Consiglio configurazione Raspberry + PPPoE TIM + VPN

Sstonex · 8 feb

Ciao a tutti!
Sto cercando di capire quale sia il modo migliore per accedere al mio raspberry pi 3 b+ dall'esterno della mia rete locale. Si tratta di un progetto condiviso con amici e non vorrei che sguazzassero in giro per la mia LAN.
Per ora non ho ancora fatto nulla, ho solo assegnato un ip statico in LAN al mio raspberry.
Mi trovo su rete TIM e ho il modem h388xf.

Idealmente leggendo questo forum mi sembra di capire che è buona prassi separare le parti "esposte" online dal resto della mia LAN (e mi andrebbe bene).

Idea #1: Facile - DDNS + Server VPN su Raspberry
Vantaggi: Facile da configurare
Svantaggi: La mia LAN è accessibile in VPN tramite il raspberry.

Idea #2: Difficile - DDNS + PPPoE Passtrough
Vantaggi: Essendo una connessione diversa, la mia LAN sarebbe completamente separata
Svantaggi: Fattibilità(il modem permette di aprire una nuova connessione da un dispositivo?) - Complessità

Quale strada mi consigliate?
La seconda, seppur più difficile, è fattibile con quel modem? Ha senso tutto questo?

Grazie a tutti i sistemisti che mi daranno una mano

wtf · 8 feb

stonex
Se il router che hai te lo consente, potresti configurare una VLAN separata su una porta a cui colleghi il Raspberry e utilizzi la tua idea 1.
L' importante è che dal router impedisci la comunicazione tra quella VLAN e il resto della LAN.

GusEdgestream · 8 feb

stonex questo progetto condiviso, é hostato sul raspberry? Devono accedere solo al raspberry? I tuoi amici hanno la psssword di root del raspberry o sono sudoers?

Sstonex · 8 feb

wtf Mi sembra di capire che questo (h388xf) modem non gestisce diverse VLAN.

GusEdgestream Il progetto è proprio sul rasperbby. Non c'è alcuna necessità di accedere a qualsiasi dispositivo che non sia il raspberry stesso.
Per il momento non c'è nulla di configurato sul raspberry, ci accedo io dalla rete locale o i miei amici sempre dalla mia rete locale quando vengono da me.

I miei amici per ora non hanno nulla. Mi stai suggerendo di creare un utente "admin" e uno "normale" condiviso?
Scusa le inesattezze, non sono espertissimo

GusEdgestream · 10 feb

stonex I miei amici per ora non hanno nulla. Mi stai suggerendo di creare un utente "admin" e uno "normale" condiviso?
Scusa le inesattezze, non sono espertissimo

era giusto per capire se ti convenisse mettere qualche firewall sul raspberry che blocca traffico verso la tua lan. Se non necessitano di essere sudoers linux per portare avanti il progetto, valuta di installarci qualche firewall di facile gestione

rgiorgiotech · 10 feb

So che forse non è l'opzione più "delicata" del mondo, ma se il router permette di configurare DDNS non puoi semplicemente fare un port forwarding del Raspi? Così l'unica cosa a cui possono accedere dall'esterno risulta solo quello, e non "sguazzano" nella LAN se tutti gli altri dispositivi non sono esposti

Sstonex · 10 feb

GusEdgestream Non credo che serva. Però come dice rgiorgiotech forse non mi serve nemmeno (per ora). Se dovrò attaccarci qualcosa valuterò altre soluzioni.

rgiorgiotech Hai ragione! Non ci avevo pensato. Sarebbe la soluzione più semplice.

Quindi DDNS su Router di mamma TIM + Porta aperta verso il raspi.
Devo tutelare il raspi in qualche modo (esempio firewall o altro da installare?) oltre a scegliere ovvimanente user e psw un minimo complessi?

Avete qualche consiglio per un DDNS gratis? Non ne ho mai usato uno...

rgiorgiotech · 10 feb

stonex Devo tutelare il raspi in qualche modo (esempio firewall o altro da installare?) oltre a scegliere ovvimanente user e psw un minimo complessi?

Su firewall non ti saprei dire, ti direi anche che non è troppo importante secondo me.
Sul DDNS gratuito io avevo provato Duck DNS.

wtf · 10 feb

stonex
Se apri una porta (ad esempio la 22) del Raspberry, chi apre una sessione ssh da lì può poi tranquillamente raggiungere gli altri apparati della tua LAN a meno che tu non lo segreghi in dmz.

rgiorgiotech · 10 feb

wtf E questo è anche vero effettivamente

walt · 10 feb

@stonex

Faccio un passo indietro: quali servizi vuoi rendere accessibili all'esterno?

Sstonex · 10 feb

rgiorgiotech Ok ottimo! Domani provo e vi faccio sapere

wtf Eh ok. Quindi sono punto e a capo, giusto?
Facciamo un esempio.
Raspberry IP: 192.168.1.10
IP Modem 87.10.10.24 DDNS

Voi mi state consigliando di connettermi in VNC al Raspi. Quindi io mettendo l'indirizzo 87.10.10.24 sarei in graado di connettermi.
Ma dal Raspi giustamente poi loro possono comunque vedere tutta la rete.

Questo succederebbe anche con un'altra PPPoE, vero?

EDIT: mi avete scritto nel frattempo ma ora non posso rispondere. Vi riscrivo domani.
Grazie mille

wtf · 11 feb

stonex
Tieni sempre presente che qualsiasi cosa esponi su Internet in breve sarà esposto a continui tentativi d'accesso non autorizzati, quindi valuta bene cosa fare.

Per farti un esempio pratico, esponendo un server linux con una porta per SSH (non la 22 standard), nel giro di poco tempo avevo centinaia di tentativi di brute force che ho dovuto arginare usando fail2ban e regole sul firewall per bloccare intere classi IP da Russia, Cina e decine di altre location.

LLorenzo1635 · 11 feb

stonex

Tailscale sul RPI e condividi la Tailnet.
0 sbatti

Eenrigi · 11 feb

Lorenzo1635
Sottoscrivo. Anche se, va detto, in questo modo si creerebbe una rete tra tutti i vari "client" tra di loro.

LLorenzo1635 · 11 feb

enrigi

Non per forza. Dipende da come imposti le regole nella Tailnet.

Eenrigi · 11 feb

Lorenzo1635 Giusto.

Sstonex · 11 feb

walt
Eccomi.
Spiego meglio la situazione.

Ho 2dispositivi:
Il Raspi.
Una board con un micro.

Il raspi mi serve per parlare con il micro.

Quindi in futuro mi servirà dare l’accesso ai miei amici dalla LAN, dovranno poi essere in grado di connettersi anche dal Raspi all’altro micro.

Ma prima di tutto devono esseee in grado connettersi al raspberry, possibilmente con l’interfaccia grafica.

Lorenzo1635
Ok. Ho appena letto di tailscale.
Praticamente lo si installa sul raspberry, crea una VPN con i loro server.
Tutto corretto?
Vantaggi di Tailscale rispetto a Wireguard? Si occupano loro della sicurezza della rete?

LLorenzo1635 · 11 feb

stonex Tutto corretto?

Si.

stonex Vantaggi di Tailscale rispetto a Wireguard?

Si occupano della Key distribution e del NAT traversal.

Ma questo setup deve andare in produzione o solo roba di test?

Sstonex · 11 feb

Lorenzo1635 Ma questo setup deve andare in produzione o solo roba di test?

Ma no che produzione hahaha
Non sono mica un’azienda.
Siamo 3 babbi che provano a fare esperimenti più o meno complessi.
Budget poco nullo e tanto sbatterci la testa.

Quindi il port forwarding lo accantoniamo definitivamente?