Buongiorno, nella mia rete casalinga ho diversi dispositivi tipo NAS, webcam e altri esposti su internet aprendo delle porte sul router Technicolor DGA4130 verso l'IP fisso di ogni dispositivo.

Utilizzo delle porte alte non standard per dare un minimo di (finta) protezione, ma visto anche il recente attacco Deadbolt ai NAS QNAP vorrei cambiare e accedere alla LAN tramite VPN.

Avevo pensato ad un Raspberry ma al momento si trovano solo a prezzi altissimi, quindi stavo cercando un dispositivo che faccia da server VPN in modo da potermi collegare alla LAN dall'esterno tramite PC Windows e smartphone/tablet Android.

Ho visto che ci sono dei TP-Link o GL.iNet ma non ho capito quale può andare bene.

In particolare se non ho capito male il raspberry ha una sola porta di rete collegata alla LAN e tramite quella consente la connessione dall'esterno all'interno, mentre gli altri device hanno porte Wan e Lan e suppongo vadano messi tra il router TIM e la LAN, mi sarebbe più comoda una soluzione tipo raspberry in modo da passare inizialmente solo il NAS alla VPN e poi gradualmente tutti gli altri (sono tanti) su cui ho l'inoltro porte.

Se qualcuno mi potesse chiarire le idee e darmi il nome di qualche device (possibilmente <100 eur) gliene sarei molto grato.

    PiVPN con WireGuard su un Raspberry Pi 3B+ o 4 (per la ethernet gigabit).

    qsecofras Te la butto lì... Potresti acquistare un router compatibile con openwrt che potresti usare o come router in cascata o direttamente con AP, sul quale ad esempio installare openvpn:
    INTERNET > ROUTER > reinstradamento porta vpn verso OWRT > OWRT

    In reatà, dai miei ricordi del QNAP, direi potresti anche installare direttamente la vpn sullo stesso QNAP (e abilitando il routing sempre sul QNAP):
    INTERNET > ROUTER > reinstradamento porta vpn verso QNAP > QNAP

    Lasciando ovviamente il resto totalmente chiuso

      qsecofras GL.iNet ma non ho capito quale può andare bene.

      Questi glinet vanno bene e sono super facili da configurare come vpn.
      Hanno solo il problema delle prestazioni, e richiedono una VPN wireguard per avere prestazioni buone

        qsecofras

        Ok, allora come ti è stato consigliato sopra, usa il Qnap. Così spendi zero euro.
        In rete trovi un sacco di guide su come configurarlo.

            Technetium
            Mi sembra di aver letto che il fatto di esporre il QNAP su internet lo espone a rischi in quanto ha diverse potenziali vulnerabilità.
            O forse il problema non si pone se lo imposto come server OpenVPS aprendo solo lo porta UDP necessaria ma usandone una diversa dalla 1194 standard?

            • Alfoele ha risposto a questo messaggio

                qsecofras Quanto scrivi è corretto, non stai esponendo l'interfaccia del QNAP ma semplicemente il servizio VPN su una porta diversa dalla 1194 di default, peraltro UDP.

                A questo punto, una volta connesso, se devi vedere solo il QNAP sei a posto, diversamente devi:

                • abilitare il routing sul QNAP
                • aggiungere la static route verso l'indirizzo della subnet della vpn sugli altri apparati della LAN (almeno quelli da poter vedere in vpn). La rotta statica la configuri a mano o, se hai un dhcp server decente la puoi configurare anche sul dhcp

                    Alfoele
                    Al momento mi va bene vedere solo il QNAP e ho fatto come hai suggerito con OpenVPN e funziona.
                    Però senza che io abbia fatto nessuna configurazione del routing mi fa vedere anche la cartella condivisa che ho su un PC della LAN.
                    La mia rete ha indirizzi 192.168.1.xxx , quando ho configurato il server VPN sul QNAP mi ha fatto scegliere come indirizzi da dare ai client solo indirizzi al di fuori di questo range per cui ho scelto 192.168.0.xxx
                    Poi ho installato il client OpenVPN su un telefono Android mi sono collegato (da rete cellulare TIM) e con un file manager mettendo l'IP locale del NAS 192.168.1.10 vedo i suoi file e mettendo l'IP locale del PC 192.168.1.11 vedo a sua volta i suoi file.
                    Ma nel client VPN mi dice che l'IP del client è 192.168.0.6 per cui su un'altra rete.
                    C'è qualche dispositivo che fa il routing automaticamente?
                    Tra l'altro nella console QVPN del QNAP mi dice che è connesso l'utente con il mio nome utente (che ho messo nel client) ma con indirizzo IP 176.200.xxx.xxx che non è l'IP del mio cellulare TIM che è 82.56.xxx.xxx
                    La comunicazione passa da un server intermedio?
                    Dove si abilita e configura il routing sul QNAP?
                    Mi piacerebbe capire cogliendo l'occasione per imparare qualcosa di nuovo...
                    PS l'ho scritto nell'oggetto che era una cosa per un niubbo 🙂

                    • Alfoele ha risposto a questo messaggio

                        qsecofras devo farti qualche domanda per il routing ma adesso sono di corsa... Vedo se ho tempo più tardi...

                          Alfoele abilitare il routing sul QNAP
                          aggiungere la static route verso l'indirizzo della subnet della vpn sugli altri apparati della LAN (almeno quelli da poter vedere in vpn). La rotta statica la configuri a mano o, se hai un dhcp server decente la puoi configurare anche sul dhcp

                          Sempre che il NAS non faccia srcnat

                            qsecofras fa vedere anche la cartella condivisa che ho su un PC della LAN

                            Probabilmente il QNAP ha attivo il routing o come diceva @edofullo natta l'ip del peer remoto (il cellulare) della vpn (sembreresti già a posto così...). Se vuoi toglierti qualche dubbio, dal cellulare collegato in vpn prova a:

                            • vedere se va il ping verso altri host presenti sulla lan e se ti rispondono, e hai modo...
                            • prova a fare ssh su un device diverso da qnap e verifica da che IP risulti connesso (se quello della vpn sul cellulare o se da quello del qnap 192.168.1.10, in quest'ultimo caso fa srcnat).

                            qsecofras C'è qualche dispositivo che fa il routing automaticamente?

                            Il QNAP come sopra ipotizzato

                            qsecofras ma con indirizzo IP 176.200.xxx.xxx che non è l'IP del mio cellulare TIM che è 82.56.xxx.xxx

                            Il cellulare dovrebbe essere nattato da TIM e quindi esce con un IP che non è quello a bordo del telefono.

                            qsecofras Dove si abilita e configura il routing sul QNAP?

                            A sto punto non serve

                            Cmq non ricordo se ci siano delle opzioni da interfaccia del QNAP, ma essendo un Linux, si dovrebbe attivare secondo quanto sotto:

                            • in mpdp temporaneo (fino al successivo riavvio o dando il comado con lo "0" come indico dopo) ccon il comando:
                              sysctl -w net.ipv4.ip_forward=1oppure echo 1 > /proc/sys/net/ipv4/ip_forward
                              (con lo "0" al posto dell"1" lo disabiliti)

                            • in modo permanente editando il file /etc/systctl.conf come segue:
                              net.ipv4.ip_forward = 1

                                    Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                    P.I. IT16712091004 - info@fibraclick.it

                                    ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile