Buongiorno, vi spiego brevemente la situazione attuale e quello che vorrei realizzare:
due lan che chiamerò rispettivamente casaMIA con IP interni 192.168.0.0/24 e casaGENITORI con IP interni 192.168.1.0/24.
casaMIA è su FTTC TIM con modem TIM HUB, attualmente non sbloccato, mentre casaGENITORI è su FTTH Dimensione con router AX6000 (lo ZTE).
nella lan di casaMIA ho un raspberry con IP 192.168.0.33 dove è installato su docker un server wireguard raggiungibile dall'esterno su IP pubblico dinamico e FQDN casaMIA.xxx.xx e che assegna IP sulla vpn del tipo 10.11.12.0/24.
nella lan di casaGENITORI ho intenzione di installare un minipc con docker che dovrebbe connettersi in vpn al server wireguard di casaMIA; nella lan di casaGENITORI è presente inoltre, a valle del router Dimensione, un modem TIM HUB rootato, al momento utilizzato come access point.
E' possibile da un dispotivo qualsiasi della lan di casaMIA connettersi direttamente ad un qualsiasi dispositivo della lan di casaGENITOPRI sfruttando la VPN (e viceversa)?
Se fosse necessario potrei rootare anche il modem di casaMIA in modo da poter impostare rotte statiche. Ho visto inoltre una guida sul forum dove veniva stabilita una connessione IPSEC lan-to-lan tra i due Tim Hub: potrebbe essere un'alternativa possibile? Oppure potrei valutare un tunnel ssh? L'obbiettivo primario resta quello di accedere direttamente ai dispositivi di casaGENITORI da casaMIA (se fosse possibile anche il viceversa sarebbe ottimo).
Grazie in anticipo,
Marco
Lan-to-lan via wireguard, ipsec o tunnel ssh
mtallon io ho la stessa cosa con casa dei miei e ho usato semplicemente due fritz 7590 seguendo una delle tante guide che trovi in rete.
[cancellato]
Sì, è quella che si chiama VPN site-to-site, tipicamente usata ad esempio per collegare uffici remoti o sedi distaccate di aziende. Si può fare con diversi protocolli VPN, basta fare il setup opportuno. È più semplice se i due siti non hanno indirizzamenti che si sovrappongono (ad esempio le due LAN non sono entrambe 192.168.1.0/24).
Wireguard è la soluzione più semplice, IPSec quella più complicata da configurare.
astrolabio grazie ma se avessi avuto anche io i 2 Fritz non avrei chiesto qui sul forum; io avrei necessità di realizzare quanto richiesto con l'hardware già in mio possesso.
[cancellato] grazie, sul fatto che si potesse fare non avevo dubbi.. il problema è il come nella mia situazione (apparati che effettuano il tunnel vpn a valle del router).
Se hai già wireguard funzionante, usa quello.
TU
lan 192.168.0.0/24
router 192.168.0.1
container wg 192.168.0.2
GENITORI
lan 192.168.1.0/24
router 192.168.1.1
container wg 192.168.1.2
Sul TUO router imposti una route statica per raggiungere la rete dei tuoi GENITORI tramite la macchina wireguard.
Sarà qualcosa del tipo: raggiungi 192.168.1.0/24 attraverso 192.168.0.2
Sul router dei tuoi GENITORI stessa cosa, ma per raggiungere la TUA rete.
Raggiungi 192.168.0.0/24 attraverso 192.168.1.2
Poi passi alla configurazione di wireguard, sezione AllowedIPs
Sul TUO wireguard aggiungi tra gli AllowedIPs 192.168.1.0/24
Sul wireguard GENITORI aggiungi tra gli AllowedIPs 192.168.0.0/24
Verifica le regole sui vari firewall
[cancellato]
mtallon l problema è il come nella mia situazione (apparati che effettuano il tunnel vpn a valle del router).
Non è un problema, il terminatore VPN può essere tranquillamente a valle del router/firewall e la configurazione non cambia - dovrai solo aprire le porte necessarie sul router a monte. Poi come fare la configurazione specifica sul singolo dispositivo dipende dalla UI del dispositivo e dal protocollo scelto. IPSec richiede in questo caso di usare NAT-T per il NAT traversal. Ma se non hai una buona ragione per usare IPSec, usa Wireguard o OpenVPN che sono più semplici da configurare.
- Modificato
mtallon Usa Wireguard. In confronto a IPSec e OpenVPN è pura magia. Oltre a quello che ha scritto @Volt ti consiglio di controllare che il Kernel sul Pi sia configurato per fare il forwarding dei pacchetti.
Se non hai voglia di fare tutto ciò Tailscale ha una funzione chiamata Subnet Router che secondo me fa al caso tuo https://tailscale.com/kb/1214/site-to-site
Le rotte statiche poi le configuri sempre sui tuoi gateway
Lorenzo1635 ti consiglio di controllare che il Kernel sul Pi sia configurato per fare il forwarding dei pacchetti.
Giusto, giusto
Volt
Si, wireguard è già perfettamente funzionante e vorrei utilizzare quello.
In ogni caso mi sembra di aver capito che per far funzionare il tutto dovrò sbloccare il Tim Hub per poter impostare la rotta statica sul router; ora comunque vedrò di fare qualche prova impostando la rotta statica direttamente su uno dei miei pc. E sperare che il router di Dimensione supporti la creazione di rotte statiche 
Però non mi è chiara una cosa: posto che gli ip di lan e router MIO e GENITORI che hai riportato rispecchiano esattamente la mia configurazione, il MIO container wireguard su raspberry ha questi parametri:
IP sulla MIA lan del raspberry: 192.168.0.33
IP interno del container wireguard: 172.22.0.9 in ascolto sulla classica porta 51820
IP del server wireguard sulla VPN: 10.11.12.2
Quello che mi sfugge è che, posto di aver configurato la rotta statica per raggiungere la rete GENITORI tramite la macchina wireguard (es. direttamente su windows: route add 192.168.1.0 MASK 255.255.255.0 192.168.0.33), dove sta scritto che quello che arriva a 192.168.0.33 deve finire nella vpn??
Grazie come sempre per tutti gli utilissimi suggerimenti.
Lorenzo1635 preferirei evitare Tailscale per non dover passare dai loro server, ma in mancanza di alternative potrei prenderlo in considerazione.
- Modificato
mtallon dove sta scritto che quello che arriva a 192.168.0.33 deve finire nella vpn??
Nella routing table del Raspberry. Per questo devi attivare il packet forwarding
@mtallon Se vuoi fare tutto a mano: a tuo lato: sul router 192.168.1.0/24 via 192.168.0.200/24 ; sul Raspberry 192.168.1.0/24 via wg0 o qualunque altra interfaccia ti assegni wireguard. Se lo fai via Docker devi aggiungere inoltre la rotta 192.168.1.0/24 via 172.0.0.16/24 (ip del container). Simmetrico dall' altro lato. Devi poi dire al kernel di entrambi i lati della VPN di fare il forwarding dei pacchetti
Lorenzo1635
il packet forwarding è già attivato:
pi@pi:~ $ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
la route table è questa:
pi@pi:~ $ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.0.1 0.0.0.0 UG 100 0 0 eth0
172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0
172.22.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-494a0f208a5e
192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 eth0
è sufficiente così??
mtallon Non vedo nulla rispetto alla LAN remota 192.168.1.0/24. Il farlo con WG in Docker ti aggiunge un altro livello di complessità btw. Appena riesco provo a farti un diagramma di rete
Lorenzo1635
eh infatti.. non vedi nulla rispetto alla LAN remota proprio perchè non ho idea di cosa impostare sul raspberry. e io non vedo nulla nemmeno rispetto alla vpn wg... grazie
mtallon Semplifichiamo il tutto per un attimo. Non cosidereró l'utilizzo di Wireguard dentro Docker perché complica le cose e non considero le parti IPv6 delle due LAN.
Site 1: 192.168.0.0/24
Gateway: 192.168.0.1/24
Raspberry: 192.168.0.100/24
Site 2: 192.168.1.0/24
Gateway: 192.168.1.1/24
Raspberry: 192.168.1.100/24
Consideriamo il Site 1:
Installa Wireguard su Pi.
Crea una nuova interfaccia Wireguard con indirizzo 10.0.0.1/24.
Crea una route sul Pi tale per cui: "192.168.1.0/24 via wg0".
Abilità l'IP forwarding sul Pi.
Crea una rotta sul gateway tale per cui "192.168.1.0/24 via 192.168.0.200/24"
Il site 2 è simmetrico rispetto al site 1.
Se il numero di site supera i 2 spostati su soluzioni che automatizzano il tutto che poi diventa tutto inmantenibile
Lorenzo1635
non posso/voglio "sporcare" il raspberry installandoci direttamente wireguard, che già funziona perfettamente su docker e che utilizzo per connettermi dall'esterno. devo cercare di capire come far funzionare il tutto con wg dentro docker.
ps. per la rotta sul gateway con "192.168.1.0/24 via 192.168.0.200/24": da dove esce fuori 192.168.0.200? E' un refuso e quindi è da intendersi come 192.168.0.100 giusto??
- Modificato
mtallon Si il 200 è un refuso scusa.
Se usi Docker la rotta sul Pi dovrà portare il traffico da 192.168.1.0/24 via 172.x.x.x ip del container wireguard. Non sono sicuro però se Docker inietti delle sue regole nel firewall.
Puoi eseguire il container con network: host per cercare di mitigare la cosa
Ti linko questo articolo: https://quacktacular.net/2020/04/24/site-to-site-vpn-with-wireguard-and-docker/
Lorenzo1635
Grazie, articolo estremamente interessante, appena ho un secondo faccio qualche test.
mtallon con Tailscale puoi farti il derp server linux con il server stun sulla tua rete, configurlo via ACL sul cloud di Tailscale come unico derp server autorizzato. Con questa configurazione tutti i pacchetti transitano sui tuoi peers/nodi e solo la configurazione sta sul cloud di Tailscale.