Lan-to-lan via wireguard, ipsec o tunnel ssh

mtallon · 2024-03-11T13:03:57+00:00

Buongiorno, vi spiego brevemente la situazione attuale e quello che vorrei realizzare: due lan che chiamerò rispettivamente casaMIA con IP interni 192.168.0...

[cancellato]

mtallon l problema è il come nella mia situazione (apparati che effettuano il tunnel vpn a valle del router).

Non è un problema, il terminatore VPN può essere tranquillamente a valle del router/firewall e la configurazione non cambia - dovrai solo aprire le porte necessarie sul router a monte. Poi come fare la configurazione specifica sul singolo dispositivo dipende dalla UI del dispositivo e dal protocollo scelto. IPSec richiede in questo caso di usare NAT-T per il NAT traversal. Ma se non hai una buona ragione per usare IPSec, usa Wireguard o OpenVPN che sono più semplici da configurare.

Lorenzo1635

mtallon Usa Wireguard. In confronto a IPSec e OpenVPN è pura magia. Oltre a quello che ha scritto @Volt ti consiglio di controllare che il Kernel sul Pi sia configurato per fare il forwarding dei pacchetti.

Se non hai voglia di fare tutto ciò Tailscale ha una funzione chiamata Subnet Router che secondo me fa al caso tuo https://tailscale.com/kb/1214/site-to-site
Le rotte statiche poi le configuri sempre sui tuoi gateway

Volt

Lorenzo1635 ti consiglio di controllare che il Kernel sul Pi sia configurato per fare il forwarding dei pacchetti.

Giusto, giusto

mtallon

Volt
Si, wireguard è già perfettamente funzionante e vorrei utilizzare quello.
In ogni caso mi sembra di aver capito che per far funzionare il tutto dovrò sbloccare il Tim Hub per poter impostare la rotta statica sul router; ora comunque vedrò di fare qualche prova impostando la rotta statica direttamente su uno dei miei pc. E sperare che il router di Dimensione supporti la creazione di rotte statiche 🙂
Però non mi è chiara una cosa: posto che gli ip di lan e router MIO e GENITORI che hai riportato rispecchiano esattamente la mia configurazione, il MIO container wireguard su raspberry ha questi parametri:
IP sulla MIA lan del raspberry: 192.168.0.33
IP interno del container wireguard: 172.22.0.9 in ascolto sulla classica porta 51820
IP del server wireguard sulla VPN: 10.11.12.2
Quello che mi sfugge è che, posto di aver configurato la rotta statica per raggiungere la rete GENITORI tramite la macchina wireguard (es. direttamente su windows: route add 192.168.1.0 MASK 255.255.255.0 192.168.0.33), dove sta scritto che quello che arriva a 192.168.0.33 deve finire nella vpn??
Grazie come sempre per tutti gli utilissimi suggerimenti.

Lorenzo1635 preferirei evitare Tailscale per non dover passare dai loro server, ma in mancanza di alternative potrei prenderlo in considerazione.

Lorenzo1635

mtallon dove sta scritto che quello che arriva a 192.168.0.33 deve finire nella vpn??

Nella routing table del Raspberry. Per questo devi attivare il packet forwarding

@mtallon Se vuoi fare tutto a mano: a tuo lato: sul router 192.168.1.0/24 via 192.168.0.200/24 ; sul Raspberry 192.168.1.0/24 via wg0 o qualunque altra interfaccia ti assegni wireguard. Se lo fai via Docker devi aggiungere inoltre la rotta 192.168.1.0/24 via 172.0.0.16/24 (ip del container). Simmetrico dall' altro lato. Devi poi dire al kernel di entrambi i lati della VPN di fare il forwarding dei pacchetti

GusEdgestream

mtallon con Tailscale puoi farti il derp server linux con il server stun sulla tua rete, configurlo via ACL sul cloud di Tailscale come unico derp server autorizzato. Con questa configurazione tutti i pacchetti transitano sui tuoi peers/nodi e solo la configurazione sta sul cloud di Tailscale.

mtallon

Lorenzo1635
il packet forwarding è già attivato:
pi@pi:~ $ sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1
la route table è questa:
pi@pi:~ $ route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.0.1 0.0.0.0 UG 100 0 0 eth0 172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0 172.22.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-494a0f208a5e 192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 eth0

è sufficiente così??

Lorenzo1635

mtallon Non vedo nulla rispetto alla LAN remota 192.168.1.0/24. Il farlo con WG in Docker ti aggiunge un altro livello di complessità btw. Appena riesco provo a farti un diagramma di rete

mtallon

Lorenzo1635
eh infatti.. non vedi nulla rispetto alla LAN remota proprio perchè non ho idea di cosa impostare sul raspberry. e io non vedo nulla nemmeno rispetto alla vpn wg... grazie 🙂

Lorenzo1635

mtallon Semplifichiamo il tutto per un attimo. Non cosidereró l'utilizzo di Wireguard dentro Docker perché complica le cose e non considero le parti IPv6 delle due LAN.

Site 1: 192.168.0.0/24
Gateway: 192.168.0.1/24
Raspberry: 192.168.0.100/24

Site 2: 192.168.1.0/24
Gateway: 192.168.1.1/24
Raspberry: 192.168.1.100/24

Consideriamo il Site 1:
Installa Wireguard su Pi.
Crea una nuova interfaccia Wireguard con indirizzo 10.0.0.1/24.
Crea una route sul Pi tale per cui: "192.168.1.0/24 via wg0".
Abilità l'IP forwarding sul Pi.
Crea una rotta sul gateway tale per cui "192.168.1.0/24 via 192.168.0.200/24"

Il site 2 è simmetrico rispetto al site 1.

Se il numero di site supera i 2 spostati su soluzioni che automatizzano il tutto che poi diventa tutto inmantenibile

mtallon

Lorenzo1635
non posso/voglio "sporcare" il raspberry installandoci direttamente wireguard, che già funziona perfettamente su docker e che utilizzo per connettermi dall'esterno. devo cercare di capire come far funzionare il tutto con wg dentro docker.
ps. per la rotta sul gateway con "192.168.1.0/24 via 192.168.0.200/24": da dove esce fuori 192.168.0.200? E' un refuso e quindi è da intendersi come 192.168.0.100 giusto??

Lorenzo1635

mtallon Si il 200 è un refuso scusa.

Se usi Docker la rotta sul Pi dovrà portare il traffico da 192.168.1.0/24 via 172.x.x.x ip del container wireguard. Non sono sicuro però se Docker inietti delle sue regole nel firewall.

Puoi eseguire il container con network: host per cercare di mitigare la cosa

Ti linko questo articolo: https://quacktacular.net/2020/04/24/site-to-site-vpn-with-wireguard-and-docker/

mtallon

Lorenzo1635
Grazie, articolo estremamente interessante, appena ho un secondo faccio qualche test.

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile