Consiglio configurazione Raspberry + PPPoE TIM + VPN

wtf · 8 feb

stonex
Se il router che hai te lo consente, potresti configurare una VLAN separata su una porta a cui colleghi il Raspberry e utilizzi la tua idea 1.
L' importante è che dal router impedisci la comunicazione tra quella VLAN e il resto della LAN.

GusEdgestream · 8 feb

stonex questo progetto condiviso, é hostato sul raspberry? Devono accedere solo al raspberry? I tuoi amici hanno la psssword di root del raspberry o sono sudoers?

Sstonex · 8 feb

wtf Mi sembra di capire che questo (h388xf) modem non gestisce diverse VLAN.

GusEdgestream Il progetto è proprio sul rasperbby. Non c'è alcuna necessità di accedere a qualsiasi dispositivo che non sia il raspberry stesso.
Per il momento non c'è nulla di configurato sul raspberry, ci accedo io dalla rete locale o i miei amici sempre dalla mia rete locale quando vengono da me.

I miei amici per ora non hanno nulla. Mi stai suggerendo di creare un utente "admin" e uno "normale" condiviso?
Scusa le inesattezze, non sono espertissimo

GusEdgestream · 10 feb

stonex I miei amici per ora non hanno nulla. Mi stai suggerendo di creare un utente "admin" e uno "normale" condiviso?
Scusa le inesattezze, non sono espertissimo

era giusto per capire se ti convenisse mettere qualche firewall sul raspberry che blocca traffico verso la tua lan. Se non necessitano di essere sudoers linux per portare avanti il progetto, valuta di installarci qualche firewall di facile gestione

rgiorgiotech · 10 feb

So che forse non è l'opzione più "delicata" del mondo, ma se il router permette di configurare DDNS non puoi semplicemente fare un port forwarding del Raspi? Così l'unica cosa a cui possono accedere dall'esterno risulta solo quello, e non "sguazzano" nella LAN se tutti gli altri dispositivi non sono esposti

Sstonex · 10 feb

GusEdgestream Non credo che serva. Però come dice rgiorgiotech forse non mi serve nemmeno (per ora). Se dovrò attaccarci qualcosa valuterò altre soluzioni.

rgiorgiotech Hai ragione! Non ci avevo pensato. Sarebbe la soluzione più semplice.

Quindi DDNS su Router di mamma TIM + Porta aperta verso il raspi.
Devo tutelare il raspi in qualche modo (esempio firewall o altro da installare?) oltre a scegliere ovvimanente user e psw un minimo complessi?

Avete qualche consiglio per un DDNS gratis? Non ne ho mai usato uno...

rgiorgiotech · 10 feb

stonex Devo tutelare il raspi in qualche modo (esempio firewall o altro da installare?) oltre a scegliere ovvimanente user e psw un minimo complessi?

Su firewall non ti saprei dire, ti direi anche che non è troppo importante secondo me.
Sul DDNS gratuito io avevo provato Duck DNS.

wtf · 10 feb

stonex
Se apri una porta (ad esempio la 22) del Raspberry, chi apre una sessione ssh da lì può poi tranquillamente raggiungere gli altri apparati della tua LAN a meno che tu non lo segreghi in dmz.

rgiorgiotech · 10 feb

wtf E questo è anche vero effettivamente

walt · 10 feb

@stonex

Faccio un passo indietro: quali servizi vuoi rendere accessibili all'esterno?

Sstonex · 10 feb

rgiorgiotech Ok ottimo! Domani provo e vi faccio sapere

wtf Eh ok. Quindi sono punto e a capo, giusto?
Facciamo un esempio.
Raspberry IP: 192.168.1.10
IP Modem 87.10.10.24 DDNS

Voi mi state consigliando di connettermi in VNC al Raspi. Quindi io mettendo l'indirizzo 87.10.10.24 sarei in graado di connettermi.
Ma dal Raspi giustamente poi loro possono comunque vedere tutta la rete.

Questo succederebbe anche con un'altra PPPoE, vero?

EDIT: mi avete scritto nel frattempo ma ora non posso rispondere. Vi riscrivo domani.
Grazie mille

wtf · 11 feb

stonex
Tieni sempre presente che qualsiasi cosa esponi su Internet in breve sarà esposto a continui tentativi d'accesso non autorizzati, quindi valuta bene cosa fare.

Per farti un esempio pratico, esponendo un server linux con una porta per SSH (non la 22 standard), nel giro di poco tempo avevo centinaia di tentativi di brute force che ho dovuto arginare usando fail2ban e regole sul firewall per bloccare intere classi IP da Russia, Cina e decine di altre location.

LLorenzo1635 · 11 feb

stonex

Tailscale sul RPI e condividi la Tailnet.
0 sbatti

Eenrigi · 11 feb

Lorenzo1635
Sottoscrivo. Anche se, va detto, in questo modo si creerebbe una rete tra tutti i vari "client" tra di loro.

LLorenzo1635 · 11 feb

enrigi

Non per forza. Dipende da come imposti le regole nella Tailnet.

Eenrigi · 11 feb

Lorenzo1635 Giusto.

Sstonex · 11 feb

walt
Eccomi.
Spiego meglio la situazione.

Ho 2dispositivi:
Il Raspi.
Una board con un micro.

Il raspi mi serve per parlare con il micro.

Quindi in futuro mi servirà dare l’accesso ai miei amici dalla LAN, dovranno poi essere in grado di connettersi anche dal Raspi all’altro micro.

Ma prima di tutto devono esseee in grado connettersi al raspberry, possibilmente con l’interfaccia grafica.

Lorenzo1635
Ok. Ho appena letto di tailscale.
Praticamente lo si installa sul raspberry, crea una VPN con i loro server.
Tutto corretto?
Vantaggi di Tailscale rispetto a Wireguard? Si occupano loro della sicurezza della rete?

LLorenzo1635 · 11 feb

stonex Tutto corretto?

Si.

stonex Vantaggi di Tailscale rispetto a Wireguard?

Si occupano della Key distribution e del NAT traversal.

Ma questo setup deve andare in produzione o solo roba di test?

Sstonex · 11 feb

Lorenzo1635 Ma questo setup deve andare in produzione o solo roba di test?

Ma no che produzione hahaha
Non sono mica un’azienda.
Siamo 3 babbi che provano a fare esperimenti più o meno complessi.
Budget poco nullo e tanto sbatterci la testa.

Quindi il port forwarding lo accantoniamo definitivamente?

rgiorgiotech · 11 feb

stonex Quindi il port forwarding lo accantoniamo definitivamente?

Con una soluzione come Tailscale, a cui non avevo effettivamente pensato, direi di si. Il port forwarding secondo me è una “soluzione di fortuna”, ci sono metodi più eleganti