che Mirox si connetta ad esso. - Il router dell'impianto può solo connettersi in uscita, non accettare connessioni in entrata. Mirox ospita l'endpoint VPN e il router vi si connette.
- Vuoi un unico tunnel sempre attivo per l'intero impianto invece che ogni utente debba portare un profilo personale.
Per il lavoro tecnico quotidiano su più impianti — apertura delle interfacce web dei dispositivi, esecuzione di strumenti diagnostici — la VPN personale e il Proxy del browser sono di solito la scelta migliore. La tabella seguente riassume la distinzione; il confronto completo si trova nella pagina della funzionalità VPN.
| Strumento | Cos'è | Chi la configura |
|---|---|---|
| VPN personale | Un profilo personale che raggiunge ogni impianto per cui sei autorizzato | Ogni utente, nei limiti dei propri permessi |
| VPN diretta (questa guida) | Un tunnel per singolo impianto tra l'agente dell'impianto e il suo router | Un Moderatore o Admin dell'organizzazione dell'impianto |
| Proxy del browser | Apri l'interfaccia web di un dispositivo dal browser, senza installazione di client | L'Operatore dell'impianto |
Le due direzioni
Una VPN diretta può funzionare in una di due direzioni. La procedura guidata di configurazione lo chiede per prima cosa, sotto Dove risiede il server VPN?
Nota: le linee tratteggiate indicano la direzione della connessione — per ogni VPN diretta si applica una sola direzione.
- Connessione in uscita — Mirox si connette al router dell'impianto. Il router dell'impianto esegue il proprio server VPN; il Mirox-Agent si connette come client. Scegli questa opzione quando disponi già di un file di configurazione o delle credenziali per la VPN del router.
- Ospitato qui — il router dell'impianto si connette a Mirox. Mirox esegue il server VPN. L'endpoint, la porta e i certificati vengono generati da Mirox e ti vengono consegnati per caricarli sul router dell'impianto. Scegli questa opzione quando il router può connettersi in uscita ma non può accettare connessioni in entrata.
Entrambe le direzioni supportano WireGuard e OpenVPN (UDP o TCP). Per OpenVPN puoi adattare le impostazioni di un router più vecchio (cifrario, digest di autenticazione, versione minima di TLS, compressione) in modo che si connetta anche il firmware legacy.
Prima di iniziare
Chi può configurare le VPN dirette
La scheda Site VPN è visibile a Technical Manager o superiore sull'impianto (incluso l'Operatore). Creare, modificare o eliminare una VPN diretta richiede un Moderatore o Admin dell'organizzazione proprietaria dell'impianto. I ruoli inferiori, e gli utenti che raggiungono l'impianto tramite una cooperazione, vedono i tunnel configurati ma non possono modificarli. L'accesso segue il sistema di permessi.
Tieni pronto:
- La direzione che ti serve (in uscita o ospitata), in base a ciò che il router dell'impianto supporta.
- Per la direzione in uscita: il file di configurazione della VPN del router (
.confo.ovpn), oppure l'indirizzo dell'endpoint e le chiavi da inserire manualmente. - La sottorete dell'impianto (o le sottoreti) dietro il router che vuoi raggiungere — gli intervalli di rete locale (CIDR) in cui si trovano gli inverter, i logger e gli altri dispositivi.
Aggiungere una VPN diretta
- Apri in Mirox: apri la scheda Site VPN dell'impianto — la pagina Rete dell'impianto, scheda Site VPN.
- Clicca su Aggiungi VPN diretta. Si apre una breve procedura guidata.
- Scegli la direzione — Mirox si connette al Park-Router (in uscita) o Park-Router si connette a Mirox (ospitato).
- Impostazioni di base — assegna al tunnel un nome e una descrizione opzionale, e scegli il protocollo (WireGuard o OpenVPN). Per un server OpenVPN ospitato puoi anche scegliere UDP o TCP e, nelle impostazioni avanzate, adattare le impostazioni crittografiche di un router legacy.
- Dettagli di connessione — (solo in uscita) carica il file
.conf/.ovpndel router, oppure passa all'inserimento manuale e digita l'endpoint e le chiavi. Per una VPN ospitata qui non c'è nulla da inserire; Mirox fornisce l'endpoint e le chiavi. - Sottorete dell'impianto — aggiungi gli intervalli di rete locale raggiungibili dietro il router. La piattaforma convalida ogni intervallo e blocca tutto ciò che entrerebbe in conflitto con l'intervallo del tunnel riservato, un percorso VPN dell'organizzazione o un'altra VPN diretta sullo stesso impianto.
- Rivedi e applica — conferma il riepilogo, quindi clicca su Applica.
Salva subito le credenziali della VPN ospitata
Quando crei una VPN ospitata, Mirox genera il certificato e la chiave di cui il router dell'impianto ha bisogno per connettersi, e li mostra una sola volta. Scaricali e caricali sul router prima di chiudere la finestra di dialogo — non possono essere recuperati in seguito. Se li perdi, elimina e ricrea il server.
Una volta che il tunnel è attivo, i dispositivi sulle sottoreti dell'impianto configurate diventano raggiungibili, e qualsiasi rilevamento dei dispositivi di rete eseguito sull'impianto effettua la scansione attraverso di esso.
Il percorso predefinito non è mai consentito
Una VPN diretta non trasporta mai un percorso 0.0.0.0/0 "invia tutto". Elenca sempre le sottoreti esplicite dell'impianto che vuoi raggiungere. Se carichi una configurazione che contiene un percorso predefinito, la piattaforma lo rimuove e ti chiede di aggiungere gli intervalli specifici.
Gestire una VPN diretta esistente
Ogni VPN diretta appare come una scheda nella tab Site VPN, contrassegnata come Server (ospitata) o Client (in uscita), con una barra di connessione in tempo reale e un indicatore di traffico. Apri il menu ... della scheda per:
- Modifica — cambia il nome, la descrizione, le sottoreti, l'endpoint o le chiavi.
- Riavvia VPN — riavvia il tunnel senza modificarne la configurazione; utile dopo una modifica delle impostazioni o un'interruzione temporanea.
- Apri log — visualizza i log di connessione recenti del tunnel per diagnosticare un problema.
- Diagnostica — (mostrato quando il tunnel è attualmente disconnesso) esegue un controllo guidato che suggerisce cosa correggere.
- Elimina / Disabilita — rimuovi il tunnel.
Gestire le sottoreti dell'impianto
Le sottoreti instradate da una VPN diretta sono ciò che rende raggiungibili i dispositivi dell'impianto. Aggiungi o rimuovi intervalli dalla vista Modifica della VPN in qualsiasi momento. Rimuovere una sottorete che ha ancora dispositivi di rete dietro di sé lascia quei dispositivi senza percorso — la finestra di dialogo di eliminazione ti avverte ed elenca i dispositivi interessati, così puoi riassegnarli prima a un altro tunnel.
VPN ospitata: connessione dei client
Una VPN ospitata può accettare due tipi di connessioni, entrambe gestite senza lasciare l'impianto:
- Connessioni di sito — il router dell'impianto stesso (o un altro sito fisso) che si connette e annuncia le sottoreti dell'impianto. Il primo client di sito viene creato automaticamente quando configuri una VPN ospitata.
- Connessioni utente — singole persone che si connettono allo stesso server ospitato. Queste sono elencate nella scheda separata User VPN, dove puoi aggiungere un utente, consegnargli il suo profilo mostrato una sola volta e rimuoverne l'accesso in seguito.
Disabilitare un server ospitato è distruttivo
Eliminare una VPN ospitata rimuove il server e ogni client connesso — sia i siti che gli utenti. Le loro configurazioni esistenti smettono di funzionare immediatamente e non possono essere riemesse; se riabiliti il server in seguito, tutti i client devono essere creati da zero.
Funzionalità correlate
- Utilizzare la VPN — il profilo VPN personale, per singolo utente, che raggiunge tutti gli impianti autorizzati
- Utilizzare il Proxy — apri l'interfaccia web di un dispositivo nel browser senza un client VPN
- Gestire i dispositivi di rete — rileva e monitora i dispositivi raggiungibili tramite un tunnel
- VPN (funzionalità) — come differiscono le varianti di VPN e come funzionano l'instradamento e l'auditing
- Ispettore di rete locale — controlli di raggiungibilità della rete dell'impianto lato piattaforma
- Registro di audit degli accessi — la traccia di audit che copre tutti gli accessi remoti