guniens Ti direi di provarci e chiedere qui in corso d'opera. Per quanto riguarda il firewall, solo per farlo funzionare al più hai bisogno di una regola di NAT e se vuoi consentire solo alcuni client allora aggiungi una regola di filtro, che potrebbe essere la seguente in un firewall nftables:

#!/usr/bin/nft -f

flush ruleset

table inet filter {
	chain forward {
		type filter hook forward priority filter
		policy drop

		ct state vmap { invalid : drop, established : accept, related : accept }

		ip saddr { 192.168.1.5, 192.168.1.34 } iifname eth0 oifname wg0 accept
	}
}

Dove 192.168.1.5 sono 192.168.1.34 gli IP della LAN da autorizzare (ma tieni a mente quanto sopra circa l'efficacia).

  • guniens ha risposto a questo messaggio

      Marco25 Hai ragione, meglio chiederti aiuto in corso d'opera eventualmente.
      Aspetto che arrivi la Raspberry, installo tutto e provo la VPN poi penserò alle regole di routing e firewall.

      Marco25 Dove 192.168.1.5 sono 192.168.1.34 gli IP della LAN da autorizzare (ma tieni a mente quanto sopra circa l'efficacia).

      Potrebbe aiutare impostare IP statici per i dispositivi che useranno la Raspberry come gateway a livello di router in questo caso?
      La Raspberry non sarebbe comunque esposta ad internet per connessioni esterne alla mia rete.

          rami Ciao! Puoi spiegare meglio?
          Comunque pensavo di usare la Raspberry anche per altro in futuro e credo che installare OpenWrt non lo permetterebbe ma correggimi se sbaglio 🙂

          • rami ha risposto a questo messaggio

              guniens installare OpenWrt non lo permetterebbe ma correggimi se sbaglio 🙂

              Hai ragione, di fatto il raspberry con OpenWrt diventa un router e bsta, quindi non fa al caso tuo. Io in passato l'avevo usato e trovandolo molto comodo, però in effetti toglie la libertà di farci altro.

                  rami Grazie lo stesso!

                    6 giorni dopo

                    Ciao @Marco25
                    Ho la Raspberry pronta e configurata (DietPi headless), Wireguard installato.

                    Questo è il file di conf estratto dal QR che mi ha girato il mio amico:

                    [Interface]
                    PrivateKey = ***
                    Address = 10.59.244.2/24
                    DNS = DNS1, DNS2

                    [Peer]
                    PublicKey = ***
                    PresharedKey = ***
                    Endpoint = IPPUBBLICO:PORTA
                    AllowedIPs = 0.0.0.0/0, ::0/0

                    é corretto che il QR sia lo stesso per tutti? Ha mandato questo QR nel nostro gruppo.
                    Immagino che usiamo tutti questo e tutto funziona. Sbaglio qualcosa?

                    Ho provato a copiare tutto nel file di conf della mia Raspberry (wg0) ma la Raspberry non raggiunge la rete, riesco però a collegarmi in SSH.

                    Grazie in anticipo!

                    • Marco25 ha risposto a questo messaggio

                      guniens é corretto che il QR sia lo stesso per tutti?

                      No, deve inviare un QR code diverso per ogni persona, anzi un QR code diverso per ogni dispositivo di ogni persona. Come scritto sopra, non è possibile utilizzare la stessa configurazione simultaneamente su più dispositivi.

                      • guniens ha risposto a questo messaggio

                          Marco25 Immaginavo
                          Ho provato a dirglielo ma crede che il file di conf sia per la VPN e non per singolo device, quindi avevo ragione io.

                          Deve generare un file di conf/QR per ogni device ed aggiungerlo alla sua conf (server) giusto?

                          • Marco25 ha risposto a questo messaggio

                              guniens Deve generare un file di conf/QR per ogni device ed aggiungerlo alla sua conf (server) giusto?

                              Sì.

                              • guniens ha risposto a questo messaggio

                                  guniens Lui no. Chiedigli come ha creato quella configurazione. Ha usato forse un tool per automatizzare?

                                  Deve crearne un’altra con l’IP successivo 10.59.244.3/24 e altra coppia di chiavi.

                                  Per la connessione del Raspberry Pi al server VPN segui i passaggi di cui sopra.

                                  • guniens ha risposto a questo messaggio

                                      Marco25 Lui no. Chiedigli come ha creato quella configurazione. Ha usato forse un tool per automatizzare?

                                      Gli chiederò ma nel caso non l'abbia fatto dovrebbe seguire l'ultima parte per aggiungere noi client alla sua conf o sbaglio?

                                      Marco25 Deve crearne un’altra con l’IP successivo 10.59.244.3/24 e altra coppia di chiavi.

                                      Per questo ha bisogno di me o sbaglio? Gli serve la mia chiave giusto?

                                      • Marco25 ha risposto a questo messaggio

                                            guniens Gli chiederò ma nel caso non l'abbia fatto

                                            Penso abbia usato un tool altrimenti avrebbe effettuato questi passaggi e quindi saprebbe crearti una configurazione. Comunque sul server:

                                            $ wg genkey | (umask 0077 && tee guniens.key) | wg pubkey > guniens.pub
$ wg genpsk > guniens.psk

                                            Modifica il suo file wg0.conf aggiungendo

                                            [Peer]
PublicKey = contenuto del file guniens.pub
PresharedKey = contenuto del file guniens.psk
AllowedIPs = 10.59.244.3/32

                                            Quindi ricarica la configurazione del server con sudo systemctl reload wg-quick@wg0.service

                                            La tua conf:

                                            [Interface]
PrivateKey = contenuto del file guniens.key
Address = 10.59.244.3/24
DNS = DNS1, DNS2

[Peer]
PublicKey = chiave pubblica del server, è nel file wg0 del server nella sezione [Interface]
PresharedKey = contenuto del file guniens.psk
Endpoint = IPPUBBLICO:PORTA
AllowedIPs = 0.0.0.0/0, ::0/0

                                            Quindi cancella i files temporanei guniens.pub, guniens.key, guniens.psk

                                            guniens Per questo ha bisogno di me o sbaglio? Gli serve la mia chiave giusto?

                                            Sì ma può anche creare tutto lui come ho appena scritto.

                                            • guniens ha risposto a questo messaggio

                                                  Marco25 Gli giro il tutto e riconfiguriamo tutto, nel caso ti disturbo ancora.
                                                  Grazie mille per ora!

                                                  safethansorry Già visto, devo vedere se usa docker
                                                  Grazie comunque!

                                                  Marco25 AllowedIPs = 10.59.244.4/32

                                                  Scusa @Marco25, dovrebbe essere 10.59.244.3/32 giusto? Nella conf del client è 10.59.244.3 ma in quella del server hai scritto 10.59.244.4

                                                  • Marco25 ha risposto a questo messaggio

                                                          guniens dovrebbe essere 10.59.244.3/32 giusto? Nella conf del client è 10.59.244.3 ma in quella del server hai scritto 10.59.244.4

                                                          Sì, ho corretto.

                                                          • guniens ha risposto a questo messaggio

                                                              Marco25 Grazie ancora!

                                                                un mese dopo

                                                                Ciao @Marco25! Io e il mio amico abbiamo finalmente sistemato le conf per la vpn.

                                                                Mi aiuteresti ora a configurare le regole di routing?
                                                                Ho alcuni dispositivi che useranno la RPi4 come gateway ma la RPi4 non avrà sempre la VPN attiva perciò vorrei configurare le regole di routing per fare forwarding sia della eth0 (al router direttamente, la RPi4 sarebbe così "trasparente") che della wg0 (router => eth0 => wg0) ma non so se sia possibile e quindi chiedo il tuo aiuto 😃

                                                                Risolto

                                                                • Marco25 ha risposto a questo messaggio

                                                                  Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                  P.I. IT16712091004 - info@fibraclick.it

                                                                  ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile