Ciao, da qualche tempo ho un problema che solo ora mi sono convinto di voler risolvere.
Premetto che di mestiere non faccio il sistemista ma con le reti e i server ci combatto tutti i giorni 🙂

La mia rete è così composta:

  • 192.168.1.1: Router fritz 7530 con DNS classici Tiscali + DNS per rete locale che punta al mio server (192.168.1.145)
  • 192.168.1.145: Server che offre i seguenti servizi: pi-hole, openvpn, firewalld, più altri che non elenco perchè non c'entrano nulla con la topologia della rete nè con il problema. Il server è un Pine RockPro64
  • altri dispositivi tutti nella stessa subnet
    Quando mi collego in VPN riesco a raggiungere il server e i dispositivi della mia LAN, ma non accedo ad internet.
    Ho fatto diverse prove pingando vari server sia tramite nome che tramite IP, tutti senza successo.

Configurazione openvpn
Il server è raggiungibile all'indirizzo 10.8.0.1, il client da cui faccio le prove ha IP 10.0.8.4. Non ci sono altri client al momento.
L'incvterfaccia di comunicazione è la classica tun0.
Il server esegue il push delle seguenti rotte, in modo da redirigere tutto il traffico internet del client in VPN:

push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"

Tutte le altre configurazioni sono quelle di default.x

Configurazione pi-hole
pi-hole è configurato per fare da DNS ma non da DHCP (preferisco che sia il router a fornire gli indirizzi), e accetta in ingresso connessioni da eth0. Il suo lavoro lo fa perchè in LAN tutti gli ad vengono bloccati.
Se imposto pi-hole per accettare connessioni da tutte le interfacce non riesco più a navigare nè in VPN nè in LAN.

Configurazione firewalld
Ho 2 zone:

  • home: la utilizzo in LAN e di base permette tutti i servizi che il server hosta
  • external: la utilizzo in VPN e permette solo un sottoinsieme di servizi (ma potrei estenderlo se serve). Inoltre, ha masquerade attivo per poter fare il NAT del traffico dei client 
    # firewall-cmd --info-zone=home
home (active)
  target: default
  icmp-block-inversion: no
  interfaces:
  sources: 192.168.1.0/24
  services: dhcpv6-client dns http https samba samba-client sip sips ssh
  ports: 10000-20000/udp 8080/tcp 1883/tcp
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

# firewall-cmd --info-zone=external
external (active)
  target: default
  icmp-block-inversion: no
  interfaces: tun0
  sources: 10.8.0.0/24
  services: dns http https openvpn samba samba-client ssh
  ports: 1883/tcp
  protocols:
  forward: no
  masquerade: yes
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

La guida di ufficiale di pi-hole dice di abilitare l'ascolto su tutte le porte e da qualsiasi origine, ma come dicevo se lo attivo non navigo più neanche in LAN.
Penso che il problema sia questo, qualcuno ha idea di cosa posso fare per risolvere o almeno indagare più a fondo?
Se servono altre info chiedete pure!
Grazie a tutti!

    • [cancellato]

    • Messaggio #2
    • Modificato

    pierbot all'indirizzo 10.0.8.1

    pierbot 10.8.0.0/24

    È un refuso oppure è proprio impostato cosi?
    Il mio server risponde all'indirizzo 10.8.0.1

    • pierbot ha risposto a questo messaggio

          [cancellato] si errore di battitura. Grazie della segnalazione

            pierbot push "redirect-gateway def1 bypass-dhcp

            Questa la devi togliere, se vuoi che il traffico internet non passi per la VPN.

            Altrimenti se la vuoi tenere e far passare il traffico internet per la VPN dei aggiungere una rotta statica sul tuo router che dica 10.0.8.0 mask 255.255.255.0 next-hop 192.168.1.145

            • pierbot ha risposto a questo messaggio
                5 giorni dopo

                gandalf2016 Grazie della risposta. L'ho provata solo ora, ma sfortunatamente non funziona.
                Colgo l'occasione per chiarire meglio:

                gandalf2016 Questa la devi togliere, se vuoi che il traffico internet non passi per la VPN.

                Io voglio che il traffico passi per la VPN. Più che volerlo ne ho bisogno in quanto nel server è hostato anche nginx che permette l'accesso ai miei siti solo da reti locali (192.168.1.0/24 e 10.8.0.0/24). Tutto il resto è bloccato. Tutto questo funziona, ma come detto, in VPN non c'è connettività internet.

                Qualcuno ha idea del perchè internet non va se abilito l'opzione pihole -a -i all? Credo che il problema sia tutto li.

                    22 giorni dopo

                    gandalf2016 Questa la devi togliere, se vuoi che il traffico internet non passi per la VPN.

                    Dato che non ho trovato nessun modo di risolvere alla fine ho tolto la direttiva push "redirect-gateway def1 bypass-dhcp qindi ora il traffico client non viene dirottato verso il server, ma gl indirizzi della mia LAN vengono comunque risolti correttamente.

                    gandalf2016 Altrimenti se la vuoi tenere e far passare il traffico internet per la VPN dei aggiungere una rotta statica sul tuo router che dica 10.0.8.0 mask 255.255.255.0 next-hop 192.168.1.145

                    La rotta statica invece non ha prodotto alcun risultato, quindi l'ho disabilitata.

                    Grazie @gandalf2016

                        Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                        P.I. IT16712091004 - info@fibraclick.it

                        ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile