Dispositivi Zyxel 3G / 4G (LTE) - Schede, dongle, Voice over LTE e connessioni VPN

Glioperatori di telefonia mobile in genere assegnano un indirizzo IP privato dell'intervallo 10.x.x.x a un client mobile che utilizza una connessione 3G o 4G. Questi indirizzi IP fanno parte dello spazio degli indirizzi privati definito dalla RFC 1918, il che significa che non sono instradabili sulla rete Internet pubblica. Di conseguenza, il provider di telefonia mobile utilizza la traduzione degli indirizzi di rete (NAT) per convertire questi indirizzi IP privati in indirizzi IP pubblici, consentendo a più client di condividere un unico indirizzo IP pubblico quando accedono a Internet.

Questa configurazione funziona bene per la navigazione web in generale e per la maggior parte delle attività internet, ma presenta delle difficoltà quando si cerca di accedere direttamente a un dispositivo connesso via 3G/4G da internet. Poiché il dispositivo è dietro NAT, non può essere raggiunto direttamente dal mondo esterno.

Voce su LTE

Per accedere alle funzioni Voice over LTE (VoLTE) offerte dagli ISP per effettuare chiamate su LTE/4G. A causa della complessità delle configurazioni VoLTE, il firmware Zyxel non supporta VoLTE. Poiché ogni provider ha configurazioni VoLTE uniche, è meglio acquistare le apparecchiature Zyxel dal proprio provider. Come soluzione alternativa, è possibile configurare il router LTE solo per il 3G per abilitare il VoLTE, ma questo non funzionerà in regioni come la Germania dove il 3G non è disponibile.

Implicazioni per le connessioni VPN

Quando si configura una rete privata virtuale (VPN) su una connessione 3G/4G, è fondamentale tenere conto dell'ambiente NAT. Le VPN che si basano su protocolli come IPSec possono essere influenzate dal NAT perché questi protocolli sono stati originariamente progettati per una connessione diretta, end-to-end.

Le VPN IPSec con Internet Key Exchange versione 1 (IKEv1) richiedono considerazioni particolari in questi ambienti. In particolare, è necessario abilitare il NAT Traversal (NAT-T), che incapsula i pacchetti IPSec all'interno di UDP per superare i dispositivi NAT. In alternativa, l'uso di Internet Key Exchange versione 2 (IKEv2) può semplificare la configurazione in quanto supporta intrinsecamente il NAT traversal, migliorando la compatibilità e la sicurezza.

In ogni caso, quando un dispositivo su una connessione 3G/4G deve stabilire un tunnel VPN, deve essere il dispositivo ad avviare la connessione a causa dei vincoli NAT. Questo garantisce che il server VPN sia a conoscenza dell'indirizzo IP del client e possa stabilire un canale di comunicazione sicuro.

Caso di studio: Operatore mobile Sunrise

Per i clienti aziendali che utilizzano la rete mobile Sunrise, è possibile richiedere un indirizzo IP pubblico e dinamico specifico per i servizi VPN. Questo servizio permette al cliente di bypassare le restrizioni NAT che si hanno con un indirizzo IP privato, consentendo una configurazione VPN più semplice.

Per utilizzare questo servizio:

1. Richiedere l'attivazione: I clienti aziendali devono contattare Sunrise per richiedere l'attivazione di un indirizzo IP dinamico pubblico per il loro servizio VPN.
2. Modificare le impostazioni APN: Una volta attivato il servizio, il nome del punto di accesso (APN) sul dispositivo mobile deve essere modificato in "remoto". Questa impostazione indica alla rete mobile di assegnare al dispositivo un indirizzo IP pubblico anziché privato, eliminando la necessità di attraversare il NAT nella configurazione VPN.

Questo servizio è particolarmente utile per le aziende che necessitano di connessioni VPN affidabili e sicure per i lavoratori remoti che sono spesso in viaggio e si affidano a Internet mobile per la connettività.

Ulteriori considerazioni

• Implicazioni per la sicurezza: L'assegnazione di un indirizzo IP pubblico a un dispositivo mobile può esporlo a potenziali minacce alla sicurezza provenienti da Internet. Pertanto, è fondamentale garantire che i dispositivi che utilizzano IP pubblici siano dotati di solide misure di sicurezza, come firewall robusti e software antivirus aggiornati.
• Considerazioni sull'IPv6: Con la graduale adozione dell'IPv6, alcuni operatori mobili possono offrire indirizzi IPv6 che non richiedono NAT. L'IPv6 può semplificare le configurazioni VPN poiché ogni dispositivo può avere un indirizzo IP unico e instradabile a livello globale, eliminando alcune delle complessità associate al NAT.
• Impostazioni APN: I diversi operatori di telefonia mobile hanno impostazioni APN specifiche che devono essere configurate per vari servizi. È importante assicurarsi che venga utilizzato l'APN corretto per il servizio desiderato, poiché impostazioni errate possono causare problemi di connettività.
• Alternative a IPSec: Sebbene IPSec sia ampiamente utilizzato, altri protocolli VPN come OpenVPN o WireGuard possono offrire una maggiore flessibilità e una maggiore facilità di attraversamento NAT. Questi protocolli sono spesso più facili da configurare su dispositivi che cambiano spesso rete o che operano dietro NAT.

Conclusione

L'utilizzo di connessioni 3G/4G per l'accesso VPN è comune, soprattutto negli scenari in cui le connessioni Internet via cavo non sono disponibili o non sono praticabili. Tuttavia, l'uso di indirizzi IP privati e di NAT da parte degli operatori mobili introduce ulteriori fasi di configurazione per garantire connessioni VPN affidabili e sicure. Comprendendo queste sfumature e configurando correttamente la VPN e i dispositivi mobili, le aziende e i privati possono ottenere un accesso remoto efficace e sicuro attraverso le reti mobili.