VPN casalinga

lv0 · 2022-12-30T16:46:28+00:00

Ciao a tutti, premetto che sono piuttosto ignorante in materia, ma il mondo del networking mi ha sempre affascinato. Mia sorella si è trasferita da poco all'...

eutampieri

lv0 devi cercare luci-proto-wireguard e luci-app-wireguard da System > Software

lv0

eutampieri Non li trovo

D3de Certo, considerando anche che il router non mi sembra tutta questa potenza, è solo una prova che vorrei fare e testare come va eventualmente 😉

D3de

Peró c’è da considerare che quando sarà collegata in vpn, il suo download sarà il tuo upload, quindi sarà limitata alla tua velocità di upload. Se per caso deve scaricarsi qualcosa o guardarsi qualche contenuto in streaming potrebbe magari far fatica lei e ti satura l’upload a te. Probabilmente ipotizzo non riuscirebbe neanche a sfruttare la linea che ha.
Questione diversa sarebbe con una ftth.
Personalmente sceglierei una buona vpn, poi chiaro che in questo caso provare non costa nulla🙂

edofullo

eutampieri (il technicolor non sono sicuro, @edofullo lo sa)

Diepnde dalla versione del kernel, però io ho sempre usato solo IPSec su quei cosi, quindi non lo so.

lv0

Ho provato a collegare a Internet il D-Link e non scarica comunque i pacchetti. È collegato via LAN al TIM Hub.
Via WiFi riesco a navigare, ma lui è come se non vedesse che è connesso alla rete. Non riesce a pingare, dice che Internet è irraggiungibile.
Non so se è corretto, ma ho disabilitato il server DHCP e gli ho assegnato l'IP 192.168.1.2 (quello del TIM Hub è 192.168.1.1), altrimenti non riuscivo a raggiungere la pagina di accesso.
Guardando su internet, ho anche aggiunto il come DNS il modem TIM

eutampieri

lv0 mmm OpenWrt per la prima volta può mettere in difficoltà. Segui questa guida: https://openwrt.org/docs/guide-user/network/wifi/dumbap
In pratica devi toglier l'interfaccia WAN e impostare il protocollo della LAN come client DHCP

documibozu

lv0

il Tim-hub nel tuo caso funziona da gateway e il D-link da router.
il gateway e il router devono stare su sottoreti diverse.
Quindi Timhub 192.168.0.1 con DMZ verso il Dlink settato in ip statico come 192.168.0.2.
Il Dlink poi distribuirà indirizzi in dhcp nella sottorete 192.168.1.x.
A questo punto, risolto il problema delle route, procedi a configurare wireguard come da tutorial

lv0

eutampieri impostare il protocollo della LAN come client DHCP

Trovato il problema! Ora ho installato quello che mi hai detto e mi spunta una nuova voce sotto "Status".

Ora però non riesco a capire bene come configurare le interfacce.

leofer

procedura con luci ( +o- dettagliata 🙂 , correggete qualsiasi errore/imprecisione)

installa wireguard e genera la chiave pubblica e privata ( ti servono poi dopo) come dice nel wiki
aggiungi una nuova interfaccia con protocollo Wireguard VPN
modifica l'interfaccia appena creata, nel campo private key copia e incolla la stringa contenuta nel file della chiave privata che hai generato all'inizio. Listen port se non hai necessità o problemi lascia la 51820. ip addresses devi indicare quali indirizzi sono ammessi nell'interfaccia, es se vuoi lasciare un'intera sottorete ( da x.x.x.0 a x.x.x.255) fai tipo 192.168.9.1/24 , l'indirizzo ip dell'interfaccia (quindi nel router dlink all'interno della vpn) sarà il 192.168.9.1
nella scheda firewall settings, se ti fidi metti o per provare al volo metti pure nella lan ( altrimenti dovrai creare un'altra zona e vietare il transito tra la zona lan e la zona a cui assegni la vpn )
Nella scheda peers dovrai aggiungere i vari client che si devono connettere ( si, ciascuno a mano ). Il campo public key è la chiave pubblica del peer che si vuole connettere, su allowed ips inserisci l'ip che vuoi assegnare a quel peer o la sottorete che vuoi permettere arrivi a quel peer. ad esempio 192.168.9.5/32 per permettere solo questo ip
persistent keepalive, metti un valore < 30 ( es. 25 ) se l'endpoint è dietro ad un CGNAT ( come le connessioni mobili ). serve per mandare dei pacchetti ogni tot secondi per mantenere la porta aperta nel nat. Se non sai da che tipo di connessione parte il peer, mettilo comunque.
Salva tutto. Ti consiglio ogni volta che fai salva ed applica, poi comunque di riavviare subito dopo l'interfaccia vpn con il tasto restart ( non ho capito il motivo ma più volte mi è rimasto incagliato wireguard senza il riavvio interfaccia )

Se hai ip dinamico ( ho letto che hai una FTTC ) ti serve anche il ddns wiki openwrt, io come servizio uso dynu

Quando configuri wireguard sul peer ( esempio il client per windows ) avrai sempre una chiave publica e una chiave privata. La chiave pubblica generata dal client, va aggiunta con il peer corrispondente dentro openwrt, e la chiave pubblica generata da openwrt, va configurata nelle impostazioni della connessione del client ( si scambiano le chiavi pubbliche ).
L'indirizzo ip del client deve corrispondere a quello impostato su openwrt, quindi anche nel client darai all'interfaccia es. 192.168.9.5/32
Per poter raggiungere ( e farti raggiungere da ) l'intera sottorete, nella configurazione del client devi permettere l'intera sottorete, quindi 192.168.9.0/24, per trasmettere tutto il traffico dati dal client verso la vpn, dovrai aggiungere alla lista degli ip consentiti 0.0.0.0/0, ::/0
L'endpoint del client, sarà l'url del ddns seguito dalla porta, quindi per esempio mioserver.com:51820

Ricorda di fare il port forwarding nel tim hub della porta 51820 verso il dlink con openwrt.
Avendolo impostato come client dhcp in LAN, nel dlink non dovrebbe servire aggiungere un'eccezione al firewall per la porta 51820

Impostare openwrt come peer wireguard e inoltrare tutta la rete locale estera, invece non l'ho mai provato, però tieni sempre conto che il download del peer sarà il tuo upload, quindi 20mbit/s al massimo se sei su rete tim ( 35 su fastweb SLU, ma il concetto non cambia ). Quindi potresti facilmente saturare il tuo upload

lv0

leofer Grazie mille!
Sono riuscito a fare tutto solo che però non si connette. O almeno, sul telefono mi spunta la scritta che la VPN è collegata, ma di fatto no. Penso di aver sbagliato qualcosa sui peer, non ho ben capito se il router ha delle chiavi pubbliche e private e il telefono ne ha altre due diverse.
Inoltre, come devo fare per associare ddns?

lv0

Provo a mandare la configurazione attuale.
Telefono:

Mentre sul computer:

bortolotti80

lv0
L'app wireguard (su android dove la utilizzo) ha un log, da quello riesci a capire se si collega al "server"

Impostazioni > visualizza log

Si connette al peer, fa gli handshake e poi dovrebbe mostrarti connected e i pacchetti keep alive per mantenere la vpn attiva nel tempo, se il keep alive scade il tunnel si chiude (scritto in modo discorsivo)

edofullo

lv0 1450 di MTU soprattutto su rete mobile/pppoe vuol dire andarsi a cercare problemi, metti 1280 da tutte le parti

lv0

bortolotti80

Mi dice solamente “connected”

lv0

edofullo cambiati, ma non funziona comunque

edofullo

lv0 Mi sa che stai facendo casino con gli indirizzi.

Devi mettere:

OpenWrt:

IP Address 192.168.5.1/24
Peer iPhone Allowed IPs 192.168.5.5/32
No Use Default Gatway
Sbloccare la porta udp/51820 dal Firewall sezione INPUT
Si Route Allowed IPs

iPhone:

IP Address 192.168.5.5/32
IP Consentiti 0.0.0.0/0

Verifica molto bene le chiavi pubbliche/private che è un attimo fare del casino.

eutampieri

lv0 dagli screen non mi sembra che l’è doping sia configurato. È facoltativo perché se la connessione viene iniziata dall'openwrt non serve, ma in uno dei due dispositivi devi mettere l'IP

lv0

Ok, cambiato tutto con quello che mi avete detto. Le chiavi sono corrette.
Ho attivato il servizio del DDNS e ho aggiunto quello all'endpoint, con anche la porta.
La VPN si connette come prima, ora però se vedo nei log mi dice questo:

[NET] peer(O7Sg…DjhM) - Handshake did not complete after 5 seconds, retrying (try 2)
2023-01-03 16:41:01.906
[NET] peer(O7Sg…DjhM) - Sending handshake initiation

La cosa positiva è che sembra trasmettere qualcosa, perché ora il dato è maggiore di 0 su LuCI. Nonostante tutto comunque, non navigo su internet e non riesco quindi a vedere l'IP con cui sono connesso

bortolotti80

lv0 La cosa positiva è che sembra trasmettere qualcosa, perché ora il dato è maggiore di 0. Nonostante tutto comunque, non navigo su internet e non riesco quindi a vedere l'IP con cui sono connesso su Internet

Mi spiegheresti la configurazione di rete?

Openwrt è collegato direttamente a internet?

Hai provato ad accedere a luci da rete cellulare mentre la vpn è attiva?

lv0

bortolotti80 Mi spiegheresti la configurazione di rete?

Certo, allora ho un TIM Hub (IP 192.168.1.1) come modem. Ho collegato LAN-LAN il TIM Hub con il D-Link che ha OpenWRT (IP 192.168.1.181).

bortolotti80 Openwrt è collegato direttamente a internet?

In realtà su questo punto sono un po' confuso, nel senso che internet con il D-Link funziona tranquillamente, ma non sono invece sicuro delle interfacce che sono configurate (cioè l'interfaccia per WireGuard e la LAN, presente già di default).

bortolotti80 Hai provato ad accedere a luci da rete cellulare mentre la vpn è attiva?

No, non ho provato

eutampieri

lv0 prova in LAN con endpoint .181 e vedi se fa l'handshake

bortolotti80

lv0 Certo, allora ho un TIM Hub (IP 192.168.1.1) come modem. Ho collegato LAN-LAN il TIM Hub con il D-Link che ha OpenWRT (IP 192.168.1.181).

Allora devi fare una configurazione come avevo fatto io

https://forum.fibra.click/d/28249-wireguard-vpn-openwrt-server

Attualmente tu dovresti riuscire ad effettuare ping verso 192.168.5.0/24, il resto è isolato se non hai modificato reti e altre impostazioni di OpenWRT
(Se vuoi esserne sicuro fai un ping verso 192.168.5.1 con VPN attiva e rete cellulare)

Io ho mantenuto quella configurazione per un anno finchè ho dismesso openwrt, mai avuto problemi e prestazioni decenti, man mano che prosegui nella discussione ho fatto degli aggiustamenti alle configurazioni

lv0

eutampieri Non ho capito dove devo metterlo

bortolotti80 Attualmente tu dovresti riuscire ad effettuare ping verso 192.168.5.0/24, il resto è isolato se non hai modificato reti e altre impostazioni di OpenWRT
(Se vuoi esserne sicuro fai un ping verso 192.168.5.1 con VPN attiva e rete cellulare)

Ho fatto un test in 4G con rete mobile e mi da "request time out".

bortolotti80 Allora devi fare una configurazione come avevo fatto io

Ho sistemato il firewall come lo hai fatto tu, poi comunque ho aperto la porta sul TIM Hub (protocollo UDP, porta LAN e WAN 51820, IP destinazione 192.168.1.181 - il D-Link)

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile