Consiglio configurazione Raspberry + PPPoE TIM + VPN

Sstonex · 10 feb

rgiorgiotech Ok ottimo! Domani provo e vi faccio sapere

wtf Eh ok. Quindi sono punto e a capo, giusto?
Facciamo un esempio.
Raspberry IP: 192.168.1.10
IP Modem 87.10.10.24 DDNS

Voi mi state consigliando di connettermi in VNC al Raspi. Quindi io mettendo l'indirizzo 87.10.10.24 sarei in graado di connettermi.
Ma dal Raspi giustamente poi loro possono comunque vedere tutta la rete.

Questo succederebbe anche con un'altra PPPoE, vero?

EDIT: mi avete scritto nel frattempo ma ora non posso rispondere. Vi riscrivo domani.
Grazie mille

wtf · 11 feb

stonex
Tieni sempre presente che qualsiasi cosa esponi su Internet in breve sarà esposto a continui tentativi d'accesso non autorizzati, quindi valuta bene cosa fare.

Per farti un esempio pratico, esponendo un server linux con una porta per SSH (non la 22 standard), nel giro di poco tempo avevo centinaia di tentativi di brute force che ho dovuto arginare usando fail2ban e regole sul firewall per bloccare intere classi IP da Russia, Cina e decine di altre location.

LLorenzo1635 · 11 feb

stonex

Tailscale sul RPI e condividi la Tailnet.
0 sbatti

Eenrigi · 11 feb

Lorenzo1635
Sottoscrivo. Anche se, va detto, in questo modo si creerebbe una rete tra tutti i vari "client" tra di loro.

LLorenzo1635 · 11 feb

enrigi

Non per forza. Dipende da come imposti le regole nella Tailnet.

Eenrigi · 11 feb

Lorenzo1635 Giusto.

Sstonex · 11 feb

walt
Eccomi.
Spiego meglio la situazione.

Ho 2dispositivi:
Il Raspi.
Una board con un micro.

Il raspi mi serve per parlare con il micro.

Quindi in futuro mi servirà dare l’accesso ai miei amici dalla LAN, dovranno poi essere in grado di connettersi anche dal Raspi all’altro micro.

Ma prima di tutto devono esseee in grado connettersi al raspberry, possibilmente con l’interfaccia grafica.

Lorenzo1635
Ok. Ho appena letto di tailscale.
Praticamente lo si installa sul raspberry, crea una VPN con i loro server.
Tutto corretto?
Vantaggi di Tailscale rispetto a Wireguard? Si occupano loro della sicurezza della rete?

LLorenzo1635 · 11 feb

stonex Tutto corretto?

Si.

stonex Vantaggi di Tailscale rispetto a Wireguard?

Si occupano della Key distribution e del NAT traversal.

Ma questo setup deve andare in produzione o solo roba di test?

Sstonex · 11 feb

Lorenzo1635 Ma questo setup deve andare in produzione o solo roba di test?

Ma no che produzione hahaha
Non sono mica un’azienda.
Siamo 3 babbi che provano a fare esperimenti più o meno complessi.
Budget poco nullo e tanto sbatterci la testa.

Quindi il port forwarding lo accantoniamo definitivamente?

rgiorgiotech · 11 feb

stonex Quindi il port forwarding lo accantoniamo definitivamente?

Con una soluzione come Tailscale, a cui non avevo effettivamente pensato, direi di si. Il port forwarding secondo me è una “soluzione di fortuna”, ci sono metodi più eleganti

ordex · 12 feb

scusate se mi intrometto adesso, ma qual é l'obiettivo esatto che si vuole raggiungere?
Sono state tirate in ballo diverse soluzioni, ognuna con il suo perché ed ognuna adatta ad una situazione diversa.
Ma senza un chiaro obiettivo vien difficile suggerire qualcosa di specifico.
Tailscale é una VPN alla fine, quindi a meno di specifica configurazione, puó portare o meno gli stessi problemi di un'altra VPN.

Se peró chiarisci con esattezza cosa vuoi fare, ti si possono dare consigli piú chiari.

Hai detto "i miei soci devono accedere al RPi": che intendi per accedere? loggarsi sul RPi via SSH? collegarsi via VNC al desktop? collegarsi ad un servizio specifico che gira sull'RPi?

Perché se un utente effettua un vero e proprio login sull'RPi, allora avrá accesso alle sue risorse (e per esempio potrebbe collegarsi ad altri host nella sua/tua LAN). In questo caso devi per forza isolare l'RPi ( ci sono vari modi).

Se invece si collegano solo ad un servizio specifico, senza un vero login sul sistema, isolare l'RPi potrebbe non essere necessario ed allora basta port forwarding o VPN. (Preferisco la VPN per evitare di esporre su Internet un servizio nudo e crudo).

Questo solo per dire che, almeno a me, lo scopo é ancora un po' fumoso

Sstonex · 13 feb

ordex Certo, spiego volentieri.

Io ho bisogno di accedere da remoto solo al raspberry PI e ad un altro dispositivo connesso in LAN.

Del raspi mi servirebbe utilizzare l'interfaccia grafica, l'accesso via SSH non mi basta. Dal raspi stesso poi dovrò usare le sue porte USB per comandare roba.

Vorrei anche "isolare" questi due dispositivi dal resto della mia rete, visto che devo dare l'accesso a terzi (miei amici, ma comunque terzi).

Cosa consigliate tra quanto proposto?

rgiorgiotech Ho dettagliato meglio i miei scopi

ordex · 13 feb

stonex non ho ancora capito che servizio useresti per dare accesso all'interfaccia grafia del RPi.
Ma quel che dici mi pare di capire che i tuoi amici si debbano loggare in qualche modo sul RPi.
A questo punto serve una separazione a livello di rete, perché chi si loggerá sull'RPi vedrá tutte le interfacce di rete e potrá comunque da lí eseguire comandi vari.

Come han suggerito, potrebbe essere opportuno mettere l'RPi e l'altro dispositivo in una LAN a se stante. poi all'RPi puoi accederci via VPN.

Sstonex · 13 feb

ordex
Per la parte grafica mi serve una VNC no?

Okok, ma non mi è possibile fare una LAN a parte.
Il modem fornito da TIM non supporta le VLAN da quanto ho visto.

Per quello vi chiedevo se configurare il modem in PPPoE passtrough verso il Raspi e far tirare su una connessione nuova al raspi avrebbe senso.
In questo modo, dal raspberry il resto della LAN sarebbe comunque visibile?

Altrimenti me ne frego di sta sega mentale e vado di VPN semplice e basta, ditemi voi ahhaha

ordex · 13 feb

stonex Per la parte grafica mi serve una VNC no?

é un'opzione.

stonex Per quello vi chiedevo se configurare il modem in PPPoE passtrough verso il Raspi e far tirare su una connessione nuova al raspi avrebbe senso.

se configuri il modem in passthrough, sei sicuro che terrá la connessione principale aperta?

Comunque, molto banalmente, potresti anche lasciare il RPi sulla LAN, ma configuri il firewall in modo tale che non possa raggiungere nessun altro dispositivo sulla LAN se non quelli che decidi tu.
Cosí i tuoi amici, che non hanno permessi di root, non potranno toccare il firewall e dovranno conviverci.
Occhio ovviamente a non chiuderti di fuori anche tu

Sstonex · 13 feb

ordex se configuri il modem in passthrough, sei sicuro che terrá la connessione principale aperta?

sì, da quanto vedo Mamma TIM l'ha lasciato sbloccata apposta questa funzionalità.

ordex Comunque, molto banalmente, potresti anche lasciare il RPi sulla LAN, ma configuri il firewall in modo tale che non possa raggiungere nessun altro dispositivo sulla LAN se non quelli che decidi tu.

Ok, mi hai convinto con questa soluzione.
Quindi VNC da Raspi
Raspi con io come utente root in cui configuro il firewall (Da sperimentare come si fare, se avete qualche guida)
Creazione di un account senza diritti admin (idem con potatoes)

A questo punto dovrei essere a posto

ordex Occhio ovviamente a non chiuderti di fuori anche tu

Dobbiamo dircelo, il rischio che succeda è alto viste le mie competenze in materia hahahah

XRedShark · 13 feb

Ma se il modem non supporta VLAN potrebbe invece avere rete "Ospiti"? Rimane tutto isolato e pieno accesso al Rapi.

Sstonex · 13 feb

XRedShark Devo indagare questa cosa, adesso non te lo so dire che non ce l'ho sotto mano.