Ciao a tutti,

vi scrivo per avere un consiglio su quale possa essere la configurazione migliore di una VPN per la mia situazione, mi spiego :

CASA A : è l'abitazione in cui vivo/lavoro abitualmente. Ho una FTTC con Sky Wifi

Casa B : è una seconda casa al mare, ahimè non coperta da Adsl e/o Fibra, per cui è connessa con un router 4G TP Link TL MR 6400 e sim mobile tim con piano dati illimitato. Il tema quà è che l'ip è nattato, e quindi non raggiungibile dall'esterno.

Casa C : Altra seconda casa in campagna, con FTTC Tim, e modem/router proprietario, con un Fritxbox 7590.

Esigenza :
Casa B e Casa C sono entrambe dotate di un sistema antifurto e di videosorveglianza, che ho necessità di monitorare da remoto.
Su Casa C ovviamente nessun problema, considerando l'ip pubblico esposto con ddns, riesco senza problemi a raggiungerla.
Casa B invece, avendo ip privato nattato, no!

Mi sembra di capire che l'unica soluzione sia tirare su una VPN, ma ho qualche dubbio :

1) Il server VPN lo tirerei su nella Casa A, ma purtroppo lo Sky Wifi Hub non ha questa funzionalità. Potrei ovviare installandolo su un raspberry pi4 in alternativa ?
2) Se connetto Casa B (il Tp Link ha il client vpn a bordo) riesco da casa A a vedere i client della lan come se fossero appunto nella stessa rete di Casa A ?
3) Anche se Casa C è raggiungibile da remoto, a questo punto collegherei anche quella come Client VPN (Il Fritzbox in questo è anni luce avanti)

Però mi chiedevo, meglio installare il server vpn in casa A, sul rapsberry, o installarlo in Casa C sul fritzbox ? Solo che in questo caso non mi è chiaro come da casa A potrei connettermi, non avendo lo Sky Wifi Hub un client VPN....

Potrei eventualmente risolvere con qualche servizio online ?

Scusate so che è una situazione complicata, e come potete immaginare sono un pò confuso sul da farsi...
Potete suggerirmi quale sia la soluzione migliore ?

grazie in anticipo a chiunque mi aiuterà
Ciao!

  • Rekko ha risposto a questo messaggio

    Ciao, ovviamente ci sono diverse soluzioni. Io per una struttura simile ho utilizzato router Mikrotik, un RB5009 per la casa principale con IP statico pubblico.
    Nelle altre case ho messo dei router sempre Mikrotik da cui mi collego alla principale su tunnel Wireguard. Da telefono, dal PC ho usato Wireguard client.
    Il tutto funziona perfettamente anche in termini di stabilità e affidabilità, mai un problema in anni.
    Inizialmente usavo OpenVPN ma poi ho optato per Wireguard perchè è più veloce e facile da configurare.
    Nelle seconde case ho un SXT6LTE e un altro router base Mikrotik che avendo sempre lo stesso software sono identici in fatto di configurazione.
    C'è un pò da imparare il software dei Mikrotik ma trovi un sacco di info in rete.
    Spero di esserti stato utile con almeno uno spunto 🙂

      Borghese Casa B invece, avendo ip privato nattato, no

      Chiedere direttamente a TIM ip pubblico sulla sim? Puoi farlo,basta chiedere all’assistenza

        Ciao, se hai conoscenza puoi usare dei mikrotik in modalità EOIP, è un protocollo per trasporto layer2, molto più stabile di una VPN e di facile troubleshooting, tecnicamente è come ritrovarsi sulla stessa rete fisica senza salto di classe, dal router del "centro stella" viene creato uno switch virtuale a cui possono aggiungersi i siti periferici.

        È necessario aprire le porte solamente in uno dei siti in quanto farebbe da centro stella (gli altri siti possono avere anche ip nattati), EOIP gira su un tunnel IPsec e GRE sempre tirato su dai mikrotik.

        Noi lo usiamo molto per dei clienti con sedi sparse con la serie CCR, ma tu puoi usare tranquillamente la RB.

        https://wiki.mikrotik.com/wiki/Manual:Interface/EoIP

          Se vuoi usare i mikrotik io ti consiglierei, delle due soluzioni sopra, quella con wireguard in quanto necessita che almeno uno dei due endpoint sia raggiungibile tramite ip pubblico, l'altro può essere anche nattato.
          Il tunnel GRE puro invece necessita che entrambi gli endpoint siano pubblici.
          Ad oggi non userei più il vetusto IPsec come tunnel VPN, che se non ricordo male ha comunque bisogno di conoscere entrambi gli ip pubblici per funzionare.

            Acerorosso grazie intanto per avermi risposto.
            Si diciamo che volevo appunto capire insieme a voi quale potesse essere la soluzione migliore.
            Fondamentalmente, su tre case, due hanno cmq connessione con ip pubblico dinamico (ok non statico, ma cmq raggiungibile con ddns già configurato) e la terza è ahimè nattato.
            Ero partito pensando di utilizzare i client/server a bordo dei router, ma alla fine ce l'ho disponibile solo sul fritzbox e sul tp link mr6400 (lo sky wifi hub purtroppo non ne ha)
            Quindi tu mi consigli di andare su microtik, piuttosto che installare il server vpn magari sul raspberry della casa principale ?

            In buona sostanza, quello che vorrei ottenere, è un unica grande lan che comprenda i client di tutte e tre le case, per poi gestire con home assistant tutti i device, dai sonoff, agli shelly, alle videocamere etc etc...

            Rekko Sapessi da quanto ci sto provando. Latitano e neanche mi rispondono. Le ho provate tutte, dal servizio clienti al self care, alla pec.
            Tu sai eventualmente come fare ?

            crsystems ciao, con i microtik non ci ho mai avuto a che fare, ma non ho paura di smanettare. Alla fine mi serve una soluzione che sia stabile e affidabile, anche a costo di smenarci un pò di tempo in configurazione.
            Ovviamente, i router microtik in questo caso sarebbero da installare tutti a valle dei modem in ogni abitazione giusto ?

            solo per aggiornare il thread : Oggi ho fatto un test, da casa mia, collegandomi in remoto (ddns) al fritzbox della Casa C, ho configurato la vpn Wireguard.
            Ho poi installato il client wireguard sul pc windows, e mi sono connesso regolarmente, vedendo e pingando gli ip dei client locali della Casa C.
            Apparentemente facile, ma ho due dubbi :
            1) Se anche nella casa B, installassi un fritzbox (es il 6850 LTE) in sostituzione del TP Link, potrei creare un unica vpn tra i due fritzbox, e poi collegarmi da casa con il client wireguard che a sto punto installerei sul raspberry no?!

            2) Mi sfugge il perchè, una volta collegato in vpn, non veda più i client locali della rete da cui mi collego. è normale? Come si può ovviare questo ? Volendo far girare poi tutto con home assistant non vorrei perderne visiiblità....

            n.b in entrambe le case la classe IP è 192.168.0.XXX, forse va cambiata in 192.168.0.1.xxx ?

              Mrtt il gre gira dentro il tunnel IPsec, è sufficiente aprire le porte in uno dei siti coinvolti e gli altri possono essere sotto Nat, noi abbiamo svariate configurazioni dove sono usate lato periferico addirittura delle sim dei clienti normalissime.

              Borghese domani che sono in ufficio tranquillo ti posto la configurazione di un nostro cliente con 3 sedi unite in unica rete di routing comune così capisci il setup e cosa occorre.

                crsystems
                Ho guardato la configurazione di IPsec ed in effetti ricordavo male, può instaurare la connessione anche con un solo endpoint pubblico.
                Io comunque continuo a consigliare wireguard, lo può usare senza l'overhead di GRE/EoIP (IPsec ne ha per forza bisogno?) e se non hai accelerazione hardware dedicata ad IPsec è più leggero a livello di CPU.

                Ricordatevi che Mikrotik non è compatibile ovviamente con Sky WiFi, quindi solo roba in cascata (che io pur da estimatore Mikrotik eviterei). Wireguard d’altronde ormai funziona dappertutto, è leggero e funziona anche col NAT da un lato. A meno di specifiche necessità, io tenderei ad escludere EoIP non per nulla, ma estendere un dominio di broadcast così a caso non mi piace, l’ho provato e sono rimasto scottato dal traffico broadcast e multicast che gira in una rete domestica (penso a mDNS e compagnia). My two cents.

                  x_term noi regolarmente usiamo EOIP in ambito professionale dove le aziende non intendono spendere cifre folli per mpls e simili, infatti creiamo una rete di inter routing tra gli apparati, non facendo propagare le subnet locali native proprio per evitare stormi in broadcast.

                  • Mrtt ha risposto a questo messaggio

                    x_term
                    se volesse usare lo Sky Wifi Hub gli basterebbe fare il forward di una sola porta verso il dispositivo mikrotik, poi quest'ultimo dovrebbe fare da gateway della rete (a livello di routing o con rotte statiche da piazzare sullo Sky Wifi Hub o con doppio nat sul mikrotik)
                    penso sia folle usare un EoIP che parte da hop precedenti al gateway VPN e finisce ad un hop successivo l'altro gateway VPN, proprio in virtù del fatto che i broadcast di entrambe le reti (da endpoint EoIP a gateway VPN e dall'altra parte da gateway VPN a endpoint Eoip) traverseranno la tratta a più bassa velocità della connessione internet.

                    crsystems
                    non conosco la realtà delle configurazione che gestisci e sicuramente avrai un valido motivo per incapsulare due volte il traffico, prima dentro EoIP e poi dentro IPsec, ma nel caso di @Borghese l'overhead di EoIP si può benissimo risparmiare facendo una solo incapsulamento dentro la VPN, che per me (lo so, mi ripeto) sarebbe meglio fosse WireGuard.

                    • x_term ha risposto a questo messaggio

                      Mrtt sarebbe meglio fosse WireGuard

                      d'accordissimo, però a quel punto

                      Mrtt se volesse usare lo Sky Wifi Hub gli basterebbe fare il forward di una sola porta verso il dispositivo mikrotik

                      se fa port forwarding può anche iniziare a farlo girare sul raspberry, vede se è soddisfacente e nel caso poi si pensa, IMHO.

                      • Mrtt ha risposto a questo messaggio

                        x_term
                        giusto, ma con un solo dispositivo al massimo ci fa una road warrior...
                        routeros è disponibile come immagine virtuale con tutte le funzionalità attive ma con la limitazione di 1 Mbit/s in upload ad interfaccia, quindi per fare dei test, se si attrezza con un virtualizzatore, sarebbe perfetto

                        Borghese Tu sai eventualmente come fare ?

                        Io vado sempre della scusa "devo accedere alle telecamere da remoto". Più vai da utonto e più loro hanno possibilità di capire

                          Ciao, scusa il ritardo ma ero fuori casa.
                          Io uso MIkrotik e non Fritz ma in ogni caso quello che ho fatto io è esattamente quello che stai cercando di fare.
                          Io ho una casa con IP statico pubblico fa da centro stella con l'RB5009, la seconda con MIkrotik su LTE (LHGG) è in wireguard su una sua classe di IP diversa dalla prima ma interamente raggiungibile perchè l'RB5009 fa da router tra le reti. Il telefono con client wireguard è sempre collegato su una terza classe di IP, il PC stessa cosa su una quarta, casa di una amica collegata su una quinta sempre in wireguard con altro RB5009.
                          L'RB5009 fa il routing tra tutte.
                          Risultato: tutto visibile da tutto, con solo delle regole di casa dell'amica che non veda tutto delle altre mie reti, per mia sicurezza visto che girano anche ospiti...
                          Occhio solo a:

                          • ogni client o rete wireguard con la sua classe di IP (io per esempio ho 172.XX.YY.0/172.XX.YY+1.0 e così via.
                          • Un minimo di regole di attribuzione degli ip per ricordarti le cose in modo mnemonico, ad esempio: Server fotovoltaico XX.20, Telecamere XX.30, Router XX.10, DHCP in ogni rete da 100 a 200 ecc ecc.
                            Oltretutto i MIkrotik hanno watchguard e siccome su rete LTE a volte i modem si incastrano così dopo max 5 minuti torna su tutto, diagnostica, un sacco di possibilità di scripting e gestione da remoto.
                            Uso anche Cloutik per averli tutti accessibili se qualcosa si incastra, rarissimo a dire il vero ma sui due LTE una o due volte è successo che per problemi dei gestori qualcosa andasse su e giù un pò di volte.

                          grazie ragazzi, quanto bel materiale su cui studiare e ragionare !
                          Ora mi ci metto, perchè siete andati molto nel tecnico, ma inizio a farmi una cultura.

                          Cmq ho iniziato a giocare un pò con quello che ho "in casa" tirando su una vpn sul fritz e collegandomi da remoto da un altra casa...
                          Mi ero perso il discorso delle classi. Al momento tutte le case hanno come classe 192.168.0.xx ma mi sembra di capire debbano stare su classi diverse, quindi la 2 e la terza casa le porterò rispettivamente su 192.168.1.xx e 192.168.2.xx
                          Ai client "importanti" ho già attribuito ip statico, come l'antifurto, l'nvr delle telecamere poe, il nas, il monitoraggio del fotovoltaico etc etc, tutti gli altri in dhcp.

                          Rekko si ho fatto esattamente così! ma latitano. Ci riprovo... ma non nutro grosse speranze...

                          crsystems Grazie, così imparo e inizio a capire qualcosa di più

                          intanto ho iniziato a giocare un pò con quello che avevo "in casa", vi dico cos'ho fatto :

                          Casa A : Classe IP 192.168.0.xxx Quà su un client (laptop windows) ho installato il client wireguard

                          Casa C : Dove ho il fritzbox. Quà ho impostato come classe di ip lan la 192.168.10.xxx e ho configurato sul fritz una vpn wireguard, poi il file di configurazione l'ho importato nel client installato sul pc in Casa A, e con il Qrcode mi sono configurato anche il client wireguard su iphone.

                          Casa B : Ancora non ci ho messo mano perchè devo fisicamente andare li non essendo raggiungibile da remoto (è cmq in viaggio un fritz 6850 da sostituire al TP link attuale)

                          Ora, la situazione è questa :

                          Da Casa A, con vpn attiva sul pc windows, dal prompt vedo questo :

                          Segno che, se non capisco male, vedo "entrambe le reti" sia quella di casa A che quella di Casa C (Anche se non so cosa siano tutti quegli ip sotto la 192.168.10.xxx visto che in questo momento li ci sono solo tre client...)

                          Se pingo i client di Casa C, pingano regolari, e per es raggiungo il fritz da web page puntando al suo ip lan

                          Discorso diverso, se provo a pingare gli ip della Casa A, la 192.168.0.xxx. In questo caso mi da errore :

                          ovviamente da browser stesso discorso
                          La cosa strana è che invece da iphone, con vpn wireguard attiva, raggiungo da browser sia gli ip della Casa A che quelli di Casa C, aprendo le webpage di alcuni host, come nvr telecamere, i due router etc etc
                          Perchè? non dovrebbe comportarsi allo stesso modo del pc ?!?

                          Cosa mi sto perdendo ? devo forwardare qualcosa ?

                          • Mrtt ha risposto a questo messaggio

                            x_term sono rimasto scottato dal traffico broadcast e multicast che gira in una rete domestica (penso a mDNS e compagnia)

                            Che problema hai riscontrato?

                            Borghese
                            ci sarebbe da confrontare le due configurazione generate per i dispositivi
                            facilmente sul laptop tutto il traffico generato viene incapsulato nella VPN, quindi raggiungi gli IP remoti ma non quelli locali
                            invece nel telefono ti inoltra nella VPN solo gli indirizzi relativi alla classe remota
                            in particolare, se nella sezione [Peer] hai specificato tra "AllowedIPs" oltre che alla classe remota, anche "0.0.0.0/0", tutto il traffico verrà inoltrato nel tunnel
                            edit: il traffico che entra nel tunnel dovrebbe essere quello che viene routato fuori dalla tua rete (con 0.0.0.0/0 se controlli l'IP con cui vieni visto all'esterno ti dovrebbe risultare quello della connessione remota), controlla che in "AllowedIPs" non ci sia la classe locale

                            crsystems Però non mi risulta assolutamente il traffico che passa in Mikrotik EoIP sia criptato, quindi certo che è più veloce. Però bisogna fare attenzione a cosa ci passa sopra perchè passa tutto in chiaro.


                            Personalmente uso Wireguard su un Mikrotik 4011 su linea TIM da una parte e OpenWRT su linea Sky dall'altra. Bisogna stare un attimo accorti con generare le chiavi correttamente perchè è un attimo fare confusione però poi va che è una meraviglia.

                            Devo passare il tunnel su IPv6 (previo cambio ISP lato TIM) per aumentare la velocità che il povero Belkin fa un po' fatica (però è un router da 50€, ci sta).

                              Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                              P.I. IT16712091004 - info@fibraclick.it

                              ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile