[Guida] Come ottenere un IP pubblico con qualsiasi connessione 3G/4G

[anubbio]

Quote:

Originariamente inviato da OUTATIME

......ho intenzione nei prossimi giorni di editare la guida per farla omnicomprensiva, se riesco divisa per capitoli da scegliere e utilizzare al proprio bisogno.

Scusa se mi permetto: hai valutato la possibilità di farne una simile per wireguard? leggo ormai da tempo che è un sistema molto più performante di openvpn e che sta avendo una notevole diffusione. Sarebbe molto interessante una guida con wg

[OUTATIME]

Quote:

Originariamente inviato da anubbio

Scusa se mi permetto: hai valutato la possibilità di farne una simile per wireguard? leggo ormai da tempo che è un sistema molto più performante di openvpn e che sta avendo una notevole diffusione. Sarebbe molto interessante una guida con wg

Allora... Faccio 2 premesse:
- La guida, e tutti gli sviluppi che ne seguono sono stati concepiti per fornire una guida che offra trasversalità tra sistemi: linux, windows, android (non me ne vogliano gli utenti apple, ma è un'area che non seguo).
- Ammetto candidamente la mia ignoranza di non conoscere Wireguard.

Fatte queste premesse, sono ben felice di accogliere suggerimenti, allargare le mie conoscenze e, non guasta, aumentare le performance. Mi documenterò sicuramente su Wireguard e se sarò in grado e vengono soddisfatti i requisiti del punto 1, come sicuramente immagino sia, farò una sezione dedicata nella guida.
Grazie per la segnalazione

[anubbio]

Quote:

Originariamente inviato da OUTATIME

Allora... Faccio 2 premesse:
.......
Grazie per la segnalazione

Allora faccio anch'io una premessa
Da alcuni anni sto usando un collegamento internet 4G perché sono in pieno digital divide e da me la vdsl è solo un'opinione.....
Il 4G va benino (non sono uno che scarica) ma ha per me l'immenso limite di essere nattato e quindi impedisce di esporre su internet i servizi che vorrei (home assistant, ipcam, e altre cose simili).

Da almeno 4 anni volevo mettere in piedi qualcosa con openvpn ma per mille motivi non l'ho mai fatto. Nel frattempo ho visto che wireguard prendeva sempre più piede per i molti vantaggi che ha (es l'essere integrato nel kernel, quindi sicurezza maggiore e velocità superiore a openvpn) ma attendevo per usarlo che venisse implementato nativamente in pfSense (che uso).
Ho anche letto cose che non mi sono piaciuto sul motivo che ha spinto i dev di pfsense a non implementarlo subito (anche se nel frattempo erano usciti plugin perfettamente funzionanti da quel che leggevo), e sono cose che prima o poi mi porteranno a migrare verso opnSense...... ma per ora ho troppi casini in ballo e non voglio metterci anche questo

Ad un certo punto ho anche preso una piccola vps (mi serviva per fare altro) e ci ho giocato 2 o 3 giorni per cercare di mettere in piedi wg su raspi4 ma.... non ci sono riuscito: troppi concetti nuovi per me e troppo poco tempo per sporcarmi le mani.
Poi ho dovuto piallare la vps per destinarla al suo vero lavoro e non ho più avuto opportunità di poter proseguire con i miei tentativi con wg.
E la cosa è morta lì..... per ora

Da quel che leggo - comunque - wg è davvero un ottimo sistema, per questo te lo "suggerivo" (non solo per invitarti a fare una cosa che non sono riuscito a fare io).

[OUTATIME]

Quote:

Originariamente inviato da anubbio

Allora faccio anch'io una premessa [...]

Ho dato una prima occhiata a wireguard, la configurazione tra peer è abbstanza semplice e credo che a breve riuscirò ad implementare una relativa guida.
Per quanto riguarda la sua fruibilità quotidiana, cioè installo un client, lo configuro e mi collego in VPN, la devo ancora verificare, anche perchè tra chiavi pubbliche e private, aggiunta di peer e altro è abbastanza articolato, ma questo tra l'altro esula anche un po' dallo scopo di questa guida. Era solo per darti un primo feedback .

EDIT: ho aggiunto una prima guida iniziale per wireguard, ancora da verificare su connessioni 4G. Probabilmente inizio a guardarci già ora.

EDIT2: verificata su connessioni 4G

[anubbio]

Quote:

Originariamente inviato da OUTATIME

.....Era solo per darti un primo feedback .
.....

Grazie! io ora non potrà replicare il tutto visto che non ho più la vps disponibile ma seguo con interesse perché penso che tra alcuni mesi ne prenderò una seconda proprio da dedicare a questo.

[chinemys]

ciao
Ringrazio per questa guida molto interessante ,stavo cercando da tempo una soluzione per ip pubblico sotto rete 4G .
avevo gia provato altre soluzioni come ngrok ed altri ma non mi piacevano molto e le vpn troppo care , comunque per avere di più bisogna ogni caso pagare ,quindi tanto vale questa soluzione della vps a basso costo .

Non sono un grande esperto ma ho seguito in parte questa guida :
Attivato vps linux debian con ip pubblico
Installato Opevpn ma con lo script veloce

Per quanto riguardo le regole iptables ho qualche difficolta
ho installato netfilter persistent e copiato la configurazione di @OUTATIME
adattandola .


*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
UTPUT ACCEPT [0:0]
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
UTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 7772 -j DNAT --to-destination 10.8.0.2
-A POSTROUTING -s 10.8.0.2/32 -o eth0 -j MASQUERADE
COMMIT

Fin qui tutto bene anche se mi sarebbe piaciuto capire quello che sto facendo ...
riesco ora a collegarmi dall'esterno al 10.8.0.2 su porta 7772.


Ora vorrei aggiungere altre porte su 10.8.0.2 ,come posso fare ?
Se volessi aggiungere un'altro ip ,tipo 10.8.0.5 ,dovrei aggiungere un'altra parte *nat al file /etc/iptables/rules.v4 ?

[OUTATIME]

Ciao.

Quote:

Originariamente inviato da chinemys

Se volessi aggiungere un'altro ip ,tipo 10.8.0.5 ,dovrei aggiungere un'altra parte *nat al file /etc/iptables/rules.v4 ?

Questo per le regole di NAT, ma prima devi creare la configurazione del nuovo client VPN.
Allora. Non so che setup hai fatto tu, ma immagino che sia come il mio. Con il mio setup crei un LAN di VPN con subnet 10.8.0.X, tutti i client che si collegano in VPN si parleranno tra di loro, tramite l'IP di VPN.
Quindi se ho ben capito vuoi aggiungere un nuovo client VPN giusto? segui la stessa procedura cambiando i dati del client:
./easyrsa gen-req client2 nopass
./easyrsa sign-req client client2
Se ho capito quello che vuoi fare.

Poi ricordati di creare un file chiamato client2 nella cartella /etc/openvpn/ccd con all'interno la configurazione dell'IP:

Codice:

ifconfig-push 10.8.0.5 255.255.255.0

Invece per aggiungere altre porte verso il 10.8.0.2 basta aggiungere altre righe:
-A PREROUTING -i eth0 -p tcp -m tcp --dport XXXX -j DNAT --to-destination 10.8.0.2

Quote:

Originariamente inviato da chinemys

Fin qui tutto bene anche se mi sarebbe piaciuto capire quello che sto facendo ...

Ora non riesco... appena ho un attimo integro la guida.

[chinemys]

Quote:

Originariamente inviato da OUTATIME

Ciao.


Questo per le regole di NAT, ma prima devi creare la configurazione del nuovo client VPN.
Allora. Non so che setup hai fatto tu, ma immagino che sia come il mio. Con il mio setup crei un LAN di VPN con subnet 10.8.0.X, tutti i client che si collegano in VPN si parleranno tra di loro, tramite l'IP di VPN.
Quindi se ho ben capito vuoi aggiungere un nuovo client VPN giusto? segui la stessa procedura cambiando i dati del client:
./easyrsa gen-req client2 nopass
./easyrsa sign-req client client2
Se ho capito quello che vuoi fare.

Poi ricordati di creare un file chiamato client2 nella cartella /etc/openvpn/ccd con all'interno la configurazione dell'IP


Invece per aggiungere altre porte verso il 10.8.0.2 basta aggiungere altre righe:
-A PREROUTING -i eth0 -p tcp -m tcp --dport XXXX -j DNAT --to-destination 10.8.0.2

grazie per la tua risposta

no non devo creare altri client ,li ho gia creati con lo script veloce

ho provato ad aggiungere altre righe come dici tu al file
/etc/iptables/rules.v4 ma poi non mi viene salvato e non capisco il perchè

faccio " nano /etc/iptables/rules.v4" agginungo la riga e esco da nano salvando .
poi eseguo "service netfilter-persistent save" e "service netfilter-persistent restart"
ma quando riapro il file con nano le modifiche non sono state apportate

[OUTATIME]

Quote:

Originariamente inviato da chinemys

poi eseguo "service netfilter-persistent save" e "service netfilter-persistent restart"
ma quando riapro il file con nano le modifiche non sono state apportate

E' questo il problema. Non devi fare service netfilter-persistent save se editi il file rules.v4, ma direttamente un service netfilter-persistent restart.
Il comando service netfilter-persistent save salva le regole attuali, quindi in definitiva risalvi le regole che hai in vigore.

[chinemys]

Quote:

Originariamente inviato da OUTATIME

E' questo il problema. Non devi fare service netfilter-persistent save se editi il file rules.v4, ma direttamente un service netfilter-persistent restart.
Il comando service netfilter-persistent save salva le regole attuali, quindi in definitiva risalvi le regole che hai in vigore.

Grazie ora funziona tutto ,sei stato molto chiaro

ho visto che c'e anche lo script veloce per wireguard https://github.com/Nyr/wireguard-install

devo provare se si guadagna qualcosa in velocità rispetto a openvpn

[OUTATIME]

Quote:

Originariamente inviato da chinemys

ho visto che c'e anche lo script veloce per wireguard https://github.com/Nyr/wireguard-install

devo provare se si guadagna qualcosa in velocità

Guarda.... Io Wireguard l'ho provato giusto per spirito accademico e visto che l'avevo testato l'ho aggiunto nella guida. C'è da tenere in considerazione però che, dalle mie prove:

- Si perde il concetto di client-server, di conseguenza la configurazione non è centralizzata, ma ogni peer vede solo i peer ai quali è autorizzato, quindi ogni volta che aggiungi un peer devi mettere mano a tutti gli altri.
- Non ho verificato la parte di routing.

Quindi per il momento Wireguard non fa al caso mio, ma dovendo fare una rete tra due punti, direi che va benissimo.

[chinemys]

Quote:

Originariamente inviato da OUTATIME

Guarda.... Io Wireguard l'ho provato giusto per spirito accademico e visto che l'avevo testato l'ho aggiunto nella guida. C'è da tenere in considerazione però che, dalle mie prove:

- Si perde il concetto di client-server, di conseguenza la configurazione non è centralizzata, ma ogni peer vede solo i peer ai quali è autorizzato, quindi ogni volta che aggiungi un peer devi mettere mano a tutti gli altri.
- Non ho verificato la parte di routing.

Quindi per il momento Wireguard non fa al caso mio, ma dovendo fare una rete tra due punti, direi che va benissimo.

Si ho letto qualcosa a riguardo sul loro sito
dovrebbe creare delle interfacce tipo wg0 ect..
per sentito dire dovrebbe essere più veloce ,appena ho tempo provo a installarlo e faccio qualche speed test per vedere se ne vale la pena

[OUTATIME]

Quote:

Originariamente inviato da chinemys

Si ho letto qualcosa a riguardo sul loro sito
dovrebbe creare delle interfacce tipo wg0 ect..
per sentito dire dovrebbe essere più veloce ,appena ho tempo provo a installarlo e faccio qualche speed test per vedere se ne vale la pena

Sulla configurazione 1-1 è senza dubbio più veloce, il problema nasce quando vuoi implementare qualcosa di più articolato aggiungendo client vpn che si devono parlare tra di loro o accedere alla lan da più client.
Sulla velocità in senso assoluto, direi che non cambia nulla.

[LSan83]

Quote:

Originariamente inviato da OUTATIME

Sulla velocità in senso assoluto, direi che non cambia nulla.

Dipende su cosa lo fai girare Wireguard... Su alcuni router OpenVPN è diverse volte più lento. Su un buon hardware la differenza probabilmente non la senti (almeno non alle velocità del 4G).

https://rickfreyconsulting.com/wireg...e-vpn-example/

Quote:

Notes about performance
I have had many questions about how it stacks up to other tunnels. The short answer is it’s better and I can’t believe how much better. I am leaving exact performance values out because there are still a few things that I am unclear about as well. One of those things is whether or not the encryption can be handled by an encryption co-processor or even how multiple CPUs are coming into play. So here’s what I did. I deliberately used an under-powered router with only 1 CPU and no encryption co-processor. The performance should have been poor… I designed the experiment to get poor results. That’s not what happened. I got results that were so good (over and over again) that I won’t share with you what I saw… because I’m trying to understand how its even possible. I double checked my worked and tried it on other platforms and I consistently got really fantastic results. This really is the best tunnel I have ever evaluated.

https://rickfreyconsulting.com/wireguard/

[chinemys]

Si infatti non riscontrato differenze ,ho provato con client Android e dal pc velocità identica ,quindi per comodità continuo ad usare opevn .
Ovvio che dipende anche dal server della vps .
Io con rete 3 4g la vpn su aruba , perdo quasi 10MEGA ma non ho un segnale molto stabile quindi non è molto attendibile come test
senza vpn ,Quando ho un buon segnale raggiungo i 100Mega in casa con un oneplus7 pro ,in esterno sono arrivato anche a 200 in certi punti .
Sono gia contento cosi considerando che non ho antenne esterne e connetto i miei dispositivi con l'hotspot dello smartphone .
sarebbe interessante sentire i pareri di chi a usato altri server vps per mettere a confronto la banda .
io ho preso il pacchetto small ,potrebbe fare la differenza un pacchetto con piu ram e cpu ?

[OUTATIME]

Quote:

Originariamente inviato da chinemys

Si infatti non riscontrato differenze ,ho provato con client Android e dal pc velocità identica ,quindi per comodità continuo ad usare opevn .
Ovvio che dipende anche dal server della vps .
Io con rete 3 4g la vpn su aruba , perdo quasi 10MEGA ma non ho un segnale molto stabile quindi non è molto attendibile come test
senza vpn ,Quando ho un buon segnale raggiungo i 100Mega in casa con un oneplus7 pro ,in esterno sono arrivato anche a 200 in certi punti .
Sono gia contento cosi considerando che non ho antenne esterne e connetto i miei dispositivi con l'hotspot dello smartphone .
sarebbe interessante sentire i pareri di chi a usato altri server vps per mettere a confronto la banda .
io ho preso il pacchetto small ,potrebbe fare la differenza un pacchetto con piu ram e cpu ?

Guarda, sono anch'io su Aruba e da Arezzo di speedtest faccio oltre 600 Mbit simmetrici, quindi il problema delle prestazioni in caso non dipende dal server.
E comunque anche la velocità tra vpn e senza con la mia FTTC si differenzia di 2 Mbit (39 senza, 37 con), e considerando l'overhead di openvpn che è circa del 5%, direi che openvpn è perfettamente ininfluente rispetto a wireguard.

[chinemys]

Quote:

Originariamente inviato da OUTATIME

Guarda, sono anch'io su Aruba e da Arezzo di speedtest faccio oltre 600 Mbit simmetrici, quindi il problema delle prestazioni in caso non dipende dal server.
E comunque anche la velocità tra vpn e senza con la mia FTTC si differenzia di 2 Mbit (39 senza, 37 con), e considerando l'overhead di openvpn che è circa del 5%, direi che openvpn è perfettamente ininfluente rispetto a wireguard.

Se dici cosi ,allora è inutile che cambio vps ,dipende soltanto dalla stabilità della mia connessione e non posso farci nulla purtroppo .
Da quanto mi sembra di aver capito non posso sdoppiare la sim con la 3 se no ci mettevo un router con un antenna esterna .
grazie per avermelo detto .

[iaiuarmando]

ciao ragazzi
cercavo da tempo una guida del genere.

Avrei bisogno del tuo aiuto se sei disponibile.

Sto seguendo la guida, ho installato DEBIAN 11 su macchina virtuale, fin qui tutto ok, ma arrivando al punto che quoto non riesco più ad andare avanti.

mi da come risultato, comando non valido.

Come potrei risolvere?

Quote:

Creo una firma HMAC per aumentare la sicurezza:
Codice:
openvpn --genkey --secret ta.key

[OUTATIME]

Quote:

Originariamente inviato da iaiuarmando

ciao ragazzi
cercavo da tempo una guida del genere.

Avrei bisogno del tuo aiuto se sei disponibile.

Sto seguendo la guida, ho installato DEBIAN 11 su macchina virtuale, fin qui tutto ok, ma arrivando al punto che quoto non riesco più ad andare avanti.

mi da come risultato, comando non valido.

Come potrei risolvere?

Scusa, probabilmente un refuso, dovrebbe essere

Quote:

openvpn --genkey secret ta.key

Ho editato la guida. Fammi sapere se hai altri problemi, ultimamente ho avuto dei problemi di riconfigurazione di un server esistente, e ho dovuto fare senza HMAC.

[iaiuarmando]

Purtroppo ci sono ancora problemi e non riesco ad completare i passaggi.
Domani mattina faccio degli screen per essere più dettagliato.