Consigli per VPN casalinga con Banana Pi BPi-R3 + OpenWRT

Peter_P-Artix

Ciao a tutti i membri di questo fantastico forum! Come da titolo, sono in cerca di consigli e best practice su come poter mettere in piedi una VPN casalinga e sarò grato a chiunque voglia darmi una mano a capire come fare.

Premessa
Sono fondamentalmente un "nabbo", ma da un paio di anni sono passato a GNU/Linux e il mio interesse verso il software libero continua gradualmente a crescere. Questo mi ha portato sì a smanettare un po' e a perdere la paura del terminale, ma non posso nascondere che, senza delle vere basi, resto - appunto - un "nabbo" alla fin fine, che copia e incolla dopo aver cercato nelle wiki e noi forum, a volte capendoci qualcosa ma molte altre volte no.

Scopo
Lo sto facendo più che altro per sperimentare un po' e imparare, ma anche per cercare di ottenere maggiore privacy, che non credo sia mai male, sopratutto con i tempo che corrono. Non ho perciò grandi pretese, cerco una configurazione molto semplice, con soltanto un dispositivo (il mio telefono) abilitato ad accedere da fuori la rete di casa e soltanto 2 dispositivi (lo stesso telefono + il laptop) che vi si collegano anche quando sono a casa. Nessun NAS o alrti servizi per ora, anche se, avendo anche un Raspberry Pi 5, vorrei un giorno usarlo per ospitare qualche servizio come NAS, bouncer IRC, server XMPP e forse poco altro.

Scenario
La mia linea è FTTC a 100Mbs/20Mbs e come ISP ho Fastweb, il quale mi ha fornito il pessimo Fastgate (Technicolor, MediaAccess DGA4131FWB) ormai diversi anni fa. Sono sotto CGNAT al momento, ma ho intenzione di richiedere un IPv4 pubblico in quanto Fastweb, su richiesta, ne assegna gratuitamente uno statico, oltre al fatto che vorrei evitare di spendere soldi per una VPS, ed aggiungere così anche un "terzo soggetto" nel cui riporre la mia fiducia sostanzialmente. Per quanto riguarda IPv6 invece, mi viene fornito un Prefisso IPv6 (6RD) con /64.
Al momento ho comunuqe messo in piedi il Banana Pi BPi-R3, installandoci OpenWRT 24.10.2, collegandolo via cavo dalla WAN del BPi ad una porta LAN del Fastgate, assegnando poi, dall'interfaccia web di quest'ultimo, un indirizzo IP fisso al BPi, abilitando DMZ verso quell'indirizzo e disabilitando il Wifi del Fastgate.

Ora vorrei procedere con la richiesta di un IPv4 pubblico a Fastweb e mettere in piedi una VPN direttamente dal BPi ma sono in cerca di consigli su come configurare il tutto al meglio, a partire dalla configurazione del modem/router Fastgate, se è possibile e preferibile eliminarlo del tutto o se basta e sarebbe meglio attivare la modalità "GPON-Bridge" disponibile dalla sua interfaccia web. Inoltre, prima di richiedere l'IP pubblico, vorrei capire come mettere la rete il più possibile in sicurezza, quindi capire meglio di quali porte servirmi e come impostare correttamente il firewall.

Spero di aver fornito abbastanza informazioni e ringrazio in anticipo chiunque sarà così gentile da darmi qualche dritta per aiutarmi a riuscire nel mio intento.

Rekko

Peter_P-Artix La mia linea è FTTC a 100Mbs/20Mbs e come ISP ho Fastweb, il quale mi ha fornito il pessimo Fastgate (Technicolor, MediaAccess DGA4131FWB) ormai diversi anni fa

In verità sei stato molto fortunato, questo è uno dei pochi che puoi moddare, tramite questa guida puoi sbloccarlo e successivamente installarci la GUI di Ansuel, rendendo disponibili funzionalità "nascoste"

Per il resto vai di BananaPi con OpenWRT, ma l'importante prima è avere un bridge affidabile

cohibo

Ciao,
per rispondere alle tue domande bisognerebbe scrivere un trattato sulla teoria delle reti informatiche.

Considera che nessuno potrà mai rispondere in maniera netta in quanto le configurazioni migliori in assoluto, di base non esistono. Esistono solo le configurazioni migliori per te, in base alle tue esigenze specifiche.

Se ti piace il mondo dell'open source e dell'informatica in generale, la cosa migliore che puoi fare è studiare, sperimentare (ed, ovviamente, sbagliare molte volte) e capire cosa fa meglio al caso tuo.

In linea generale, se vuoi usare al meglio il Banana, devi comunque dargli una connessione direttamente sulla sua WAN. Non conosco il FastGate, ma se la modalità GPON Bridge ti consente di usarlo come fosse un semplice ONT e far gestire la PPPoE direttamente al Banana, questa è la via da percorrere.

Se vuoi implementare una VPN per accedere la tua rete da fuori, dai un occhio alla documentazione sul protocollo Wireguard disponibile sulla wiki di OpenWRT.

Altra cosa che si può dire, se vuoi sperimentare con IPv6, il 6RD ed una singola /64 su WAN, senza prefissi delegati, non ti consentirà di sperimentare molto. Difatto è un IPv6 "farlocco", che ti permette di raggiungere siti IPv6 ready, ma non molto di più. Tra l'altro, in maniera decisamente poco efficiente.

Per il resto, la wiki di OpenWRT ed i forum specializzati (anche questo) sono pieni di informazioni su come effettuare le configurazioni. Considera che OpenWRT viene fornito di default con configurazioni di sicurezza abbastanza allineate a quelle che sono le esigenze più comuni, ma come già detto, dovresti capire da te qual è il tuo target configurativo. Puoi comunque partire con la pagina "OpenWrt security hardening" della wiki di OpenWRT.

Quando ti sarà chiaro cosa vuoi implementare, fai domande più specifiche e di certo qualcuno potrà consigliarti meglio.

Al momento la tua domanda è talmente generica che ti si può rispondere solo con "studia".

Non avercela a male. Credo davvero che sia il consiglio migliore che ti si possa dare.

V0LDY

cohibo Non conosco il FastGate, ma se la modalità GPON Bridge ti consente di usarlo come fosse un semplice ONT e far gestire la PPPoE direttamente al Banana, questa è la via da percorrere.

+1, metti tutto in bridge se puoi e gestisci direttamente tutto da OpenWRT.

mkonsel Consiglio per arrivare subito all'obiettivo: usa tailscale, è basato su wireguard es è semplicissimo da configurare, su Linux, windows, su openwrt e anche Android. Con tailscale è anche facilissimo definire delle regole di visibilità tra client nella rete vpn, con semplici tag.

Consiglierei anche io Tailscale, almeno uno evita di aprire porte non necessarie ed eviti di avere scocciature di NAT, DDNS, etc.
Tra l'altro con OpenWRT se metti l'interfaccia di Tailscale su una zona a parte del firewall puoi anche gestire per bene i permessi di traffico tra le varie sottoreti/VLAN.
Poi vabbè, se vuoi smanettare provala una configurazione Wireguard "grezza" che ti fa capire un po' come funziona il protocollo, trovo che aiuti a rendere più chiaro anche il funzionamento di Tailscale.

Marcello401 Mi accodo si può fare desktop remoto? se si come?

Se hai Windows Pro la cosa migliore è usare semplicemente il desktop remoto incluso in Windows, altrimenti Rustdesk è ottimo.

Peter_P-Artix

Grazie mille cohibo

cohibo Non avercela a male

No no ci mancherebbe, anzi apprezzo davvero la sincerità del tuo intervento 🙂

Ad ogni modo, per esempio

cohibo se la modalità GPON Bridge ti consente di usarlo come fosse un semplice ONT e far gestire la PPPoE direttamente al Banana, questa è la via da percorrere.

consultando il link, la tecnologia GPON sembra essere legata soltanto alle reti FTTH, mentre la mia è FTTC, però è anche l'unica opzione "bridge" che trovo sul Fastgate... potrebbe comunque funzionare per mettere il Fastgate in modalità bridge? E, più che altro, se non dovesse funzionare su FTTC, quali alternative avrei per usare al meglio il Banana? Per quanto riguarda PPPoE, anche qui ho delle lacune, ma cercando qua e là mi sembra di capire che Fastweb usi il protocollo DHCP, come potrei verificarlo comunque? Oppure una volta ottenuto l'IP pubblico sarà sicuramente PPPoE? Ad ogni modo uno di questo giorni dovrei contattare Fastweb e cercherò di capire.

cohibo Altra cosa che si può dire, se vuoi sperimentare con IPv6, il 6RD ed una singola /64 su WAN, senza prefissi delegati, non ti consentirà di sperimentare molto. Difatto è un IPv6 "farlocco", che ti permette di raggiungere siti IPv6 ready, ma non molto di più. Tra l'altro, in maniera decisamente poco efficiente.

No in realtà no, anzi vorrei "disabilitarlo", almeno per il momento, così mentre cerco di capire come configurare il firewall "mi concentro" solo su IPv4. Sarebbe possibile?

Grazie di nuovo in generale per i consigli

mkonsel

Consiglio per arrivare subito all'obiettivo: usa tailscale, è basato su wireguard es è semplicissimo da configurare, su Linux, windows, su openwrt e anche Android. Con tailscale è anche facilissimo definire delle regole di visibilità tra client nella rete vpn, con semplici tag.

Non consiglio la dmz,con vpn classica basta aprire una porta, e con tailscale non devi aprire nessina porta sul firewall, funziona dietro NAT e anche senza un ip pubblico.

Se hai un ip dinamico, su openwrt puoi configurare il servizio dyndns, ma con tailscale non serve nemmeno quello.

Marcello401

mkonsel
Mi accodo si può fare desktop remoto? se si come?
io attualmente lo uso solo per trasferire file tra i miei pc e vari cellulari.
Grazie

Peter_P-Artix

Innanzitutto GRAZIE A TUTTI per i molti consigli che avete suggerito!

mkonsel V0LDY Tailscale è sicuramente un opzione interessante, ma visto che direi che non ho fretta, né esigenze commerciali o altro, ma lo voglio fare più per sperimentare e "imparare facendo", credo che potrebbe avere più senso seguire prima la strada diciamo "Wireguard puro" documibozu , ripiegando su Tailscale, come piano B, solo nel caso in cui dovessi essere troppo nabbo per riuscirci 😅 Anche perché, come regola generale, vorrei evitare in sostanza di aggiungere "soggetti terzi" in cui riporre la mia fiducia, avendo come principale obiettivo quello di imparare a gestire la mia rete, dunque credo che lo stesso discorso valga anche per l'uso di una VPS documibozu (piano C direi).

Ad ogni modo, come suggerito da Rekko,

Rekko l'importante prima è avere un bridge affidabile

come passo preliminare a tutto questo, dovrei risolvere la questione del "Bridge" che ancora non mi è chara del tutto.

Rekko tramite questa guida puoi sbloccarlo e successivamente installarci la GUI di Ansuel, rendendo disponibili funzionalità "nascoste"

Questa cosa è super interessante e sono molto molto tentato di farlo, l'unica cosa è che in Firmware Repository vedo che la mia versione (18.3.n.0482_FW_264) è l'unica dell'elenco "DGA4131 / VBNT-O" che sotto "Type" ha "??? 🤔" e sotto "Root Strategy" ha "-"... In ogni caso alcuni utenti su questo Forum segnalano che il root seguendo Type 2 e Root Strategy #C ha funzionato anche con il firmware 18.3.n.0482_FW_264, altri hanno riscontrato problemi... Non mi sembra proprio semplicissimo, ma credo proprio che proverò appena ho tempo. La domanda è: è indifferente o dovrei farlo prima/dopo aver richiesto e ottenuto un IPv4 pubblico? E inoltre, quanto è lecito farlo? Nel senso, quanto infastifìdirei Fastweb facendolo?
In ogni caso sono molto tentato di farlo, soprattutto se questa opzione:

non fosse la via corretta per mettere il FastGATE in bridge nel mio caso specifico, essendo in FTTC.

V0LDY Il PPPoE è un protocollo di incapsulamento, una volta che ti colleghi con le credenziali dovresti ottenere in automatico la configurazione adatta dall' ISP, anche perché sono loro ad assegnarti l'IP.

Vorrei verificare con Fastweb se la mia linea usa il protocollo PPPoE o DHCP ed eventualmente se questa cosa può cambiare una volta richiesto l'IPv4 pubblico.

porf anche questo è interessante! Però pensavo di mettere su la VPN sul Banana Pi BPi-R3 e poi eventualmente usare in futuro il Raspberry Pi per alcuni servizi aggiuntivi, pivpn è per metter su una VPN sul Raspberry giusto?

Di nuovo grazie a tutti! E mi scuso per il mio ritardo nel rispondere

wonderbeel non ti manda di sicuro all'inferno

Ci ho messo una vita a rispondere e mi sono perso alcuni messaggi inviati nel frattempo 😅 in ogni caso ci tengo a far presente che non manderei comunque nessuno all'inferno, a prescindere 😁

wonderbeel

Marcello401 Rustdesk con IP diretto, mi pare che ci sia proprio un video su questo setup sul canale youtube di tailscale.

documibozu

E un giorno tailscale decise di fare pagare anche le connessioni che oggi sono free...
Se wireguard deve essere, che wireguard puro sia. Così si evitano middleman vari da cui dipendere.
Come detto sopra da altro utente vai sul wiki di openwrt e studia wireguard, è abbastanza facile.

mkonsel

documibozu al momento è gratis, non si parla di servizi a pagamento per il futuro, e per un neofita è un servizio adatto, inoltre evita di aprire porte dall'esterno verso l'interno e migliora quindi la sicurezza.

Se l'unico contro è "un giorno indefinito sarà a pagamento"... Non vedo contro :-)

V0LDY

Peter_P-Artix E, più che altro, se non dovesse funzionare su FTTC, quali alternative avrei per usare al meglio il Banana? Per quanto riguarda PPPoE, anche qui ho delle lacune, ma cercando qua e là mi sembra di capire che Fastweb usi il protocollo DHCP, come potrei verificarlo comunque? Oppure una volta ottenuto l'IP pubblico sarà sicuramente PPPoE?

Il PPPoE è un protocollo di incapsulamento, una volta che ti colleghi con le credenziali dovresti ottenere in automatico la configurazione adatta dall' ISP, anche perché sono loro ad assegnarti l'IP.

Peter_P-Artix No in realtà no, anzi vorrei "disabilitarlo", almeno per il momento, così mentre cerco di capire come configurare il firewall "mi concentro" solo su IPv4. Sarebbe possibile?

Salvo minime differenze su qualche porta per protocolli specifici IPV4 e IPV6 di default su OpenWRT condividono le stesse regole di firewall dato che sono entrambe interfacce WAN, quindi vengono trattate allo stesso modo.
Non vedo buoni motivi per disattivarlo sinceramente.
Tra l'altro, se devi imparare come funziona l'IPV6 (e te lo dico da persona che non ha ancora ben chiaro il funzionamento di parecchie cose in IPV6 😁) è meglio impararlo da subito piuttosto che imparare prima l'IPV4, altrimenti ti ficchi in testa dei preconcetti su come dovrebbe funzionare il routing e ti incasini cercando di "tradurre" in IPV6 quello che hai imparato in IPV4 quando in realtà il funzionamento è abbastanza diverso (esempio il concetto di NAT fondamentale in IPV4 che in V6 praticamente non esiste).

documibozu E un giorno tailscale decise di fare pagare anche le connessioni che oggi sono free...
Se wireguard deve essere, che wireguard puro sia. Così si evitano middleman vari da cui dipendere.

Beh per ora non è a pagamento, quindi non vedo perché non usarlo, anche perché non ci sono alternative se sei dietro CG NAT (non gratis perlomeno dato che da qualche parte un server di coordinamento lo dovresti comunque mettere anche volendo selfhostare tutto).
C'è l'IPV6 che può aiutare in quel caso ma si rischia di complicare tutto.

documibozu

V0LDY https://www.oracle.com/cloud/free/

Eccoti una bella vps free su cui installare wireguard se sei sotto cgnat

Peter_P-Artix

Aggiornamento 1 → FastGATE Technicolor DGA4131FWB con firmware 18.3.n.0482_FW_264 sbloccato con strategia #C (tch-exploit) della wiki ufficiale e installato anche la GUI di Ansuel. Grazie per le dritte Rekko

Aggiornamento 2 → Ho richiesto il Modem Libero a Fastweb, ed è stata una pratica piuttosto rapida e indolore:

Ho provato a scrivere su WhatsApp per farmi ricontattare per telefono, ma per qualche motivo mi hanno ricontattato dalla stessa chat di WhatsApp.
Ho comunque fatto presente che volevo richiedere il Modem Libero, così mi hanno detto che sarei stato ricontattato dal reparto opportuno. Non mi hanno chiesto nessun MAC address.
La sera stessa ho ricevuto una mail da Fastweb con i parametri per la configurazione del modem. Non c'erano le credenziali SIP però, così ho scritto di nuovo su su WhatsApp, ottenendo di farmi ricontattare via telefono il giorno seguente (oggi).
Oggi, per telefono, ho fatto presente all'operatore che nella mail con le istruzioni per configurare il modem non erano prersenti però le credenziali SIP e lui gentilmente me le ha fornite spiegandomi anche come "ricavarle" ma non so se è contro il regolamento riportarlo qui (se non dovesse esserlo lo faccio volentieri 🙂). Di nuovo non mi ha chiesto nessun MAC address 🤷🏻

Anche la configurazione del VoIP sulla GUI di Ansuel, contro ogni mia aspettativa, è andata a buon fine senza intoppi e la telefonia funziona.

C'è da dire che io ho lasciato così come erano gli accorgimenti suggeriti da Rekko e impostati subito dopo il rooting del FastGATE, anche ora (VLAN ID, DHCP Option 60 e MAC address della WAN). Non so, dovrei cambiare la DHCP Option 60? E se si, come?
Per il MAC invece credo proprio che lascierò sempre quello del FastGATE, anche se dovessi cambiare modem, dato che la maggior parte dei problemi lamentati dagli utenti dopo la richiesta del Modem Libero sembra derivare dalla mancata registrazione da parte di Fastweb del MAC del modem alternativo. Ovviamente correggetemi se è un idea poco furba 😅

Ora, a questo punto ho diversi dubbi.

Cerco di mettere in Modalità Bridge il FastGATE (dopo aver capito come farlo correttamente ovviamente che è uno dei dubbi) o prima mi conviene richiedere l'IP pubblico? Cambia qualcosa?
Nel frattempo ho trovato quest'altro modem/router VDSL Wifi 6 della Zyxel (DX3301-T0) che, al momento, costa circa 20€ in meno del Keenetic Hopper DSL, qualcuno lo conosce? Meglio o peggio? Anche con gli Zyxel è possibile lo spoofing del MAC address?
Volendolo solo mettere in bridge per far gestire tutto al Banana con OpenWRT, non ho bisogno di configurare più di tanto il FastGATE, a parte capire come metterlo in bridge appunto, perché a quel punto passerà soltanto la linea DSL al Banana, giusto? O consigliate qualche impostazione in particolare a prescindere dal fatto che devo metterlo in bridge mode?

porf

https://www.pivpn.io/
Io eviterei tailscale, con pivpn puoi installare sul server una vpn wireguard in pochi minuti, creare le chiavi per i device che devono collegarsi e poi devi solo aprire le porte che hai scelto per il server wireguard e collegarti all'ip pubblico che ti assegnano.
Con fastweb tra l'altro l'ip pubblico è statico e se preferisci puoi anche evitare di usare ddns per raggiungerlo.

mkonsel

documibozu ma non fa prima con tailscale, se deve mettere un server esterno per gestire una vpn wireguard?

documibozu

mkonsel no, perché mentre con una vps controlla tutto lui con Tailscale è in balia di un middleman che domani potrebbe tranquillamente decidere di imporre costi.

P.S.
se uno vuol seguire la strada dei middleman ci sarebbe pure zerotier...

MaxBarbero

documibozu no, perché mentre con una vps controlla tutto lui con Tailscale è in balia di un middleman che domani potrebbe tranquillamente decidere di imporre costi.

però la vps presuppone che uno sappia gestire, hardenizzare e mantenere una macchina linux e il cloud.

wonderbeel

documibozu no, perché mentre con una vps controlla tutto lui con Tailscale è in balia di un middleman che domani potrebbe tranquillamente decidere di imporre costi.

Considerando che il modello di business di tailscale è di fornire account free personali come trial perché così prendi confidenza con il prodotto a casa, ti piace e poi passi anche in azienda a loro dove fanno i $$$ questo domani è ancora parecchio distante; tra l'altro client è open source ed esiste headscale per cui se mai questo fantomatico giorno dove il piano free scompare dovesse arrivare è sempre possibile fare questa alternativa, mi pare assurdo sconsigliare a priori tailscale causa possibili costi futuri per andare poi a consigliare un setup con VPS dove di nuovo devi sperare che resti gratis (e che Oracle non te la cancelli, vuoi per la idle policy o per altri ipotetici motivi).

documibozu

MaxBarbero tutte le vps che ho avuto sotto mano sono mostruosamente protette.
Considera che una vps ha TUTTE le porte chiuse di default e le devi aprire te nella Shell E nel command center (ad esempio Oracle se ci installi Ubuntu e apri la porta 51820 per wireguard non ti connetti. Devi entrare nel pannello di controllo di Oracle e riaprire la porta pure lì)

mkonsel

documibozu quindi tailscale no, perchè c'è un servizio che potrebbe un giorno chiederti soldi, invece un server VPS, gratis perchè il cloud provider di regala XX$, ma se poi non sai gestire o attivi servizi cloud per errore, puoi spendere anche una fortuna, va bene?

secondo me, visto il livello tecnico dichiarato da chi sta chiedendo una mano, la VPS è come sparare a una mosca con un cannone. Le strade sono due:
1) si diverte a tirare su un servizio vpn in casa, aprendo porte, virtual server, dynamic dns, se ha un ipv4 pubblico dinamico o statico assegnato
2) va su qualcosa di "moderno", come tailscale o zerotier

documibozu giusto

V0LDY

wonderbeel esatto, se può diventare a pagamento Tailscale lo stesso può succedere per le VM di Oracle, tra l'altro non è che ne abbia sentito parlare molto bene di quel servizio

documibozu

wonderbeel ripartiamo dalla richiesta dell'OP: voglio farmi una VPN, sono sotto cgnat MA chiederò ip pubblico.
Io gli ho detto di usare wireguard puro, altri di usare Tailscale.
Poi è venuta fuori questa cosa che DEVE usare Tailscale perché non ci sono vps free (ignorando che ci sono vps free e che l'OP ha detto che passerà a IP pubblico).
Ritorniamo in topic: con ip pubblico meglio wireguard puro o wireguard con Tailscale come provider (o altri, mica esiste solo Tailscale...)?
Per me meglio puro.

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile