Ciao a tutti,

vi scrivo per avere un consiglio su quale possa essere la configurazione migliore di una VPN per la mia situazione, mi spiego :

CASA A : è l'abitazione in cui vivo/lavoro abitualmente. Ho una FTTC con Sky Wifi

Casa B : è una seconda casa al mare, ahimè non coperta da Adsl e/o Fibra, per cui è connessa con un router 4G TP Link TL MR 6400 e sim mobile tim con piano dati illimitato. Il tema quà è che l'ip è nattato, e quindi non raggiungibile dall'esterno.

Casa C : Altra seconda casa in campagna, con FTTC Tim, e modem/router proprietario, con un Fritxbox 7590.

Esigenza :
Casa B e Casa C sono entrambe dotate di un sistema antifurto e di videosorveglianza, che ho necessità di monitorare da remoto.
Su Casa C ovviamente nessun problema, considerando l'ip pubblico esposto con ddns, riesco senza problemi a raggiungerla.
Casa B invece, avendo ip privato nattato, no!

Mi sembra di capire che l'unica soluzione sia tirare su una VPN, ma ho qualche dubbio :

1) Il server VPN lo tirerei su nella Casa A, ma purtroppo lo Sky Wifi Hub non ha questa funzionalità. Potrei ovviare installandolo su un raspberry pi4 in alternativa ?
2) Se connetto Casa B (il Tp Link ha il client vpn a bordo) riesco da casa A a vedere i client della lan come se fossero appunto nella stessa rete di Casa A ?
3) Anche se Casa C è raggiungibile da remoto, a questo punto collegherei anche quella come Client VPN (Il Fritzbox in questo è anni luce avanti)

Però mi chiedevo, meglio installare il server vpn in casa A, sul rapsberry, o installarlo in Casa C sul fritzbox ? Solo che in questo caso non mi è chiaro come da casa A potrei connettermi, non avendo lo Sky Wifi Hub un client VPN....

Potrei eventualmente risolvere con qualche servizio online ?

Scusate so che è una situazione complicata, e come potete immaginare sono un pò confuso sul da farsi...
Potete suggerirmi quale sia la soluzione migliore ?

grazie in anticipo a chiunque mi aiuterà
Ciao!

O cambi marca o compri una VPS da una lira e ci installi una VPN e fai lì il portforwarding. Nel primo caso Hikvision ed EZVIZ funzionano anche dietro nat. Nel secondo caso guardati in giro qualche rivenditore a basso prezzo.

Ciao Perseverance, grazie intanto per avermi risposto.
Se capisco bene, tu dici :

O compri un servizio di server vpn online... o cambio marca. Ma quando dici "cambia marca" a cosa ti riferisci ? Allo sky wifi hub ?

Cmq per es. in CASA B, devo proprio poter raggiungere un sistema di videosorveglianza hikvision, che al momento riesco a raggiungere tramite il loro cloud, bypassando il nat della sim mobile...

Io volevo tirare su una vpn, e collegare tutto in un unica grande lan, per comodità, e portarmi poi tutto dentro home assistant su raspberry pi, che gira nella casa principale.
diversamente sono costretto ogni volta ad aprire la singola app/sito del servizio cloud, che tra casa B e Casa C sono diversi...

Se hai roba hikvision allora non hai problemi a raggiungerlo dietro un NAT. Quello che vuoi fare è qualcosa di più: vuoi vedere tutte le telecamere attraverso un'unica app di terze parti che però ha bisogno di accesso IP diretto alle attrezzature.

Il problema ce l'hai solo con la casa B al mare.

Io ti consiglierei di acquistare una VPS personale su cui installare un server VPN (wireguard o openvpn ma anche banalmente pptp o L2tp). Non toccherei nessuna delle altre due case anche xkè se quella dove terrai il "server" và down per qualche motivo, poi bloccherai anche tutte le altre.

Puoi provare a cercare chi offre un servizio VPN già pronto fra i vari provider e che ti permetta il port-forwarding e che risulti un ip statico da fuori. Windscribe, Surfshark, NordVPN a memoria mi pare che permettano di impostare il port-forwarding.

Vedi te cosa merita di più fra una VPN commerciale già pronta e un server privato virtuale VPS su cui installarci un server vpn e aprirci le porte. Le VPS si trovano anche a 1€ al mese.

P.S.: ma se compri tutta roba hikvision in tutte e tre le case ti torna male gestirle tutte e tre da hik-connect?

Se hai roba hikvision allora non hai problemi a raggiungerlo dietro un NAT. Quello che vuoi fare è qualcosa di più: vuoi vedere tutte le telecamere attraverso un'unica app di terze parti che però ha bisogno di accesso IP diretto alle attrezzature.

Il problema ce l'hai solo con la casa B al mare.

Io ti consiglierei di acquistare una VPS personale su cui installare un server VPN (wireguard o openvpn ma anche banalmente pptp o L2tp). Non toccherei nessuna delle altre due case anche xkè se quella dove terrai il "server" và down per qualche motivo, poi bloccherai anche tutte le altre.

Puoi provare a cercare chi offre un servizio VPN già pronto fra i vari provider e che ti permetta il port-forwarding e che risulti un ip statico da fuori. Windscribe, Surfshark, NordVPN a memoria mi pare che permettano di impostare il port-forwarding.

Vedi te cosa merita di più fra una VPN commerciale già pronta e un server privato virtuale VPS su cui installarci un server vpn e aprirci le porte. Le VPS si trovano anche a 1€ al mese.

P.S.: ma se compri tutta roba hikvision in tutte e tre le case ti torna male gestirle tutte e tre da hik-connect?

Esatto hai capito benissimo.
Però se il server lo tiro su nella mia casa principale, anche se va giù, è quella più "presidiata" quindi lo tiro su in ogni momento no ?
Al momento con hik connect gestisco le telecamere e l'nvr della casa B, tramite il loro cloud
Ma per es nella Casa C non uso hikvision, ma altra marca, a quindi altra app,
Poi c'è anche un antifurto ajax, anche lui monitorabile e gestibile da remoto...

Insomma mi ritrovo con "n" client ognuno con la sua app proprietaria, e volevo centralizzare il tutto, sia da casa mia,che da smartphone, con home assistant, che già uso.
Per quello pensavo di tirare su un unica grande lan, in vpn, ovviamente senza perdere visibilità della casa principale, dove anche li tra telecamere, fotovoltaico, sonoff e shelly in ogni dove, nas etc etc, client da gestire/monitorare ne ho a bizzeffe...

Ora studio un pò i servizi che mi hai elencato....io banalmente pensavo di cavarmela con i client/server vpn installati a bordo dei router che ho già in casa (tra l'altro pensavo di sostituire quello di casa B con un fritzbox 6850 lte) e a casa installare il client su rapsberry....

Una prova per toglierti il dubbio la puoi fare con gli apparecchi che hai, xò devono avere tutti il supporto a qualche protocollo di tunnelling. Fra tutti i protocolli openvpn è quello più pesante ed io non credo che nessun router domestico ti possa garantire prestazioni accettabili, ma finché non provi non puoi sapere come si comporta.

C'è un'altra questione in cui mi sono imbattuto alcune volte: su base openvpn non tutti i router sono compatibili fra loro; dicono di avere il supporto ma poi dialogano solo fra marche uguali.

Altra strada è dedicare un pc a fungere da server vpn dove sopra ci andrai a mettere quello che ti pare: wireguard, openvpn, pptp, l2tp. Questi ultimi due a livello di client li ho trovati implementati anche su roba tplink da dieci lire, magari è già compatibile ciò che hai.

Però io fossi in te una prova con una vpn commerciale già pronta la farei, quasi tutte offrono un periodo di prova soddisfatti o rimborsati, sfruttalo. Se vedi che funziona per la casa B puoi tenerla oppure, avendo appurato la fattibilità, puoi fartelo in casa con un pc dedicato allo scopo.

Si si infatti è proprio quello che voglio fare, iniziare a fare dei tentativi con quello che ho in casa, e poi magari faccio una prova con qualche vpn commerciale.
Leggo in giro per il web che wireguard è più "leggera" rispetto a openvpn, anche se questa è sicuramente più "collaudata"
Il fritzbox che ho in casa C per es supporta entrambe
Tra l'altro stavo proprio valutando di sostituire il tp link che ho in casa B con un fritzbox LTE 6850, così non dovrei avere problemi di comunicazione (tanto il tp link è nuovo, posso ancora fare reso su amazon)
Prima però vorrei farci un salto e vedere cosa supporta... purtroppo quello non posso raggiungerlo da remoto come faccio per il fritzx di Casa C.

A me continua cmq a non essere chiaro il tema delle classi IP :

Nella mia situazione, le 3 case, devono avere 3 classi diverse ?
Es :
Casa A : 192.168.0.xxx
Casa B : 192.168.1.xxx
Casa C : 192.168.2.xxx

È indifferente xkè il tunnel vpn avrà un suo spazio di indirizzamento separato dalle reti delle rispettive abitazioni. Per accedervi da cellulare dovrai sempre collegarti tramite l'app fritz box. Questa è una soluzione differente rispetto ad usare una VPN per fare il port-forwarding per la sola casa B.

Se poi gli apparecchi fritz permettono di fare il port-forwarding verso i client del tunnel per potervi accedere dall'esterno senza connettersi (nel tuo caso il cellulare) alla vpn è tutto da vedere; purtroppo non ho esperienza con questo marchio.

Se invece accetti di installare anche su cellulare la app fritz box ed usarla per connetterti alla tua VPN (con le due case B e C connesse fisse tramite fritz vpn alla casa A) allora dovrebbe funzionarti tutto.

Aspetta mi sto perdendo... intanto ho iniziato a giocare un pò con quello che avevo "in casa", ti dico cos'ho fatto :

Casa A : Classe IP 192.168.0.xxx Quà su un client (laptop windows) ho installato il client wireguard

Casa C : Dove ho il fritzbox. Quà ho impostato come classe di ip lan la 192.168.10.xxx e ho configurato sul fritz una vpn wireguard, poi il file di configurazione l'ho importato nel client installato sul pc in Casa A, e con il Qrcode mi sono configurato anche il client wireguard su iphone.

Casa B : Ancora non ci ho messo mano perchè devo fisicamente andare li non essendo raggiungibile da remoto (è cmq in viaggio un fritz 6850 da sostituire al TP link attuale)

Ora, la situazione è questa :

Da Casa A, con vpn attiva sul pc windows, dal prompt vedo questo :

https://i.postimg.cc/F7QW7mSm/aaaa.png (https://postimg.cc/F7QW7mSm)

Segno che, se non capisco male, vedo "entrambe le reti" sia quella di casa A che quella di Casa C (Anche se non so cosa siano tutti quegli ip sotto la 192.168.10.xxx visto che in questo momento li ci sono solo tre client...)

Se pingo i client di Casa C, pingano regolari, e per es raggiungo il fritz da web page puntando al suo ip lan

Discorso diverso, se provo a pingare gli ip della Casa A, la 192.168.0.xxx. In questo caso mi da errore :
https://i.postimg.cc/Lgkrns6Y/bbbb.png (https://postimg.cc/Lgkrns6Y)

ovviamente da browser stesso discorso
La cosa strana è che invece da iphone, con vpn wireguard attiva, raggiungo da browser sia gli ip della Casa A che quelli di Casa C, aprendo le webpage di alcuni host, come nvr telecamere, i due router etc etc
Perchè? non dovrebbe comportarsi allo stesso modo del pc ?!?

Cosa mi sto perdendo ? devo forwardare qualcosa ?

È indifferente xkè il tunnel vpn avrà un suo spazio di indirizzamento separato dalle reti delle rispettive abitazioni.
No aspetta questo non torna nemmeno a me.

Se in tutte le abitazioni ho un ip nella stessa classe, il routing non funziona. E' vero che la VPN crea la sua classe, ma serve solo appunto per instradare i pacchetti.
Quindi (premesso che non ho letto tutto il thread) ritengo necessario avere classi distinte tra le tre abitazioni (altrimenti scusa, se nella casa A voglio andare al dispositivo x della casa B, se ha la stessa classe il sistema resta sulla rete di casa A e non instrada i pacchetti verso B..)

Aggiungo: i fritz box hanno già una VPN site-to-site integrata tra di loro. Non fai prima a mettere il fritz dove ti manca e risolvere così il problema in 4 click?

No aspetta questo non torna nemmeno a me.

Se in tutte le abitazioni ho un ip nella stessa classe, il routing non funziona. E' vero che la VPN crea la sua classe, ma serve solo appunto per instradare i pacchetti.
Quindi (premesso che non ho letto tutto il thread) ritengo necessario avere classi distinte tra le tre abitazioni (altrimenti scusa, se nella casa A voglio andare al dispositivo x della casa B, se ha la stessa classe il sistema resta sulla rete di casa A e non instrada i pacchetti verso B..)

Aggiungo: i fritz box hanno già una VPN site-to-site integrata tra di loro. Non fai prima a mettere il fritz dove ti manca e risolvere così il problema in 4 click?

Si si infatti ho messo classi diverse nelle tre case :

Casa A : 192.168.0.xxx
Casa B : 192.168.20.xxx
Casa C : 192.168.10.xxx

Anche perchè scusate, mi vien da dire che cmq i dhcp dei tre router sono e rimangono indipendenti, quindi con stessa classe potrebbe esserci sovrapposizione di assegnazione no ?

Cmq al di là di questo, nella Casa B sto per installare un altro fritx, proprio per fare la site2site con la Casa C. Mi sta arrivando da amazon un 6850 (purtroppo in Casa B ho solo connessione mobile, con ip nattato tra l'altro, da quì la necessità di vpn...)

l'unica casa dove non posso mettere il fritzs è la Casa A, perchè ho sky wifi, che usa il MAP-T, ma quà installerò il client vpn su un raspberry, su cui gira home assistant, che fondamentalmente è il motivo per cui tirare su tutto questo, per monitorare e gestire tutti i client delle altre case da casa mia....

Si i tre dhcp sono indipendenti (tuttavia potrebbe anche esserci un dhcp relay ma questo è per il corso del livello succesivo). E cmq non può esserci sovrapposizione: il dhcp lavora su pacchetti broadcast che non passano tra reti distinte (tra cui vpn) quindi non può succedere che da A dia un ip alla rete di B
Per il fatto che tu sia sotto NAT non è un problema: l'importante è che chi fa da server NON sia sotto NAT.

Per casa A: non puoi sostituire il router con un fritz e bom?

Si i tre dhcp sono indipendenti (tuttavia potrebbe anche esserci un dhcp relay ma questo è per il corso del livello succesivo). E cmq non può esserci sovrapposizione: il dhcp lavora su pacchetti broadcast che non passano tra reti distinte (tra cui vpn) quindi non può succedere che da A dia un ip alla rete di B
Per il fatto che tu sia sotto NAT non è un problema: l'importante è che chi fa da server NON sia sotto NAT. Si infatti la necessità di tirar sù la vpn nasce da questo

Per casa A: non puoi sostituire il router con un fritz e bom? In realtà avevo il fritx in questa casa. Ma da quando mi hanno migrato in MAP-T, e i router di AVM non lo supportano, ho dovuto togliere dalla scatola il loro schifosissimo modem/router
Certo, potrei usarlo solo come modem, e installare un fritz in cascata da usare come router, ma pensavo che comunque, alla fine mi serve accedere alla vpn con le altre due case sono da un client, il raspberry appunto, su cui gira home assistant. Quindi potrei evitarlo no ?

Per me ovviamente l'importante, è che per es home assistant da CASA A, abbia accesso alla lan locale, e alle altre due lan di CASA B e CASA C

Udite Udite : Non ci si crede.. ma Tim mi ha appena attivato Ip Pubblico sulla sim mobile di Casa B! (almeno così' mi hanno scritto in posta..poi verificherò)

Certo, potrei usarlo solo come modem, e installare un fritz in cascata da usare come router, ma pensavo che comunque, alla fine mi serve accedere alla vpn con le altre due case sono da un client, il raspberry appunto, su cui gira home assistant. Quindi potrei evitarlo no ?

Boh vedi tu se ti è necessario solo da un dispositivo o da tutta la rete.

si io valutavo di centralizzare tutto su home assistant, quindi sul raspy. A cui accedo da remoto anche da smartphone, quindi mi basterebbe così.
Poi all'occorrenza, il client sul laptop ce l'ho, se serve mi collego da li...
Ora aspetto iol fritxbox per la Casa B e poi continuo....

Detto che già con ip pubblico sulla sim mobile, che ho appena ottenuto, forse neanche mi servirebbe più. Ma vorrei cmq andare avanti per "imparare" un pò di più sulle vpn

No aspetta questo non torna nemmeno a me.

Se in tutte le abitazioni ho un ip nella stessa classe, il routing non funziona. E' vero che la VPN crea la sua classe, ma serve solo appunto per instradare i pacchetti.
Quindi (premesso che non ho letto tutto il thread) ritengo necessario avere classi distinte tra le tre abitazioni (altrimenti scusa, se nella casa A voglio andare al dispositivo x della casa B, se ha la stessa classe il sistema resta sulla rete di casa A e non instrada i pacchetti verso B..)

L'implementazione della VPN può essere in due modalità: ROUTED o BRIDGED. Non ho idea di che modalità usino i router avm.

Nella modalità routed c'è di mezzo un nat e quindi funziona come fosse un ulteriore router: tutte le abitazioni possono mantenere la propria sottorete, anche uguale fra tutte, anche con gli stessi ip; i client si raggiungono con l'indirizzo della classe del tunnel vpn non con l'indirizzo locale; praticamente un client ha 2 indirizzi univoci uno locale e uno del tunnel. Il client-vpn può fare il cosiddetto split-tunnel ed evitare di inoltrare traffico della propria sottorete locale nel tunnel. In questo contesto il broadcast locale non passa il tunnel. Se c'è un firewall di mezzo, abilitato per permettere il forward dei pacchetti (funge praticamente da NAT), un client remoto può raggiungere un altro client remoto attraverso gli indirizzi del tunnel.

Nella modalità bridged il tunnel viene usato solo per il trasporto attraverso internet ed incapsula i pacchetti LAN completi. Le interfacce eth o wifi locali non hanno un indirizzo proprio locale ma ce l'ha l'interfaccia di bridge br (ed ovviamente l'eventuale interfaccia WAN) e gli viene assegnato dal server vpn che possiede il dhcp. I client ricevono un indirizzo locale coerente con la sottorete del server. Ogni client ha 1 solo indirizzo ip univoco. Il broadcast LAN passa attraverso il tunnel vpn a tutti i dispositivi connessi in giro per il mondo. Lo split-tunnel non è possibile. Non c'è bisogno di NAT in quanto tutti i client remoti sono nella stessa sottorete e condividono tutto tutti di default.

Entrambe le modalità, oppurtunamente configurate, permettono la condivisione di file, il gaming e tutto il resto come una grossa rete locale.

------

Detto questo, ritornando alla questione sollevata sul fatto di avere sottoreti ip locali differenti per ciascuna casa: un router vpn impostato in modalità client con un bridge verso un router vpn server non ha motivo e non deve usare il proprio dhcp xkè quei pacchetti di richiesta dai client neanche li vede né li dovrebbe veder passare. Ma qui purtroppo si entra nelle personalizzazioni delle implementazioni che ciascun produttore effettua nei propri prodotti. Se AVM è aderente allo standard, per esempio, OpenVPN (ed anche qui si apre un mondo: standard di quale branch-version 1 o 2 o 3 ?!), che sia bridged o routed ogni casa può avere i propri indirizzi anche uguali xkè nel caso routed verranno usati regolarmente, nel caso bridged verranno ignorati ed assegnati dal server vpn principale.

Questo in teoria. La pratica mi ha insegnato che al di fuori dello standard dei prodotti enterprise o assimilabili c'è un mondo sconosciuto ed altamente incompatibile fra prodotti di marchi differenti.

Intanto io sono andato avanti nelle prove di configurazione ma non riesco a venirne a capo, vi spiego cosa ho fatto :

Ho installato Home Assistant OS su un Raspberry PI4 nella mia abitazione principale
Ho aggiunto l'add on per tirare su un server vpn wireguard e configurato in questo modo :
https://i.postimg.cc/yJJgLzM8/11111.png (https://postimg.cc/yJJgLzM8)

L'Host presente nel server è il mio dominio dyndns
La porta 51820 è forwardata sul router verso l'ip locale del raspberry che ospita home assistant

In questa casa ho una connessione Sky WiFi con Ip pubblico condiviso in MAP-T e una classe di ip locale 192.168.0.xxxx

Il peer che ho configurato, mi serve per far collegare al server vpn, un fritzbox installato in una seconda casa (CASA C)
L'obiettivo in buona sostanza è vedere i client della seconda casa, nella mia rete locale, in modo da centralizzare le entità e i dispositivi domotici su home assistant per poterli gestire.

Nel router fritzbox della seconda casa, ho importato il file di configurazione rilasciato dal server vpn wireguard, ma nulla, la connessione non sale, e io non vedo dalla mia rete il client collegato e ne tantomeno gli ip locali della seconda casa :
https://i.postimg.cc/v4KDgN4F/2222222.png (https://postimg.cc/v4KDgN4F)

Dove cavolo sto sbagliando ?!

Se quello numerico è il tuo attuale e momentaneo IP quella porta risulta chiusa. Avrai un altro firewall di mezzo (sul raspberry ?).

--edit--
Ricordati che wireguard non supporta il tunneling layer2 (l'equivalente del TAP per openvpn e gli altri più vecchi) quindi funziona solo in modalità routed a meno di personalizzazioni del produttore dei dispositivi.

Update :
ho rifatto la configurazione sul serve wireguard, e importato il nuovo file sul fritzbox
Ora la connessione è salita :

https://i.postimg.cc/qhFpqG27/3333.png (https://postimg.cc/qhFpqG27)

Anche dal registro del serve vpn vedo i log :

peer: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
endpoint: xxxxxxxxxxxxxxx7:58537 -- > Quà ho l'ip pubblico della casa principale
allowed ips: 10.10.10.2/32
latest handshake: 3 seconds ago
transfer: 16.97 MiB received, 432.07 MiB sent
persistent keepalive: every 25 seconds

Ho solo un dubbio :

sul serve wireguard, devo configurare un peer per ogni client che intendo connettere alla vpn, o è sufficiente un unica configurazione, visto che vedo che assegna una rete xx.xx.xx.0/24 e quindi se si colegano "n" client, è come avere un dhcp che assegna gli ip ?

Test porta ok :

$ nc -zvw2 -u 101.58.0.167 51820
Connection to 101.58.0.167 51820 port [udp/*] succeeded!

Ora, ricapitolando :

Casa Principale con home assistant che gira su un raspberry pi4
Server VPN Wireguard attivo su home assistant

Casa Secondaria con fritzbox con connessione vpn attiva al server sopra

Ora, da home assistant su casa principale dovrei vedere per es client configurabili che stanno dietro al fritzbox nella casa secondaria giusto ?

Non sò perchè ma mi sta venendo il dubbio di aver fatto tutto al contrario...

riepilogo giusto per fare il punto :

Obiettivo è quello di avere dalla casa principale (Casa A) visibilità della lan e dei suoi client presenti in Casa B
in Casa A ho tirato su il server vpn wireguard
In Casa B ho configurato il router come client della Vpn sopra

Ho inoltre, per fare dei test, configurato come client della vpn anche lo smartphone e il portatile aziendale

Ora :

Se da smartphone, connesso solo con rete mobile, avvio il client vpn e mi connetto, vedo e pingo i client della lan di Casa A
Se da portatile aziendale, connesso a un altra rete mobile, mi connetto alla Vpn, vedo e pingo i client della lan di Casa A

Ergo : Il server vpn funziona alla grande, e da fuori casa raggiungo senza intoppi la lan di casa

Ma il mio obiettivo è, vedere da Casa A, la lan di Casa B -- > Non è che devo configurare Casa B con un server vpn, e quindi Casa A diventa client ?

Ci sto diventando matto...

La cosa è corretta come hai fatto.
dai un occhio alle tabelle di routing che si innestino correttamente (Ricordami: hai classi IP diverse giusto??)

Quindi prova a fare dal server vpn un tracert verso un ip della casa B, cosa succede?

Però visto che il comportamento mi sembra essere :

Da Client vedo e pingo la lan remota

Non devo a questo punto far diventare client la casa da cui voglio vedere le altre lan ? (che in questo caso diventano server) ?!

Mi sto incrocchiando il cercello....

Se il problema che da un dispositivo qualsiasi di casa A, non raggiungi casa B, è ovvio che sia così.

Ti faccio ragionare:
Chi è che instrada i pacchetti?
Risposta: il gateway.
Chi è il GW in casa A?
risposta: il modem/router.

Come fa il modem router a sapere che c'è una VPN??
Non lo sa!
Alchè o il tuo GW lo permette, oppure dovrai forzare delle rotte statiche verso il server VPN, che poi instrada verso la lan per quella classe IP

Se il problema che da un dispositivo qualsiasi di casa A, non raggiungi casa B, è ovvio che sia così.

Ti faccio ragionare:
Chi è che instrada i pacchetti?
Risposta: il gateway.
Chi è il GW in casa A?
risposta: il modem/router.

Come fa il modem router a sapere che c'è una VPN??
Non lo sa!
Alchè o il tuo GW lo permette, oppure dovrai forzare delle rotte statiche verso il server VPN, che poi instrada verso la lan per quella classe IP

ok... intanto grazie, per come me lo stai spiegando.
allora a questo punto devo :

1)Tirare su di nuovo il server vpn nella Casa A
2)configurare il router di Casa B come client del server vpn sopra
3)impostare nel router di Casa A delle rotte statiche

tutto giusto ?

mi dici solo in poche parole come impostare queste rotte statiche ?
Cioe cosa gli devo dire al mio router ?

Quasi sicuramente funziona tutto in modalità ROUTED. Vi state confondendo. Facendo un paragone con l'ambiente linux che conosco, bisogna fare tre cose:
1. controllare nella configurazione client wireguard (ma un'occhiata al server la darei) l'intervallo di ip accettati ed aggiungerci o l'intera sottorete locale o quantomento l'ip locale dell'apparecchio.
2. abilitare nel router server vpn il forward fra i client (i client nella subnet vpn si devono poter parlare)
3. impostare le regole di portforwarding sui router client: i pacchetti ip:porta provenienti dalla subnet vpn (sorgente) devono essere accettati\mappati verso l'indirizzo ip:porta della subnet locale (destinazione), uguale uguale a quando apri le porte per torrent.

Visto il lavoro da fare, se non vuoi scervellarti, è conveniente impostare tutti IP statici per ogni client locale e anche virtuale del tunnel se è possibile.

Se non vuoi ammattire, prova a creare un server OpenVPN ma in modalità BRIDGED; con quello dovrebbe funzionarti subito se il produttore ha lavorato bene nella configurazione guidata.

ok lo ammetto.... sono confuso!

non mi è ancora chiaro se il server lo devo tirare su da casa a per vedere la b in client, o viceversa...

Il server VPN deve stare in una qualunque casa dove puoi aprire le porte. Non conta dove metti il server ma come configuri il tutto. Ho come l'impressione che stai facendo una cosa più grande di te.

Il server VPN deve stare in una qualunque casa dove puoi aprire le porte. Non conta dove metti il server ma come configuri il tutto. Ho come l'impressione che stai facendo una cosa più grande di te.
Esattamente.
Scusate se mi inserisco ma io, visto che da quello che ho capito non c'è la necessità della visibilità delle intere LAN remote, gestirei la cosa tramite porte su iptables. Cioè, mi faccio la VPN con Wireguard classica subnet 10.0.0.X, e poi natto tutto sui client.

ok... intanto grazie, per come me lo stai spiegando.
allora a questo punto devo :

1)Tirare su di nuovo il server vpn nella Casa A
2)configurare il router di Casa B come client del server vpn sopra
3)impostare nel router di Casa A delle rotte statiche

tutto giusto ?

mi dici solo in poche parole come impostare queste rotte statiche ?
Cioe cosa gli devo dire al mio router ?
Come scritto sopra io nella casa A farei un server VPN con IP ad esempio 10.0.0.1, nella casa B client VPN con IP 10.0.0.2, poi tu dalla LAN casa A digiti 10.0.0.1 seguito dalla porta a cui risponde l'home assistant, e lasci che si arrangino i due dispositivi tra cui è instaurata la VPN con iptables. Io ho fatto così, è una configurazione da 10 minuti e non diventi deficiente con le route.

Il server VPN deve stare in una qualunque casa dove puoi aprire le porte. Non conta dove metti il server ma come configuri il tutto. Ho come l'impressione che stai facendo una cosa più grande di te.

ok si ammetto che di vpn non sono esperto, è la prima volta che ci ho a che fare, ma vorrei sfruttare l'occasione per imparare.
non ho paura di fare prove, anzi... e vi ringrazio per il supporto
Però mi piacerebbe davvero riuscirci

Esattamente.
Scusate se mi inserisco ma io, visto che da quello che ho capito non c'è la necessità della visibilità delle intere LAN remote, gestirei la cosa tramite porte su iptables. Cioè, mi faccio la VPN con Wireguard classica subnet 10.0.0.X, e poi natto tutto sui client.


Come scritto sopra io nella casa A farei un server VPN con IP ad esempio 10.0.0.1, nella casa B client VPN con IP 10.0.0.2, poi tu dalla LAN casa A digiti 10.0.0.1 seguito dalla porta a cui risponde l'home assistant, e lasci che si arrangino i due dispositivi tra cui è instaurata la VPN con iptables. Io ho fatto così, è una configurazione da 10 minuti e non diventi deficiente con le route.

Ok, mi è chiaro.
Unica cosa : In Casa A il server VPN lo devo tirare su per forza su raspberry nell'istanza di home assistant, perchè come router ho lo sky wifi hub che non ha a bordo ne server ne client vpn (è veramente penoso come router ma usando sky il MAP-T al momento non posso cambiarlo)
Questo è un problema ?

Ora lo faccio, unica cosa che mi è poco chiara è : iptables lo devo configurare io ? se si dove ?

Ok, mi è chiaro.
Unica cosa : In Casa A il server VPN lo devo tirare su per forza su raspberry nell'istanza di home assistant, perchè come router ho lo sky wifi hub che non ha a bordo ne server ne client vpn (è veramente penoso come router ma usando sky il MAP-T al momento non posso cambiarlo)
Questo è un problema ?
No, anzi, io metterei raspbian/armbian ovunque

Io sono rimasto qui, giusto:
Ora, ricapitolando :
Casa Principale con home assistant che gira su un raspberry pi4
Server VPN Wireguard attivo su home assistant
Casa Secondaria con fritzbox con connessione vpn attiva al server sopra
Tu server e client VPN li puoi tirare su dove vuoi, ma più apparati ci metti in mezzo e più configurazioni devi fare. Altra cosa che io evito di fare è mescolare apparati differenti: metterei un Raspberry anche nelle altre case. Una volta imparato come si configura, l'hai imparato per tutti i dispositivi.

Ora lo faccio, unica cosa che mi è poco chiara è : iptables lo devo configurare io ? se si dove ?
Sicuramente sul Raspberry. Sul Fritz alzo le mani, ma io odio i Fritz :p

Comunque, la prima scelta che devi fare è se hai necessità di vedere tutta la rete remota, o se ti è sufficiente aprire alcune porte. In questo secondo caso, VPN punto-punto con client Linux ne ho già fatte a decine e ti posso aiutare senza problemi. Questo però comporta bypassare il Fritz, ma tanto è la configurazione che avresti nella casa con il 4G

mah, in realtà l'obiettivo di tutto questo era poter vedere l'intera lan, router compresi, delle due case remote, da Casa A.
Questo perchè, in queste case remote, ho dei dispositivi (antifurto, telecamere, prese smart...) che vorrei monitorare da casa mia.
Per farlo avevo pensato di centralizzare appunto tutto su Home Assistant che gira su rapsberry in Casa A (anzichè avere mille app diverse o dover avere mille pagine web diverse da raggiungere)

Ecco da dove nasceva....

Motivo per cui, volevo "semplificarla" tirando su la vpn tra il server sul raspberry, e facendo diventare i router delle case remote, client di questa vpn, nella speranza appunto di poter poi vedere tutto ciò che "sta dietro i router"

l'opzione raspberry anche nelle altre case la posso valutare certo...ma pensavo di riuscire a tirar su tutto usando i client vpn a bordo dei fritzbox che ho nelle case remote (sto per installare anche nella Casa B un fritz LTE, e tra l'altro a furia di rompere le balle TIM mi ha dato ip pubblico non nattato anche li, almeno cosi mi hanno scritto, ma devo ancora andarci per verificarlo..)

ora, chiarito lo scenario prima di rimetterci mano, che ne pensi di obiettivi e finalità ? Per quello che vorrei raggiungere quale sarebbe la strada migliore ?
Definita quella, poi procedo...almeno ci provo ;)

mah, in realtà l'obiettivo di tutto questo era poter vedere l'intera lan, router compresi, delle due case remote, da Casa A.
Questo perchè, in queste case remote, ho dei dispositivi (antifurto, telecamere, prese smart...) che vorrei monitorare da casa mia.
Per farlo avevo pensato di centralizzare appunto tutto su Home Assistant che gira su rapsberry in Casa A (anzichè avere mille app diverse o dover avere mille pagine web diverse da raggiungere)

Ecco da dove nasceva....

Motivo per cui, volevo "semplificarla" tirando su la vpn tra il server sul raspberry, e facendo diventare i router delle case remote, client di questa vpn, nella speranza appunto di poter poi vedere tutto ciò che "sta dietro i router"

l'opzione raspberry anche nelle altre case la posso valutare certo...ma pensavo di riuscire a tirar su tutto usando i client vpn a bordo dei fritzbox che ho nelle case remote (sto per installare anche nella Casa B un fritz LTE, e tra l'altro a furia di rompere le balle TIM mi ha dato ip pubblico non nattato anche li, almeno cosi mi hanno scritto, ma devo ancora andarci per verificarlo..)

ora, chiarito lo scenario prima di rimetterci mano, che ne pensi di obiettivi e finalità ? Per quello che vorrei raggiungere quale sarebbe la strada migliore ?
Definita quella, poi procedo...almeno ci provo ;)

Il problema è che nella tua casa A, ovvero dalla tua "cabina di regia", la VPN parte dal Raspberry (non dal router) che ovviamente non è il tuo gateway. Per fartela semplice, prova a pensare ai parametri che hai sulla scheda di rete del tuo PC: IP, subnet, gateway e DNS. Quindi suppondendo che la tua rete locale casa A abbia come IP 192.168.1.X, la rete della casa B 192.168.2.X, quando sul tuo PC digiterai 192.168.2.X, non sapendo a chi rivolgersi, il tuo PC si rivolgerà sempre al gateway, non al Raspberry. Questa è la difficoltà in quello che vuoi fare. Forse si riuscirebbe a fare se anche nella casa A la VPN partisse dal gateway, ma questo comporterebbe che anche la casa A dev'essere dotata di Fritz che faccia da gateway. E qui alzo le mani perchè non conosco assolutamente i Fritz.
Spero di essermi spiegato e di averti chiarito un po' la situazione.

Ok questo pezzo mi è chiarissimo, grazie Outatime
Però il problema in questo caso, ce l'avrei solo se io da Casa A, volessi collegarmi da un client diverso dal raspberry (per.es un pc..) che ovviamente passa dal gw ma non dalla vpn, corretto ?

Però se l'unico client da cui volessi vedere le lan remote, fosse il raspberry, che è il server vpn, in questo caso, lui e solo lui, vedrebbero le lan remote no ?
Anche perchè a me in realtàù, non interessa che "tutti" i client di Casa A vedano le lan remote in VPN, ma solo il rapsberry. Gli altri devono rimanerne fuori e continuare a uscire passando dal gw...

(che poi, solo per mia cultura personale... se anche un qualsiasi laptop di casa A, lo facessi diventare client del serve vpn che gira sul raspberry, a questo punto, non sarebbero tutti sulla stessa rete e quindi vedrebbe tutto?!?)
Quest'ultimo pezzo non serve ora eh, è solo per capire se ho capito :)

Ok questo pezzo mi è chiarissimo, grazie Outatime
Però il problema in questo caso, ce l'avrei solo se io da Casa A, volessi collegarmi da un client diverso dal raspberry (per.es un pc..) che ovviamente passa dal gw ma non dalla vpn, corretto ?

Però se l'unico client da cui volessi vedere le lan remote, fosse il raspberry, che è il server vpn, in questo caso, lui e solo lui, vedrebbero le lan remote no ?
Anche perchè a me in realtàù, non interessa che "tutti" i client di Casa A vedano le lan remote in VPN, ma solo il rapsberry. Gli altri devono rimanerne fuori e continuare a uscire passando dal gw...
Si, tutto corretto. Scusami ma ormai sono nella forma mentis che per me Raspberry e simili hanno solo riga di comando. Ok, se fai tutto dallo schermo del Raspberry si.

(che poi, solo per mia cultura personale... se anche un qualsiasi laptop di casa A, lo facessi diventare client del serve vpn che gira sul raspberry, a questo punto, non sarebbero tutti sulla stessa rete e quindi vedrebbe tutto?!?)
Quest'ultimo pezzo non serve ora eh, è solo per capire se ho capito :)
Ho qualche perplessità su come il Raspberry interpreti una richiesta che gli arriva su un'interfaccia wg uguale all'interfaccia di destinazione, ma in linea di massima lavorandoci un po' dovrebbe funzionare.

Si, tutto corretto. Scusami ma ormai sono nella forma mentis che per me Raspberry e simili hanno solo riga di comando. Ok, se fai tutto dallo schermo del Raspberry si.

si che poi considera che io non lavoro neanche su sistema operativo del raspberry, ma su home assistant, che è installato proprio come OS sul raspy.
cmq ok ci sono...


Ho qualche perplessità su come il Raspberry interpreti una richiesta che gli arriva su un'interfaccia wg uguale all'interfaccia di destinazione, ma in linea di massima lavorandoci un po' dovrebbe funzionare.
no trq ora non mi interessa questo, era solo per capire io...

Ok dai, provo a tirare su di nuovo il server vpn sul raspy, e configurare il router fritz in una delle due case come client, tanto faccio tutto da remoto.
Vi aggiorno...

scusate ma ho letto a sprazzi.
Ma non era più "easy" se sulla sua rete dove gira il server, provava a inserire una rotta statica di prova intanto?

route ADD LAN_REMOTA MASK 255.255.255.0 GW IP_DEL_RASP

e poi vedere se dal pc la raggiungeva ? (ovviamente sul rasp deve essere abilitato il nat forwarding)

Ragazzi intanto ieri ho piazzato e configurato un fritz box 6850 LTE anche in Casa B, ovviamente raggiungibile da remoto
Tra l'altro su quella sim la buona TIM mi ha dato ipv4 pubblico, quindi posso fare quello che voglio :)

Spero stasera dopo lavoro di avere un pò di tempo per smanettare un pò e iniziare a configurare la vpn, ma sono ovviamente aperto a tutti i test che mi suggerite!
A presto

scusate ma ho letto a sprazzi.
Ma non era più "easy" se sulla sua rete dove gira il server, provava a inserire una rotta statica di prova intanto?

route ADD LAN_REMOTA MASK 255.255.255.0 GW IP_DEL_RASP

e poi vedere se dal pc la raggiungeva ? (ovviamente sul rasp deve essere abilitato il nat forwarding)

Ha detto che non gli serve perché fa tutto dal Raspberry. In ogni caso imho la reputo un'inutile complicazione.

Ma il mio obiettivo è, vedere da Casa A, la lan di Casa B -- > Non è che devo configurare Casa B con un server vpn, e quindi Casa A diventa client ?


Lui ha scritto questo.
Quindi per me (in italiano dico) casa A è tutta la rete che sta nella casa A, non "dal dispositivo che fa da server".
Magari allora ho compreso male..

No scusa Kaja in effetti l'ho scritta male
intendevo dire che da un client di Casa A (in questo caso il raspberry/home assistant) ho necessità di vedere tutta la lan di Casa B e C

mi sono espresso male

visto che devo iniziare, e abbiamo chiarito il dubbio... quindi come procedo ?
Server wireguard su home assistant in casa a e Casa B Client ?

Come andiamo?
Mi intrometto perchè sto combattendo io pure con una VPN (penso di essere a buon punto) mi interessava sapere se avendo il server in casa A, da client (casa A) riesci a "vedere" i client di casa B e C.
Cioè se i client (B e C) riescono a fare contemporaneamente anche da server.

:cincin:

Non è questione di fare da server.
Tu instauri una connessione (cifrata) tra due punti su una rete (pubblica).
Se impostato correttamente la cosa funziona.
Si chiama site-to-site vpn ( https://vitolavecchia.altervista.org/differenza-tra-site-to-site-vpn-remote-vpn-trusted-vpn-e-secure-vpn/ ) che è quello che pensavo intendesse il thread starter, quando gli spiegavo di impostare le rotte (cosa che non serve se sono già i gateway a gestire le VPN)

Come andiamo?
Mi intrometto perchè sto combattendo io pure con una VPN (penso di essere a buon punto) mi interessava sapere se avendo il server in casa A, da client (casa A) riesci a "vedere" i client di casa B e C.
Cioè se i client (B e C) riescono a fare contemporaneamente anche da server.

Dai un'occhiata a Zerotier, quando i router (ed i luoghi) iniziano ad essere più di due probabilmente è più facile e veloce connetterli in quel modo.

Ti registri su zerotier.com (l'account free fa tutto), crei la tua rete virtuale ed aggiungi/abiliti i client ad accedervi.
I client sono disponibili praticamente per tutti i dispositivi: windows, ios, linux, android, openwrt, routeros, raspberry e anche NAS etc.
Se installi zerotier direttamente sul router (openwrt, routeros etc.) puoi far partecipare i dispositivi connessi al router anche alla rete virtuale di zerotier.
e tra l'altro riesci a connetterti dall'esterno anche a dispositivi su linea nattata (cgnat) senza fare nulla di più (oltre alla configurazione di zerotier stesso).

visto che devo iniziare, e abbiamo chiarito il dubbio... quindi come procedo ?
Server wireguard su home assistant in casa a e Casa B Client ?
Rimango della mia idea.
- O hai le VPN sul gateway
- O utilizzi le static route sul router, ed inizi un bagno di sangue che non sai quando finisce
- O utilizzi il routing del raspberry, ma devi ragionare per porte

Se non ti serve far vedere tutta la rete, ma è solo uno sfizio personale come mi sembra di capire, fai fare il routing al Raspberry dei servizi che ti servono.

Come andiamo?
Mi intrometto perchè sto combattendo io pure con una VPN (penso di essere a buon punto) mi interessava sapere se avendo il server in casa A, da client (casa A) riesci a "vedere" i client di casa B e C.
Cioè se i client (B e C) riescono a fare contemporaneamente anche da server.
Come sopra, di base no.
Wireguard è una semplice interfaccia di rete, immagina di avere tre dispositivi con una seconda scheda di rete collegati tra di loro da uno switch.

Ringrazio per le info.

La domanda che avevo fatto era una mia semplice curiosità più che un'esigenza.

Non volendo passare per i sever QNAP coi servizi di accesso remoto, ho quindi configurato una Secure VPN (mi sembra di aver capito che si tratti di questo) OpenVPN sul NAS che ho e client sui device Android.

Porta aperta nel router e il NAS mi fa da gataway (VPN).

Ho combattuto più che altro col firewall del NAS (entravo nella pagina web del router ma non in quella del NAS).

Nella configurazione ho notato la possibilità di aggiungere altri client (i certificati), da qui la domanda se appunto un client dia la possibilità di essere anche server.

Mi sembra di aver capito di no, se mai volessi "vedere" la LAN della rete di un client, ci devo installare un server VPN (con tutto quello che ne consegue) e da qui uscire.

Ulteriore dubbio, nella scelta di quale VPN, ho letto di OpenVPN come sicura e abbastanza performante (sono distante dalle centraline e non ho moltissima banda) avendo la possibilità di scegliere anche tra Wireguard, QBelt, L2TP ecc. rimango con Open?

Grazie :mano: