Vpn Wireguard

[cancellato]

Salve , ho appena finito di installare la Vpn Wireguard sul mio Raspberry 3, durante l'installazione ho settato come server Dns il Pi-Hole ed effettivamente le richieste dns della Vpn appaiono sul Pi-hole.
Il mio problema è quello di riuscire a raggiungere la lan con il client android con connessione 4g ma non riuscire a navigare su internet attraverso il mio router.
Allego configurazione client.

ag23900

[cancellato] guarda io ho fatto la stessa roba.

Il mio setup è il seguente:

Docker con pi hole e wireguard nello stesso network in modo da farli parlare, VPN WG Always-On sul mio iPhone.

Ho configurato Wireguard normalmente, inserendo come DNS l’IP del Pi-hole nella subnet di docker in cui ci sono entrambi i container (172.16.0.2).

Dopo di che ho impostato come allowed traffic (si può fare anche tramite l’app) solo la subnet docker con Pi-hole e wireguard (172.16.0.0/12, quella in cui ci sono Pi-hole e wireguard è una /24, ma almeno così raggiungo anche tutti gli altri container senza mettere iplocalepi:portaservizio) e quella del mio network a casa (10.0.0.0/24), così:

Dopo di che ho impostato una rotta statica nel router in questo modo:

E riesco a usare il Pi-hole fuori casa e anche a raggiungere tutta la rete locale tramite VPN, lasciando che il resto non passi tramite la VPN

Sicuramente ci sono modi più puliti per farlo, ma if if it ain’t broke don’t fix it

edofullo

Metti il contenuto di:

cat /proc/sys/net/ipv4/ip_forward

e di:

sudo iptables -S FORWARD

E anche

sudo iptables -T nat -L

[cancellato]

edofullo
il contenuto del primo comando é 1, per il secondo -P forward accept, per il terzo comando ti allego schermata.

edofullo

ag23900 Sicuramente ci sono modi più puliti per farlo, ma if if it ain’t broke don’t fix it

No, penso sia il modo migliore.

L'altro modo (se il router non supporta le rotte statiche) è fare NAT sul raspberry, ma in questo modo dalla LAN non riesci a raggiungere i client connessi in VPN.

[cancellato]

ag23900
Questa la configurazione del client

Io ho installato il pi hole sul raspberry il quale è collegato via lan al router.
Ho provato, nel client a lasciare tutti zeri a gli ip consentiti, ho provato anche come da immagine ad inserire 192.x x.x. e 10.6.x.x, che sono la mia lan e la vpn ma continuo a raggiungere la lan , ma non navigo su internet, io vorrei tramite vpn navigare passando dal mio router così da poter usufruire del pi hole anche quando sono fuori.
Anche io ho un Asus e ho la possibilità di inserire eventualmente delle rotte statiche, come dovrei settare?
Grazie

ag23900

edofullo ah nice, pensavo ci fossero modi migliori perché diciamo che ho fatto tutto andando un po’ a cazzo de cane, quindi pensavo ci fossero metodi più sofisticati per farlo 😂

edofullo

ag23900 Il modo "migliore" successivo sarebbe mettere la VPN direttamente sul firewall/router.

[cancellato] Mi sembra tutto ok, prova a fare un tracroute da telefono verso 192.168.1.1 e vedi che succede

LucaTheHacker

[cancellato] Occhio che si leggono benissimo tutti i dati...

[cancellato]

[cancellato] I router consumer fanno NAT solo della subnet LAN locale; per navigare via VPN devi far fare un NAT anche al server VPN, mascherando il range 10.6.0.0/24 nel suo IP della 192.168.1.0/24.

[cancellato]

LucaTheHacker
grazie , comunque era un profilo di prova.

[cancellato]

edofullo
Mi succede un cosa strana, ovvero stamane con questo settaggio arrivavo alla lan ma non riuscivo a andare su internet, adesso senza modifiche ho attivato la vpn sul cellulare ed arrivo sempre sulla lan ma riesco anche ad andare su Internet ma non tramite il router di casa ma col 4g del cell.
Boh

edofullo

[cancellato] Se guardi la schermata iptables che gli ho fatto mandare, già lo fa.

[cancellato]

edofullo Vero, mea culpa, allora le cose sono due: IP consentiti lato client (per navigazione generica deve dare 0.0.0.0/0) e rotte, ma dipende dall’applicazione client.

edofullo

[cancellato]

[cancellato] IP consentiti lato client (per navigazione generica deve dare 0.0.0.0/0) e rotte

Allora il problema mi sa che l'ha beccato ziomatt, ho provato a vedere la mia vecchia config di Wireguard (ora uso L2TP) e in effetti è fatta così:

[Interface]
Address = 10.13.13.3
PrivateKey = kKYiky4gFqlcu5+Zxhxob5nErOBxvE5IiiY8Mjb2QW8=
ListenPort = 51820
DNS = 10.0.0.250

[Peer]
PublicKey = PC9MvHIrRAfKVjCD8SwjPt5sCpB0s2Tzvd4Id0rpyDo=
Endpoint = raspi.miarete.net:51820
AllowedIPs = 0.0.0.0/0

10.0.0.x sono gli host della LAN e 10.13.13.x sono quelli della VPN, penso tu debba cambiare solo la parte AllowedIPs e metterla 0.0.0.0/0

[cancellato]

edofullo [cancellato]
Messi tutti zeri su ip permessi e tutto va.
Devo impostare delle rotte statiche sul router?

bortolotti80

@edofullo
Ho aggiunto uno schema e forse è più capibile

Ho guardato delle spiegazioni per la iptable di OpenWRT

Ci ho pensato, al fatto del perchè fosse necessario il NAT tra LAN e VPN, se io da vpn faccio una richiesta qualsiasi avrò: Source- IP-pubblico, Destination: IP-Locale o Pubblico, il gateway che riceve un pacchetto in forwarding con Source IP-pubblico lo scarta, al contrario se mettiamo il NAT, il Source viene riscritto da OpenWRT con il suo IP nella rete Locale del Gateway, perciò non ho idea di come risolvere in modo differente

Anche in questa discussione se ho capito bene si parlava di qualcosa di simile:
[cancellato]

Lato sicurezza, il gateway accetta in ingresso solo richieste verso la porta UDP 51820, che inoltra al router OpenWRT verso destinazione 10.0.5.1 (che dovrebbe solamente creare la connessione o rifiutarla), in teoria altro non potrebbe fare, non mi viene in mente altro 🤔

Mentre il peer o client, tramite il campo allowed IP, mi permette di scegliere quale traffico far passare per la VPN se ho capito bene, 0.0.0.0/0,::0 per dirottare tutto il traffico sia IPv4 che IPv6

Aggiungo ho sperimentato con il firewall, provando a fare tutto passo passo, sono giunto alla conclusione che, avendo messo le interfaccie wireguard e lan sullo stesso piano, per openWrt possono comunicare (internamente ad esso) il problema è come poi openWrt si interfaccia alla lan, senza nat dalla vpn non si esce dal router OpenWrt

Questa è la configurazione attuale, più base che ho testato e con cui tutto funziona, non mi piace molto l'idea di Nattare verso la Lan, ora provo a ragionarci ancora

edofullo

[cancellato] Devo impostare delle rotte statiche sul router?

No, a meno che tu non voglia raggiungere dalla LAN dispositivi connessi in VPN

[cancellato]

edofullo @[cancellato]
Grazie, è sempre un piacere leggervi, ve lo dice un cinquantenne superautodidatta.

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile