Backup LTE: accedere alla LAN

edofullo

Mi sono recentemente dotato di un backup LTE per la mia rete (meglio tardi che mai...) e ora mi trovo ad affrontare una questione spinosa, cioè trovare un modo per permettere di accedere alle risorse hostate in locale anche quando la WAN principale è down.

Avendo già IP dinamico ovviamente il problema scaturisce solo dal fatto che le sim mobile sono praticamente tutte sotto NAT (e dal fatto che per il backup volevo spendere poco)

Le uniche cose che ho bisogno raggiungibili sono Bitwarden ed HomeAssistant che sono su tcp/443 e MQTT che è tcp/1883, anche Wireguard non farebbe schifo ma non è strettamente necessario, inoltre una irrangiungibilità di qualche minuto (tempo di far scadere il TTL del DNS) è tollerabile.

Ho pensato alle solite due soluzioni più semplici:

VM su Oracle Cloud (o altro provider) con Wireguard e port forwarding verso casa
Come per soluzione 1 ma usando direttamente un reverse proxy direttamente su "cloud" da usare sempre
Cloudflare? Forse perchè in realtà non so come potrebbe lui raggiungermi senza una VPN o simile, però leggevo che qualcuno lo aveva usato.
Qualche giro strano passando per la linea Sky (che ho già, con anche il tunnel)
Algoritmo dello struzzo, ignorare il problema e non si accederà alla domotica da remoto/ai dispositivi domotici remoti per il tempo che sta giù la rete.

La seconda soluzione la scarterei perchè avrei solo spostato il problema, il single point of failure diventa il provider cloud invece della mia connessione (che comunque è sempre stata molto molto stabile).
La prima soluzione (e la quarta) sono quelle che mi piacciono di più perchè mi permetterebbero di continuare a connettermi direttamente come faccio ora quando la WAN è up evitando terzi che potrebbero avere problemi o spiarmi il traffico 🤓

Il problema è che non so bene come gestire i record DNS, perchè ad ora ho un dyndns, il problema è capire come fare a digli che quando cade la rete deve mettere l'indirizzo della VPS/Linea Sky invece di quello della SIM.

Inoltre preferirei non complicare troppo la faccenda visto che tra un po' rischio di essere lontano da casa per un po' di tempo e quindi meno cose ci sono che possono andare storte, meglio è.

[cancellato]

edofullo il problema è capire come fare a digli che quando cade la rete deve mettere l'indirizzo della VPS/Linea Sky invece di quello della SIM.

Immagino che il servizio non permetta di registrare IP multipli per lo stesso host.

La mia idea è evitare che la linea LTE abbia il dynamic DNS attivo. Lato VPS fai uno script che verifica lo stato della WAN principale, se non risponde invia al dynamic DNS il comando per registrare il suo IP. Il problema poi diventa verificare quando la WAN principale ritorna attiva, in particolare se ritorna con un IP diverso. Quando si riconnette dovrebbe anche inviare il comando al DNS dinamico, qui ci sarebbe da evitare di entrare in conflitto con la VPS - potresti inviare un segnale dalla linea principale alla VPS quanto ritorna attiva, magari anche una sorta di heartbeat ed evitare il polling lato VPS.

Questo se non puoi optare per due hostname separati da usare alla bisogna.

laky123

edofullo Cloudflare? Forse perchè in realtà non so come potrebbe lui raggiungermi senza una VPN o simile, però leggevo che qualcuno lo aveva usato.

Io sto usando questa opzione. Il tunnel di Cloudflare zero trust, configurato tramite docker, fa in automatico il tunnel verso i loro server così senza neanche bisogno di aprire porte quando la connessione cambia si ricollega da solo.
Il limite è nel numero di porte supportate che sono quelle del proxy normale.
Per il collegamento da remoto ho pfsense con Tailscale.

Per farti tutto da solo vps + wireguard con inoltro delle porte è una soluzione più flessibile così è il Mikrotik a gestire la connessione tramite la linea che funziona al momento.

[cancellato]

edofullo Il problema è che il servizio dyndns è sul miniPC che non ha idea se sta usando la linea principale o la secondaria.

Puoi impostare delle regole di policy routing nel mikrotik per farlo uscire sempre e solo dalla principale.

edofullo E già mi vien male su cosa potrebbe succedere con NAT reflection... che mi sa si spaccherebbe.

Hairpin NAT? No se configurato bene non dovrebbe rompersi. È una regola di source NAT alla fine, niente di ché...

edofullo MQTT che è tcp/1883

Sicuro sicuro sicuro che sia una buona idea lasciarlo pubblicamente accessibile? Io non lo farei... Per quali scenari ne hai bisogno?

Axo92

edofullo se usi Tim mobile, puoi chiedere gratuitamente al supporto IP pubblico (motivando la richiesta) a patto di tenere la sim inserita in un modem al momento della richiesta.

LeLu

A mio giudizio: OpenMPTCProuter + VPS dedicata (quella che costa meno)

CPietro

LeLu Così non risolve il problema del spof.

edofullo

LeLu Ho un Mikrotik 4011 che fa da router e fa il suo lavoro egregiamente, inoltre il setup è un failover e non un load balancing (che odio abbastanza) quindi andreai a complicare tutto inutilmente.

[cancellato] Immagino che il servizio non permetta di registrare IP multipli per lo stesso host.

Beh è he.net quindi credo proprio di poter mettere più record A (anche uno dinamico ed uno statico), però i client se non riescono a connettersi ad uno riprovano con l'altro?

[cancellato] La mia idea è evitare che la linea LTE abbia il dynamic DNS attivo

Il problema è che il servizio dyndns è sul miniPC che non ha idea se sta usando la linea principale o la secondaria.

[cancellato] in particolare se ritorna con un IP diverso. Quando si riconnette dovrebbe anche inviare il comando al DNS dinamico, qui ci sarebbe da evitare di entrare in conflitto con la VPS - potresti inviare un segnale dalla linea principale alla VPS quanto ritorna attiva, magari anche una sorta di heartbeat ed evitare il polling lato VPS.

Mi sembra molto complicato.

[cancellato] Questo se non puoi optare per due hostname separati da usare alla bisogna.

Sarebbe bello se funzionasse senza toccare nulla, altrimenti mi faccio un secondo hostname giusto per entrare in remoto e dare un occhio alla situazione e poi si attende che torni la linea...

Un'altra soluzione che mi è venuta in mente sarebbe di far passare tutto il traffico del failover dalla VPS in modo che il dyndns si aggiorni correttamente "da solo", oppure sclerare con il policy routing per fare in modo di far passare iol dyndns dalla VPN ed il resto "diretto".
E già mi vien male su cosa potrebbe succedere con NAT reflection... che mi sa si spaccherebbe.

Se qualcuno ha qualche altra idea, son tutto orecchi.

LeLu

CPietro Tanto quanto le altre soluzioni/situazione attuale...
Hai suggerimenti non spof?

edofullo Ho un Mikrotik 4011 che fa da router e fa il suo lavoro egregiamente, inoltre il setup è un failover e non un load balancing (che odio abbastanza) quindi andreai a complicare tutto inutilmente.

15 minuti di lavoro inclusa la config della VPS (sempre se hai hardware dove far girare openMPTCProuter) e ti togli tutti i problemi di DNS e non te ne accorgi neanche quando cade la connessione, con tutti i vantaggi del caso che le altre soluzioni NON sono in grado di offrirti.
E se proprio vuoi te lo configuri come failover anche se perdi il vantaggio detto sopra fornito dal load balancing (che puoi impostare con pesi diversi per le due connessioni).

Poi se vuoi fare tb di traffico è un altro discorso...

Continuo a seguire perchè interessano anche a me soluzioni alternative che possono tornare utili in futuro per scenari diversi dal mio.

Grazie!

[cancellato]

edofullo erò i client se non riescono a connettersi ad uno riprovano con l'altro?

Dipende dai client. Uno dei problemi è che l'IP della linea non attiva può rimanere nella lista. Il round-robin DNS dovrebbe cambiare l'ordine con il quale li presenta, poi dipende anche dal TTL della cache DNS del client.

edofullo Mi sembra molto complicato.

Perché devi metterti in piedi un meccanismo di failover DIY, ma i meccanismo di failover automatico sotto in pratica funzionano allo stesso modo.

edofullo Un'altra soluzione che mi è venuta in mente sarebbe di far passare tutto il traffico del failover dalla VPS

L'idea non è male.

edofullo

edofullo Un'altra soluzione che mi è venuta in mente sarebbe di far passare tutto il traffico del failover dalla VPS

Per il momento ho implementato questa usando Oracle Cloud e sembra funzionare discretamente bene, il passaggio richiede meno di 5 secondi se cade la PPPoE e il dyndns si accorge del cambio in 30 secondi ed in meno di 5 minuti i DNS si propagano.

L'unico sbatti è che tutto il traffico passa per la VPS e non ho idea di come cambiarlo... il problema è che dovrei prendere una decisione di routing dopo averne già presa un'altra, perchè dovrei passare per la VPS solo se sono in failover (quella decisione viene presa in routing), quindi è un controsenso.

Il problema sarebbe solo Netflix che ovviamente se si passa dalla VM non funziona, però pace è molto più importante rimanga up la roba della domotica.

Comunque la probabilità che vada tutto a ramengo è P(fibra off)*(P(lte off) + P(VM off)) che ritengo comunque soddifacente... oppure che si spacchi il router 🤪

edofullo

laky123 Il limite è nel numero di porte supportate che sono quelle del proxy normale.

Quindi farebbe anche da proxy TCP?

LeLu Hai suggerimenti non spof?

Intendiamoci, io non voglio il SPOF su cloud durante le operazioni normali (aka quando la wan non ha problemi) perchè altrimenti ho solo spostato il problema.
Ovviamente se cade la WAN principale + il provider cloud (o quello su cui ho la SIM 4G) si va down però è molto più improbabile visto che i due eventi sono indipendenti.

[cancellato] Dipende dai client. Uno dei problemi è che l'IP della linea non attiva può rimanere nella lista. Il round-robin DNS dovrebbe cambiare l'ordine con il quale li presenta, poi dipende anche dal TTL della cache DNS del client.

Allora non è molto praticabile

[cancellato] Sicuro sicuro sicuro che sia una buona idea lasciarlo pubblicamente accessibile? Io non lo farei... Per quali scenari ne hai bisogno?

No è una pessima idea... teoricamente ha autenticazione username/password, però non uso ancora TLS quindi praticamente per tutti quelli che vedono il traffico in mezzo è aperto.
Il problema è che ho un po' di ESP32 sparse in giro e passare a TLS vuol dire flasharle tutte via USB con i nuovi parametri, con il rischio poi di avere problemi.

niceguy12 di fare un gateway con openwrt e zerotier?

Zerotier non ho capito che vantaggi abbia rispetto a Wireguard (che so già usare e uso già per tante cose) e poi come ho scritto sopra se devo passare a un gateway su cloud da usare sempre a sto punto rendo il backup inutile visto che se va giù quello mi va giù tutto comunque.

L4ky

Io uso VPS + Wireguard con forward delle porte, che poi è praticamente sempre una porta per un altro tunnel wireguard (quindi wg dentro wg).
Espongo anche sulla linea che ha ip pubblico che configuro come profilo secondario.

In breve il traffico passa sempre dalla vps.

niceguy12

Ma perche complicare la vita? Non e piu semplice di fare un gateway con openwrt e zerotier? Cosi tutto quello che ce sulla rete dietro al gateway zerotier li puoi vedere come se sei acasa.

Nino12

edofullo No è una pessima idea... teoricamente ha autenticazione username/password, però non uso ancora TLS quindi praticamente per tutti quelli che vedono il traffico in mezzo è aperto.
Il problema è che ho un po' di ESP32 sparse in giro e passare a TLS vuol dire flasharle tutte via USB con i nuovi parametri, con il rischio poi di avere problemi.

Non so quale server MQTT utilizzi ma Mosquitto ad esempio permette di avere più sessioni con diversi protocolli. Potresti lasciare 1883/tcp in locale ed "esporre" tls su un'altra porta.
O meglio ancora fare passare websocket sotto tunnel cloudflare e avere gratis la protezione del reverse proxy.

niceguy12

edofullo per wireguard ti serve ip publico....

laky123

edofullo Le porte per Cloudflare le trovi qui, tendenzialmente io faccio passare tutto per la 443 e uso i vari sottodomini per smistare nei servizi interni. Hai anche il vantaggio di poter usare le varie regole di firewall e protezione direttamente da Cloudflare, ho visto che è appena uscito un video proprio su questo e mi sembra spiegare tutto abbastanza bene qui.

Tailscale e Zerotier sono praticamente Wireguard che si appoggia ad un server esterno per creare una rete ed è il server esterno decide come è meglio impostare le varie connessioni per evitare NAT vari.

LSan83

edofullo oppure che si spacchi il router

E' molto più probabile che si spacchi prima l'alimentatore esterno di quel router 😉

Technetium

edofullo L'unico sbatti è che tutto il traffico passa per la VPS e non ho idea di come cambiarlo... il problema è che dovrei prendere una decisione di routing dopo averne già presa un'altra, perchè dovrei passare per la VPS solo se sono in failover (quella decisione viene presa in routing), quindi è un controsenso.

Il problema sarebbe solo Netflix che ovviamente se si passa dalla VM non funziona, però pace è molto più importante rimanga up la roba della domotica.

Dalla VPS deve passare solo il traffico entrante.. la tua VPN verso la VPS.
Non devi certo ridirigere tutto il traffico e uscire su internet dalla VPS.

edofullo

Technetium Dalla VPS deve passare solo il traffico entrante..

Traffico entrante... più quello del dyndns altrimenti prende l'IP errato, ed è quello il problema.

Fosse solo il traffico entrante forse basterebbe un routing-mark sul traffico established/related per le risposte (che devono arrivare dalla VPS), il problema è che non so come routare quello del dyndns.

Btw, con oracle cloud è possibile avere più IP pubblici gratis, così ho fatto NAT 1:1 su un IP secondario (due volte... perchè oracle lo fa di default una volta) invece di PNAT, molto più pulito. Lo scrivo se qualcuno vuole replicare il setup.

[cancellato]

edofullo non so come routare quello del dyndns

Fallo girare in un docker con un suo IP statico nella rete e da qui fai source policy. Anzi, se hai una serie di IP dei servizi di domotica puoi fare passare quelli via VPS, e lasciare uscire via default gateway i normali client.

Technetium

edofullo

Le regole devono esistere da entrambe le linee. Ciò che entra da FTTH esce su FTTH, ciò che entra da Wireguard, esce da wireguard.
I client interni alla rete li lasci uscire normalmente in failover.
Non c'è necessità di passare dalla VPS per il traffico generato in locale.
Il dydns gestito da una sonda locale rileverà il cambio di ip grazie al failover.

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile