Consiglio su configurazione VPN

[Borghese]

Test porta ok :

$ nc -zvw2 -u 101.58.0.167 51820
Connection to 101.58.0.167 51820 port [udp/*] succeeded!

Ora, ricapitolando :

Casa Principale con home assistant che gira su un raspberry pi4
Server VPN Wireguard attivo su home assistant

Casa Secondaria con fritzbox con connessione vpn attiva al server sopra

Ora, da home assistant su casa principale dovrei vedere per es client configurabili che stanno dietro al fritzbox nella casa secondaria giusto ?

[Borghese]

Non sò perchè ma mi sta venendo il dubbio di aver fatto tutto al contrario...

riepilogo giusto per fare il punto :

Obiettivo è quello di avere dalla casa principale (Casa A) visibilità della lan e dei suoi client presenti in Casa B
in Casa A ho tirato su il server vpn wireguard
In Casa B ho configurato il router come client della Vpn sopra

Ho inoltre, per fare dei test, configurato come client della vpn anche lo smartphone e il portatile aziendale

Ora :

Se da smartphone, connesso solo con rete mobile, avvio il client vpn e mi connetto, vedo e pingo i client della lan di Casa A
Se da portatile aziendale, connesso a un altra rete mobile, mi connetto alla Vpn, vedo e pingo i client della lan di Casa A

Ergo : Il server vpn funziona alla grande, e da fuori casa raggiungo senza intoppi la lan di casa

Ma il mio obiettivo è, vedere da Casa A, la lan di Casa B -- > Non è che devo configurare Casa B con un server vpn, e quindi Casa A diventa client ?

Ci sto diventando matto...

[Kaya]

La cosa è corretta come hai fatto.
dai un occhio alle tabelle di routing che si innestino correttamente (Ricordami: hai classi IP diverse giusto??)

Quindi prova a fare dal server vpn un tracert verso un ip della casa B, cosa succede?

[Borghese]

Però visto che il comportamento mi sembra essere :

Da Client vedo e pingo la lan remota

Non devo a questo punto far diventare client la casa da cui voglio vedere le altre lan ? (che in questo caso diventano server) ?!

Mi sto incrocchiando il cercello....

[Kaya]

Se il problema che da un dispositivo qualsiasi di casa A, non raggiungi casa B, è ovvio che sia così.

Ti faccio ragionare:
Chi è che instrada i pacchetti?
Risposta: il gateway.
Chi è il GW in casa A?
risposta: il modem/router.

Come fa il modem router a sapere che c'è una VPN??
Non lo sa!
Alchè o il tuo GW lo permette, oppure dovrai forzare delle rotte statiche verso il server VPN, che poi instrada verso la lan per quella classe IP

[Borghese]

Quote:

Originariamente inviato da Kaya

Se il problema che da un dispositivo qualsiasi di casa A, non raggiungi casa B, è ovvio che sia così.

Ti faccio ragionare:
Chi è che instrada i pacchetti?
Risposta: il gateway.
Chi è il GW in casa A?
risposta: il modem/router.

Come fa il modem router a sapere che c'è una VPN??
Non lo sa!
Alchè o il tuo GW lo permette, oppure dovrai forzare delle rotte statiche verso il server VPN, che poi instrada verso la lan per quella classe IP

ok... intanto grazie, per come me lo stai spiegando.
allora a questo punto devo :

1)Tirare su di nuovo il server vpn nella Casa A
2)configurare il router di Casa B come client del server vpn sopra
3)impostare nel router di Casa A delle rotte statiche

tutto giusto ?

mi dici solo in poche parole come impostare queste rotte statiche ?
Cioe cosa gli devo dire al mio router ?

[Perseverance]

Quasi sicuramente funziona tutto in modalità ROUTED. Vi state confondendo. Facendo un paragone con l'ambiente linux che conosco, bisogna fare tre cose:
1. controllare nella configurazione client wireguard (ma un'occhiata al server la darei) l'intervallo di ip accettati ed aggiungerci o l'intera sottorete locale o quantomento l'ip locale dell'apparecchio.
2. abilitare nel router server vpn il forward fra i client (i client nella subnet vpn si devono poter parlare)
3. impostare le regole di portforwarding sui router client: i pacchetti ip:porta provenienti dalla subnet vpn (sorgente) devono essere accettati\mappati verso l'indirizzo ip:porta della subnet locale (destinazione), uguale uguale a quando apri le porte per torrent.

Visto il lavoro da fare, se non vuoi scervellarti, è conveniente impostare tutti IP statici per ogni client locale e anche virtuale del tunnel se è possibile.

Se non vuoi ammattire, prova a creare un server OpenVPN ma in modalità BRIDGED; con quello dovrebbe funzionarti subito se il produttore ha lavorato bene nella configurazione guidata.

[Borghese]

ok lo ammetto.... sono confuso!

non mi è ancora chiaro se il server lo devo tirare su da casa a per vedere la b in client, o viceversa...

[Perseverance]

Il server VPN deve stare in una qualunque casa dove puoi aprire le porte. Non conta dove metti il server ma come configuri il tutto. Ho come l'impressione che stai facendo una cosa più grande di te.

[OUTATIME]

Quote:

Originariamente inviato da Perseverance

Il server VPN deve stare in una qualunque casa dove puoi aprire le porte. Non conta dove metti il server ma come configuri il tutto. Ho come l'impressione che stai facendo una cosa più grande di te.

Esattamente.
Scusate se mi inserisco ma io, visto che da quello che ho capito non c'è la necessità della visibilità delle intere LAN remote, gestirei la cosa tramite porte su iptables. Cioè, mi faccio la VPN con Wireguard classica subnet 10.0.0.X, e poi natto tutto sui client.

Quote:

Originariamente inviato da Borghese

ok... intanto grazie, per come me lo stai spiegando.
allora a questo punto devo :

1)Tirare su di nuovo il server vpn nella Casa A
2)configurare il router di Casa B come client del server vpn sopra
3)impostare nel router di Casa A delle rotte statiche

tutto giusto ?

mi dici solo in poche parole come impostare queste rotte statiche ?
Cioe cosa gli devo dire al mio router ?

Come scritto sopra io nella casa A farei un server VPN con IP ad esempio 10.0.0.1, nella casa B client VPN con IP 10.0.0.2, poi tu dalla LAN casa A digiti 10.0.0.1 seguito dalla porta a cui risponde l'home assistant, e lasci che si arrangino i due dispositivi tra cui è instaurata la VPN con iptables. Io ho fatto così, è una configurazione da 10 minuti e non diventi deficiente con le route.

[Borghese]

Quote:

Originariamente inviato da Perseverance

Il server VPN deve stare in una qualunque casa dove puoi aprire le porte. Non conta dove metti il server ma come configuri il tutto. Ho come l'impressione che stai facendo una cosa più grande di te.

ok si ammetto che di vpn non sono esperto, è la prima volta che ci ho a che fare, ma vorrei sfruttare l'occasione per imparare.
non ho paura di fare prove, anzi... e vi ringrazio per il supporto
Però mi piacerebbe davvero riuscirci

[Borghese]

Quote:

Originariamente inviato da OUTATIME

Esattamente.
Scusate se mi inserisco ma io, visto che da quello che ho capito non c'è la necessità della visibilità delle intere LAN remote, gestirei la cosa tramite porte su iptables. Cioè, mi faccio la VPN con Wireguard classica subnet 10.0.0.X, e poi natto tutto sui client.


Come scritto sopra io nella casa A farei un server VPN con IP ad esempio 10.0.0.1, nella casa B client VPN con IP 10.0.0.2, poi tu dalla LAN casa A digiti 10.0.0.1 seguito dalla porta a cui risponde l'home assistant, e lasci che si arrangino i due dispositivi tra cui è instaurata la VPN con iptables. Io ho fatto così, è una configurazione da 10 minuti e non diventi deficiente con le route.

Ok, mi è chiaro.
Unica cosa : In Casa A il server VPN lo devo tirare su per forza su raspberry nell'istanza di home assistant, perchè come router ho lo sky wifi hub che non ha a bordo ne server ne client vpn (è veramente penoso come router ma usando sky il MAP-T al momento non posso cambiarlo)
Questo è un problema ?

Ora lo faccio, unica cosa che mi è poco chiara è : iptables lo devo configurare io ? se si dove ?

[OUTATIME]

Quote:

Originariamente inviato da Borghese

Ok, mi è chiaro.
Unica cosa : In Casa A il server VPN lo devo tirare su per forza su raspberry nell'istanza di home assistant, perchè come router ho lo sky wifi hub che non ha a bordo ne server ne client vpn (è veramente penoso come router ma usando sky il MAP-T al momento non posso cambiarlo)
Questo è un problema ?

No, anzi, io metterei raspbian/armbian ovunque

Io sono rimasto qui, giusto:

Quote:

Originariamente inviato da Borghese

Ora, ricapitolando :
Casa Principale con home assistant che gira su un raspberry pi4
Server VPN Wireguard attivo su home assistant
Casa Secondaria con fritzbox con connessione vpn attiva al server sopra

Tu server e client VPN li puoi tirare su dove vuoi, ma più apparati ci metti in mezzo e più configurazioni devi fare. Altra cosa che io evito di fare è mescolare apparati differenti: metterei un Raspberry anche nelle altre case. Una volta imparato come si configura, l'hai imparato per tutti i dispositivi.

Quote:

Originariamente inviato da Borghese

Ora lo faccio, unica cosa che mi è poco chiara è : iptables lo devo configurare io ? se si dove ?

Sicuramente sul Raspberry. Sul Fritz alzo le mani, ma io odio i Fritz

[OUTATIME]

Comunque, la prima scelta che devi fare è se hai necessità di vedere tutta la rete remota, o se ti è sufficiente aprire alcune porte. In questo secondo caso, VPN punto-punto con client Linux ne ho già fatte a decine e ti posso aiutare senza problemi. Questo però comporta bypassare il Fritz, ma tanto è la configurazione che avresti nella casa con il 4G

[Borghese]

mah, in realtà l'obiettivo di tutto questo era poter vedere l'intera lan, router compresi, delle due case remote, da Casa A.
Questo perchè, in queste case remote, ho dei dispositivi (antifurto, telecamere, prese smart...) che vorrei monitorare da casa mia.
Per farlo avevo pensato di centralizzare appunto tutto su Home Assistant che gira su rapsberry in Casa A (anzichè avere mille app diverse o dover avere mille pagine web diverse da raggiungere)

Ecco da dove nasceva....

Motivo per cui, volevo "semplificarla" tirando su la vpn tra il server sul raspberry, e facendo diventare i router delle case remote, client di questa vpn, nella speranza appunto di poter poi vedere tutto ciò che "sta dietro i router"

l'opzione raspberry anche nelle altre case la posso valutare certo...ma pensavo di riuscire a tirar su tutto usando i client vpn a bordo dei fritzbox che ho nelle case remote (sto per installare anche nella Casa B un fritz LTE, e tra l'altro a furia di rompere le balle TIM mi ha dato ip pubblico non nattato anche li, almeno cosi mi hanno scritto, ma devo ancora andarci per verificarlo..)

ora, chiarito lo scenario prima di rimetterci mano, che ne pensi di obiettivi e finalità ? Per quello che vorrei raggiungere quale sarebbe la strada migliore ?
Definita quella, poi procedo...almeno ci provo

[OUTATIME]

Quote:

Originariamente inviato da Borghese

mah, in realtà l'obiettivo di tutto questo era poter vedere l'intera lan, router compresi, delle due case remote, da Casa A.
Questo perchè, in queste case remote, ho dei dispositivi (antifurto, telecamere, prese smart...) che vorrei monitorare da casa mia.
Per farlo avevo pensato di centralizzare appunto tutto su Home Assistant che gira su rapsberry in Casa A (anzichè avere mille app diverse o dover avere mille pagine web diverse da raggiungere)

Ecco da dove nasceva....

Motivo per cui, volevo "semplificarla" tirando su la vpn tra il server sul raspberry, e facendo diventare i router delle case remote, client di questa vpn, nella speranza appunto di poter poi vedere tutto ciò che "sta dietro i router"

l'opzione raspberry anche nelle altre case la posso valutare certo...ma pensavo di riuscire a tirar su tutto usando i client vpn a bordo dei fritzbox che ho nelle case remote (sto per installare anche nella Casa B un fritz LTE, e tra l'altro a furia di rompere le balle TIM mi ha dato ip pubblico non nattato anche li, almeno cosi mi hanno scritto, ma devo ancora andarci per verificarlo..)

ora, chiarito lo scenario prima di rimetterci mano, che ne pensi di obiettivi e finalità ? Per quello che vorrei raggiungere quale sarebbe la strada migliore ?
Definita quella, poi procedo...almeno ci provo

Il problema è che nella tua casa A, ovvero dalla tua "cabina di regia", la VPN parte dal Raspberry (non dal router) che ovviamente non è il tuo gateway. Per fartela semplice, prova a pensare ai parametri che hai sulla scheda di rete del tuo PC: IP, subnet, gateway e DNS. Quindi suppondendo che la tua rete locale casa A abbia come IP 192.168.1.X, la rete della casa B 192.168.2.X, quando sul tuo PC digiterai 192.168.2.X, non sapendo a chi rivolgersi, il tuo PC si rivolgerà sempre al gateway, non al Raspberry. Questa è la difficoltà in quello che vuoi fare. Forse si riuscirebbe a fare se anche nella casa A la VPN partisse dal gateway, ma questo comporterebbe che anche la casa A dev'essere dotata di Fritz che faccia da gateway. E qui alzo le mani perchè non conosco assolutamente i Fritz.
Spero di essermi spiegato e di averti chiarito un po' la situazione.

[Borghese]

Ok questo pezzo mi è chiarissimo, grazie Outatime
Però il problema in questo caso, ce l'avrei solo se io da Casa A, volessi collegarmi da un client diverso dal raspberry (per.es un pc..) che ovviamente passa dal gw ma non dalla vpn, corretto ?

Però se l'unico client da cui volessi vedere le lan remote, fosse il raspberry, che è il server vpn, in questo caso, lui e solo lui, vedrebbero le lan remote no ?
Anche perchè a me in realtàù, non interessa che "tutti" i client di Casa A vedano le lan remote in VPN, ma solo il rapsberry. Gli altri devono rimanerne fuori e continuare a uscire passando dal gw...

(che poi, solo per mia cultura personale... se anche un qualsiasi laptop di casa A, lo facessi diventare client del serve vpn che gira sul raspberry, a questo punto, non sarebbero tutti sulla stessa rete e quindi vedrebbe tutto?!?)
Quest'ultimo pezzo non serve ora eh, è solo per capire se ho capito

[OUTATIME]

Quote:

Originariamente inviato da Borghese

Ok questo pezzo mi è chiarissimo, grazie Outatime
Però il problema in questo caso, ce l'avrei solo se io da Casa A, volessi collegarmi da un client diverso dal raspberry (per.es un pc..) che ovviamente passa dal gw ma non dalla vpn, corretto ?

Però se l'unico client da cui volessi vedere le lan remote, fosse il raspberry, che è il server vpn, in questo caso, lui e solo lui, vedrebbero le lan remote no ?
Anche perchè a me in realtàù, non interessa che "tutti" i client di Casa A vedano le lan remote in VPN, ma solo il rapsberry. Gli altri devono rimanerne fuori e continuare a uscire passando dal gw...

Si, tutto corretto. Scusami ma ormai sono nella forma mentis che per me Raspberry e simili hanno solo riga di comando. Ok, se fai tutto dallo schermo del Raspberry si.

Quote:

Originariamente inviato da Borghese

(che poi, solo per mia cultura personale... se anche un qualsiasi laptop di casa A, lo facessi diventare client del serve vpn che gira sul raspberry, a questo punto, non sarebbero tutti sulla stessa rete e quindi vedrebbe tutto?!?)
Quest'ultimo pezzo non serve ora eh, è solo per capire se ho capito

Ho qualche perplessità su come il Raspberry interpreti una richiesta che gli arriva su un'interfaccia wg uguale all'interfaccia di destinazione, ma in linea di massima lavorandoci un po' dovrebbe funzionare.

[Borghese]

Quote:

Originariamente inviato da OUTATIME

Si, tutto corretto. Scusami ma ormai sono nella forma mentis che per me Raspberry e simili hanno solo riga di comando. Ok, se fai tutto dallo schermo del Raspberry si.

si che poi considera che io non lavoro neanche su sistema operativo del raspberry, ma su home assistant, che è installato proprio come OS sul raspy.
cmq ok ci sono...

Quote:

Originariamente inviato da OUTATIME

Ho qualche perplessità su come il Raspberry interpreti una richiesta che gli arriva su un'interfaccia wg uguale all'interfaccia di destinazione, ma in linea di massima lavorandoci un po' dovrebbe funzionare.

no trq ora non mi interessa questo, era solo per capire io...

Ok dai, provo a tirare su di nuovo il server vpn sul raspy, e configurare il router fritz in una delle due case come client, tanto faccio tutto da remoto.
Vi aggiorno...

[Kaya]

scusate ma ho letto a sprazzi.
Ma non era più "easy" se sulla sua rete dove gira il server, provava a inserire una rotta statica di prova intanto?

route ADD LAN_REMOTA MASK 255.255.255.0 GW IP_DEL_RASP

e poi vedere se dal pc la raggiungeva ? (ovviamente sul rasp deve essere abilitato il nat forwarding)