VPN Wireguard su rete Starlink

Rand0m

Stanco dell'eterna attesa di rilegamento PCN in area bianca BUL, nella seconda casa in collina ho sostituito una traballante connessione 4G con Starlink. Installato tutto da 2 giorni, molto soddisfatto delle prestazioni, pur avendo il piano da 29 euro al mese vedo picchi in download anche di 450 megabit e una stabilità superiore alle aspettative. Venendo al punto: ho attivato la modalità bypass del router di Starlink collegando in cascata un Fritzbox 4060 (che era lì in attesa di FTTH, ma vabbè) che si connette e mi fa navigare senza problemi. Ho provato a impostare la VPN integrata nel Fritz con Wireguard e l'ho impostata sia su iPhone sia sul notebook. Una volta tornato nella prima casa ho provato a vedere se funzionasse, e ovviamente non va. Nella prima casa ho una FTTH su rete Fibercop, router 7690, anch'esso con una VPN Wireguard che funziona senza problemi. Sottolineo che nel 4060 ho provveduto a cambiare il set di indirizzi ip per non andare in conflitto con quelli del 7690 nella prima casa: sul 7690 ho la classe di indirizzi ip di default (192.168.178.1) mentre sul 4060 ho impostato 192.168.1.1. Dal 4060 della seconda casa riesco a connettermi senza problemi in VPN al 7690, mentre non riesco a fare viceversa. Se provo dal notebook Wireguard mi dà un semplice errore di connessione, se invece provo da iPhone mi compare il simbolo della VPN in alto (quindi non mi dà messaggi di errore, pare che il tunnel sia effettivamente attivo) ma se poi provo a connettermi al router 4060 o a navigare non funziona niente.
Ora, io so che Starlink ha il CGNAT e quindi può avere problemi con le VPN, però nel sito di Starlink scrivono questo:

Starlink funziona con le VPN?
Sì. Starlink supporta le VPN che utilizzano TCP o UDP. In generale, le VPN basate su SSL sono le più indicate per superare lo strato CGNAT. Il supporto alla traversalità del NAT è richiesto dalla VPN.

Protocolli VPN da client a sito che generalmente funzionano bene con CGNAT:

SSTP (SSL/TLS/DTSL)
OpenVPN
WireGuard
Protocolli VPN da client a sito che generalmente non funzionano bene con CGNAT:

PPTP
L2TP
Protocolli VPN da sito a sito che generalmente funzionano bene con CGNAT:

MPLS
IKEv2/IPsec
OpenVPN
Protocolli VPN da sito a sito che generalmente non funzionano bene con CGNAT:

GRE
IPsec (senza NAT-T)
L2TP

La mia domanda é: sbaglio qualcosa io nei settaggi oppure non è proprio possibile usare la VPN come sto cercando di fare? Il Fritz permette di gestire nativamente le VPN sia con Wireguard sia con IPSec, quest'ultima potrebbe funzionare meglio?

Saviolo

Rand0m

Controlla che sui due router la VPN non sia sulla stessa identica porta. Teoricamente non dovrebbe dare problemi perché non dovresti averle entrambe attive contemporaneamente ma per esperienza mi è capitato che se entrambi hanno la VPN sullo stesso numero di porta si creano conflitti.

Ad esempio io ho 2 fritz uno in cascata all'altro e 2 VPN una per ogni sottorete che ovviamente non usavo contemporaneamente ma finché non ho cambiato porte una funzionava e l'altra no.

RaffaeleBiava

Rand0m Mm, ho letto e mi sono fiondato perché ero curioso pure io di capire.
Hai chiesto banalmente ad un'IA? Non per altro, il mio fiuto è che il problema è il CGNAT che non ti dà effettivamente un indirizzo pubblico tuo, e quindi fa fatica con WireGuard.
In effetti il consiglio dell'IA è di usare il 7690 come 'Server' della tua VPN, e invece il 4060 come 'Client'.

Ps: poi se risolvi facci sapere 🙂

V0LDY

Rand0m Il supporto alla traversalità del NAT è richiesto dalla VPN

Wireguard di suo non ha quella capacità. Wireguard è semplicemente il protocollo con cui i due dispositivi si parlano, ma se non riescono a raggiungersi hanno poco da dirsi 🙃

Hai due soluzioni:

Se Starlink lo fornisce, usa l'IPV6
Usa una VPN con server di coordinamento tipo Tailscale che permette di il NAT traversal (però devi avere dispositivi compatibili, e i Fritz mi pare non lo siano nativamente).

Configura la vpn dietro starlink come client dell'altra, in quel modo hai una sola VPN e anche il fritz dietro starlink riesce a collegarsi (da client) al fritz sotto fibercop.

Questo anche potrebbe funzionare, anche tocca vedere come viene gestito il routing sul Fritz.
Specialmente se uno vuole connettersi alla casa nattata da mobile ho paura sia un po' un casino raggiungerla.

documibozu

Rand0m breve premessa: Tailscale non è altro che wireguard con una vps centralizzata (Tailscale appunto) che fa da concentratore e in questo modo permette di bypassare il cgnat.
Ma per te il cgnat NON è un problema, perché mi pare che tu abbia una ftth su fibercop che esce già con ip pubblico (statico o dinamico cambia poco).
Quello che devi fare è capire che wireguard NON è una VPN server-client come pptp o l2tp+ipsec, ma una VPN peer to peer.
Capita questa cosa ti si aprirà un mondo: NON hai bisogno di avere un server sulla ffth fibercop e un server su starlink. Ti basta il server sulla ftth (col suo bell'ip pubblico) al quale poi si collegheranno tutti i vari peer ( starlink, cellulari, portatili) e magicamente dal cellulare vedrai sia il server ftth che il client starlink.
Per arrivare a questo quadro favoloso c'è però un piccolissimo problema da superare: il Fritz box.
I Fritz box non sono pienamente compatibili con il protocollo wireguard e quindi non riuscirai mai a realizzare una rete site to site con più di due sottoreti (avendo due Fritz, se hai un Fritz e un qualunque altro dispositivo manco potrebbe andare neppure con due misere sottoreti)
Consiglio spassionato: vendi i Fritz su subito (i Fritz hanno molto mercato nell'usato, la gente li ama per... Boh... Li ama...poteri del marketing) e prenditi qualunque altra cosa supporti wireguard in modo degno (Asus, gl.inet) e vivi felice (senza Tailscale)

Rand0m

Saviolo Non credo sia quello il problema perchè non mi si connette alla VPN neppure dal cellulare sotto rete 5G, quindi escluderei un conflitto fra i 2 Fritzbox. Su iPhone ho impostate entrambe le VPN, quella che si collega al 7690 va senza problemi, quella che va al 4060 no (o meglio, compare il simbolino VPN in alto ma poi non naviga e non si connette al router)

RaffaeleBiava In effetti il consiglio dell'IA è di usare il 7690 come 'Server' della tua VPN, e invece il 4060 come 'Client'.

Non si tratta di connettere tra loro i 2 router ma di connettersi singolarmente a un router o all'altro con i miei dispositivi. La VPN in entrata sul 7690 (da notebook, da iPhone etc) mi funziona, quella sul 4060 no. Ma non mi interessa connettere fra loro i due Fritz, mia basta che funzionino uno alla volta

Saviolo

Rand0m Non credo sia quello il problema perchè non mi si connette alla VPN neppure dal cellulare sotto rete 5G, quindi escluderei un conflitto fra i 2 Fritzbox.

Guarda che anche da me era uguale... usavo lo smartphone in 5G e una VPN funzionava la spegnevo e tentavo di collegarmi all'altra e non c'era verso di farla funzionare in nessun modo.

RaffaeleBiava

Rand0m Mm la 'soluzione' che ti ho proposto però non parla di conflitto, mi raccomando. Tieni conto che è il 4060 ad non riuscire a fare proprio da 'Server' per la VPN, e quindi permettere ai dispositivi al 'di fuori' della rete di connettersi. Che secondo me è un dubbio 'lecito' visto il CGNAT.
----
Comunque no certo, se la tua idea è creare due distinte VPN, non è quello che ti ho proposto dato dall'IA in pasto. Prova quindi i test che ti ha suggerito l'altro ragazzo/a per vedere se risolvi 😉

Ps: leggendo la pagina di 'Starlink' ho come il dubbio che loro indichino il supporto per le VPN da 'Client'...

DavideDaSerra

Configura la vpn dietro starlink come client dell'altra, in quel modo hai una sola VPN e anche il fritz dietro starlink riesce a collegarsi (da client) al fritz sotto fibercop.

Rand0m

DavideDaSerra Posso provare anche così perchè in effetti la VPN in uscita verso la rete Fibercop funziona senza problemi. Ma così facendo io dovrei poi connettermi al router master anche se volessi accedere allo slave?

DavideDaSerra

Rand0m
Esatto, il gateway te lo farebbe il router su rete fibercop (e sarebbe l'unico accessibile).

Rand0m

V0LDY Se Starlink lo fornisce, usa l'IPV6

Il problema è il CGNAT vero? Credo che Starlink fornisca anche IPV6, almeno mi pare di aver capito da questa pagina:
https://starlink.com/it/support/article/1192f3ef-2a17-31d9-261a-a59d215629f4?srsltid=AfmBOoqiVzPsKN0Yb-9sFbP6NHuAUVPiYsMLRFdeOR-ER_GToQl5YJ9h
Viene anche citato un IPV4 pubblico su certi piani di abbonamento, non riesco a capire se il piano superiore (quello da 40 euro al mese invece di 29) fornisca l'indirizzo pubblico

digitalboy

tailscale is the way.
ma devi tirar via il fritz e metterci un Gd.Inet che ha tailscale onboard.
Spendi 80€ ma vivrai sereno.

V0LDY

Rand0m Sì, da quello che scrivono dovrebbero fornire IPV6 quindi potresti usare quello, però uno svantaggio che avresti è che per connetterti ad un IPV6 anche il client che usio deve avere un IPV6.
So che ci sono dei meccanismi di traduzione tra un protocollo e l'altro ma non ho mai indagato a fondo.

L'IPV4 pubblico sicuramente te lo faranno pagare di più, ma a quel punto fai prima a cambiare router o aggiungere un server Tailscale (inteso come qualunque dispositivo in grado di farlo girare) alle reti.

LSan83

Rand0m Viene anche citato un IPV4 pubblico su certi piani di abbonamento, non riesco a capire se il piano superiore (quello da 40 euro al mese invece di 29) fornisca l'indirizzo pubblico

Sono i piani aziendali che hanno ip v4 pubblico... Quello da 40 è identico a quello da 29 sempre sotto CGNAT
Per 500GB di traffico sei sui 93€ mese

mark129

Rand0m non riesco a capire se il piano superiore (quello da 40 euro al mese invece di 29) fornisca l'indirizzo pubblico

Il piano minimo senza p.iva è il Local Priority 50 che sta sui 44 e spicci, ma il suo kit costa una enormità in fase di prima sottoscrizione.

Non so se Starlink ti permetta dall'area clienti l'upgrade dal tuo (mantenendo il kit a noleggio), dovrebbe essere possibile e come prestazioni (velocità, traffico) dovrebbero essere sovrapponibili.

Rand0m

V0LDY Ok, grazie dell'aiuto. Magari prima provo a collegare fra loro in VPN i 2 Fritz per vedere cosa succede, sennò opterò per altre soluzioni

baxxx

Io come vpn uso tailscale su starlink senza problemi. Se non è supportato dal router, puoi installarlo su nas o altro device acceso 24h. Io l’ho installato nel raspi dove gira home assistant.

Rand0m

LSan83 peccato l’ip pubblico per i soli piani aziendali. Il piano da 40 euro al mese poteva aver senso se la differenza con quello da 29 fosse stato anche l’ip pubblico. Attualmente, almeno in Italia, quello da 40 euro al mese è un po inutile dato che le velocità che si raggiungono non sono granché migliori rispetto al piano da 29 (che viene presentato con una velocità “fino a 250 megabit” quando in realtà si sfondano i 400). Chissà che in futuro non permettano l’ip pubblico anche ai clienti privati, vista la velocità con cui nel tempo hanno cambiato e migliorato la loro offerta

LSan83

mark129 Il piano minimo senza p.iva è il Local Priority 50 che sta sui 44 e spicci, ma il suo kit costa una enormità in fase di prima sottoscrizione.

Ma dopo i primi 50 GB vieni cappato ad 1 Mbps... Però hai ip pubblico a 1 Mbps di velocità..... Ormai è difficile usare meno di 400 GB al mese, quindi vai a spendere 93/163€ ogni mese a seconda che stai sotto i 500 o sotto i 1000 Giga usati...

mark129

LSan83 Ma dopo i primi 50 GB vieni cappato ad 1 Mbps...

Che io sappia, non è così.
Continui a navigare normalmente ed il tuo traffico non ha priorità, come per il piano lite da 29.
Potrai essere limitato rispetto ai soli altri utenti Priority (Local o Global o coloro che hanno acquistato pacchetti extra) con bundle non esaurito e "fino a 1Mbit/s": nessun cap fisso, nessun cap permanente (per il periodo di riferimento), nessun cap obbligatorio.

Se vogliamo, Starlink (se puoi fare upgrade di piano dall'area clienti) può dare IPv4 pubblico anche ai residenziali a condizione che lo si paghi dai 4 ai 15 euro / mese (più spicci).

Rand0m

No bhé, non mi interessa andare a spendere cifre folli solo per avere un ip pubblico, considerando che la VPN nell'altra casa non è un'esigenza così importante. Non è un utilizzo lavorativo, è solo una comodità per connettermi da remoto al router mentre sono nell'altra casa, ma posso anche farne a meno. Figuriamoci che uno degli utilizzi più "costruttivi" che faccio della VPN nella prima casa è semplicemente quello di accedervi per poter usare DAZN e localizzarmi a casa mentre in realtà sono altrove. Nella seconda casa questa esigenza non ce l'ho neppure, mi interessa di più che funzioni la VPN nella prima che nella seconda casa.
L'unica cosa che voglio provare è la VPN lan to lan, quindi connettere il 4060 della seconda casa al 7690 della prima casa per avere una VPN unica. A quanto ho capito poi potrei accedere collegandomi al 7690 (che ha ip pubblico) ma avendo accesso anche alla lan del 4060, anche se non mi è ancora chiarissimo come funzioni il tutto

GioAda

documibozu ho controllato un po' e i due fritz che hai dovrebbero avere come soc il qualcomm ipq serie 5xxx. Sotto openwrt arriva a 190mb in wireguard e quindi, per quanto fritzos possa essere pesante, dovresti rientrare nei limiti di performance di cui hai bisogno

Nelle ultime beta la velocità del 4690 è aumentata, lo screenshot è di un vecchio video, comunque il 4060 va molto di più di 190.
Stessa cosa per il 7690.

Probabilmente non ho capito il problema...

Rand0m L'unica cosa che voglio provare è la VPN lan to lan, quindi connettere il 4060 della seconda casa al 7690 della prima casa per avere una VPN unica.

OK e dovrebbe funzionare... ovviamente devi farla prima nel 7690 scegliendo che la connessione di rete non è ancora configurata nel router remoto. Poi vai nella casa B e importi la configurazione.

Rand0m A quanto ho capito poi potrei accedere collegandomi al 7690 (che ha ip pubblico) ma avendo accesso anche alla lan del 4060

Crei un altra wireguard per il telefono nel 7690 e modifichi il campo:
AllowedIPs = 192.168.178.0/24,192.168.1.0/24
Se la prima wireguard è connessa dovrebbe andare altrimenti prova con una rotta statica.

Rand0m Se voglio vedere DAZN mentre sono nella casa B mi basta attivare la VPN

Modifichi la prima wireguard aggiungendo 0.0.0.0/0 su AllowedIPS per inoltrare tutto il traffico nel router A
Se vuoi inoltrare solo il traffico della TV DAZN non modifichi la prima wireguard e ne fai una terza scegliendo la TV come dispositivo e assicurandoti che ci sia 0.0.0.0/0 su AllowedIPS

LSan83

documibozu (i Fritz hanno molto mercato nell'usato, la gente li ama per... Boh... Li ama...poteri del marketing)

Sarà che il popolo dello spritz ama i nomi FRITZzanti 🤣 Mai capito perché pure io, piuttosto uso il modem in comodato dell'operatore che uno di quelli.

Rand0m

documibozu I Fritz box non sono pienamente compatibili con il protocollo wireguard e quindi non riuscirai mai a realizzare una rete site to site

Confermo che ho FTTH Fibercop in una casa.
Tu dici che con due Fritz non è possibile il lan to lan? Eppure loro stessi spiegano come fare
https://fritz.com/it-it/apps/service/vpn-con-il-fritz-box/3686_Configurare-una-VPN-WireGuard-tra-le-reti-di-due-FRITZ-Box
C’è anche la possibilità di stabilire un tunnel permanente in modo che tutto il traffico internet della lan A sia dirottato sulla lan B in maniera continuativa.
Grazie comunque delle spiegazioni

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile