[Guida] Come ottenere un IP pubblico con qualsiasi connessione 3G/4G

[lucadigiulio]

Quote:

Originariamente inviato da Lanfi

1) Sulla scelta della vps su cui, come dire, hostare la vpn. Tenete conto che se è fuori dall'italia magari costerà di meno ma poi ci si ritroverà con ping alto e ip non accettato da chi georeferenzia (es, streaming rai).

a me non interessa l'ip italiano

Quote:

Originariamente inviato da Lanfi

2) Esistono router che possono fungere, diciamo out of the box e con semplice configurazione via interfaccia web, da client vpn. Rispetto all'uso del raspberry mi pare che semplificherebbe non poco la procedura...

vero, ma non se ne trovano (o almeno non sono riuscito a trovarne) di router 4g che abbiano integrata la possibilità di configurare un CLIENT VPN. Quasi tutti hanno invece la possibilità, in questo caso inutile, di fungere da SERVER VPN.
Inoltre ho bisogno che supporti DDNS di no-ip.
Per questo la mia scelta era ricaduta su quel router. Purtroppo da ignorante non avevo considerato che tramite 4g le reti sono tutte nattate.

Emulatore interfaccia web del router: https://emulator.tp-link.com/mr6400-v4/index.htm

[OUTATIME]

Quote:

Originariamente inviato da lucadigiulio

a me non interessa l'ip italiano



vero, ma non se ne trovano (o almeno non sono riuscito a trovarne) di router 4g che abbiano integrata la possibilità di configurare un CLIENT VPN. Quasi tutti hanno invece la possibilità, in questo caso inutile, di fungere da SERVER VPN.
Inoltre ho bisogno che supporti DDNS di no-ip.
Per questo la mia scelta era ricaduta su quel router. Purtroppo da ignorante non avevo considerato che tramite 4g le reti sono tutte nattate.

Emulatore interfaccia web del router: https://emulator.tp-link.com/mr6400-v4/index.htm

Beh, con un vps il servizio ddns non è necessario, visto che danno un ip statico (almeno Aruba).

[lucadigiulio]

Quote:

Originariamente inviato da OUTATIME

Beh, con un vps il servizio ddns non è necessario, visto che danno un ip statico (almeno Aruba).

sì sì ovvio, ma nel mio ragionamento iniziale non era previsto....

[OUTATIME]

Comunque nei prossimi giorni mi dovrebbe arrivare un router decisamente cazzuto... Vi farò sapere...

[pilatoroma]

Quote:

Originariamente inviato da OUTATIME

Comunque nei prossimi giorni mi dovrebbe arrivare un router decisamente cazzuto... Vi farò sapere...

Noto con piacere che stai adottando la soluzione da me proposta......un minimo di citazione non guastava però...giusto per precisare...

[OUTATIME]

Quote:

Originariamente inviato da pilatoroma

Noto con piacere che stai adottando la soluzione da me proposta......un minimo di citazione non guastava però...giusto per precisare...

Ammetto non senza qualche difficoltà... visto che non sono proprio un iptables guru...
A mia discolpa posso dire che è solo una settimana che ho implementato il tutto funzionante... Comunque si, ti ringrazio, non pensavo che i prezzi dei VPS fossero così concorrenziali, e soprattutto compreso un IP pubblico statico.

BTW... tu come sei messo a iptables?

[pilatoroma]

Questa guida http://guide.debianizzati.org/index.php/Openvpn è un buon punto di partenza...

[OUTATIME]

Quote:

Originariamente inviato da pilatoroma

Questa guida http://guide.debianizzati.org/index.php/Openvpn è un buon punto di partenza...

Segnalo anche questa:
http://a2.pluto.it/a2/a258.htm#almlindex4169

[lucadigiulio]

Allora... sono a questo punto:

Ho acquistato un VPS, ci ho installato su tutto quello che serviva, ho configurato openvpn con interfaccia TAP e autenticazione con key.

Ho testato il funzionamento sul router che ho a casa (un netgear con firmware mod che include un client openvpn).

Si connette regolarmente.

Preferisco però aumentare la sicurezza della connessione andando ad implementare il certificato, ma lo farò in seguito.

Ora, vorrei testare il port forward del RDP, così da capire come configurarlo poi per le macchine all'interno della rete nattata nella quale dovrò aggiungere il dispositivo apposito (Raspberry??)

Questo il log lato client:

Codice:

OpenVPN log file restarted 04/14/19 09:49:06
disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
OpenVPN 2.4.5 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Mar 26 2018
library versions: OpenSSL 1.0.2o  27 Mar 2018, LZO 2.10
WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
TUN/TAP device ovpnc opened
do_ifconfig, tt->did_ifconfig_ipv6_setup=0
/bin/ip link set dev ovpnc up mtu 1500
/bin/ip addr add dev ovpnc 10.0.0.2/32 broadcast 10.0.0.2
nice 12 succeeded
TCP/UDP: Preserving recently used remote address: [AF_INET]89.*.*.*:1194
UDP link local: (not bound)
UDP link remote: [AF_INET]89.*.*.*:1194

Potete aiutarmi con li iptables ?

[OUTATIME]

Aspetta... Se hai configurato il client VPN sul Netgear, perchè vuoi prendere anche il raspberry?

[lucadigiulio]

Quote:

Originariamente inviato da OUTATIME

Aspetta... Se hai configurato il client VPN sul Netgear, perchè vuoi prendere anche il raspberry?

Il Netgear ce l'ho a CASA e l'ho configurato per fare una prova e capire se il VPS funzionava ed era corretta al configurazione.

Io però ho bisogno del VPS in un altro posto dove (vedi precedente post) ho un router 4G sotto nat dell'operatore e devo accederci dall'esterno per raggiungere 3 macchine in SSH oltre all'interfaccia web del router stesso.

[OUTATIME]

Quote:

Originariamente inviato da lucadigiulio

Il Netgear ce l'ho a CASA e l'ho configurato per fare una prova e capire se il VPS funzionava ed era corretta al configurazione.

Io però ho bisogno del VPS in un altro posto dove (vedi precedente post) ho un router 4G sotto nat dell'operatore e devo accederci dall'esterno per raggiungere 3 macchine in SSH oltre all'interfaccia web del router stesso.

Ah.. OK... non avevo capito....
Questa è la configurazione del mio server:

Codice:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT  -i lo -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.8.0.6
-A POSTROUTING -s 10.8.0.6/32 -o eth0 -j MASQUERADE
COMMIT

Supponendo che tu abbia effettuato una configurazione OpenVPN standard. Ovviamente l'IP --to-destination lo devi modificare secondo l'IP del tuo client OpenVPN (il raspberry).
Poi sul client dovrai fare il nat verso l'IP di destinazione.

[tolwyn]

confermo che ovviamente le regole indicate funzionano, occhio a modificare eventualmente anche il nome dell'if eth

[lucadigiulio]

Quote:

Originariamente inviato da OUTATIME

Ah.. OK... non avevo capito....
Questa è la configurazione del mio server:

Codice:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT  -i lo -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.8.0.6
-A POSTROUTING -s 10.8.0.6/32 -o eth0 -j MASQUERADE
COMMIT

Supponendo che tu abbia effettuato una configurazione OpenVPN standard. Ovviamente l'IP --to-destination lo devi modificare secondo l'IP del tuo client OpenVPN (il raspberry).
Poi sul client dovrai fare il nat verso l'IP di destinazione.

Ciao, scusami ma ci sono cose che non mi tornano.
Attualmente il mio iptables è così:

Codice:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
f2b-ssh    tcp  --  anywhere             anywhere             multiport dports ssh
f2b-sshd   tcp  --  anywhere             anywhere             multiport dports ssh
ACCEPT     udp  --  10.0.0.0/24          anywhere             udp dpt:1194 state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.0.0.0/24          anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  10.0.0.0/24          anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain f2b-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain f2b-sshd (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Non capisco proprio come allinearlo a quello che tu hai indicato...

[OUTATIME]

Quote:

Originariamente inviato da lucadigiulio

Ciao, scusami ma ci sono cose che non mi tornano.
Attualmente il mio iptables è così:

Codice:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
f2b-ssh    tcp  --  anywhere             anywhere             multiport dports ssh
f2b-sshd   tcp  --  anywhere             anywhere             multiport dports ssh
ACCEPT     udp  --  10.0.0.0/24          anywhere             udp dpt:1194 state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.0.0.0/24          anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  10.0.0.0/24          anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain f2b-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain f2b-sshd (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Non capisco proprio come allinearlo a quello che tu hai indicato...

Hai seguito le indicazioni in prima pagina per installare netfilter-persistent?

[lucadigiulio]

Si, l'ho installato, ma poi non funzionandomi, ho riconfigurato con TAP invece che con TUN ed ho provato altre configurazioni finchè è partito. Ora ho resettato iptables e si riparte da lì...

[OUTATIME]

Quote:

Originariamente inviato da lucadigiulio

Si, l'ho installato, ma poi non funzionandomi, ho riconfigurato con TAP invece che con TUN ed ho provato altre configurazioni finchè è partito. Ora ho resettato iptables e si riparte da lì...

No... Aspetta... iptables persistent non c'entra nulla con la VPN.
configura in modo che sia funzionante la VPN, poi pensiamo a iptables.

[lucadigiulio]

VPN funziona

[OUTATIME]

Quote:

Originariamente inviato da lucadigiulio

VPN funziona

Bene. Quindi dal client riesci già a navigare attraverso il server VPN, giusto?

[lucadigiulio]

Questo il log:

Codice:

Initialization Sequence Completed
Inactivity timeout (--ping-restart), restarting
SIGUSR1[soft,ping-restart] received, process restarting
Re-using pre-shared static key
TCP/UDP: Preserving recently used remote address: [AF_INET]89.*.*.*:1194
Preserving previous TUN/TAP instance: ovpnc
TCP/UDP: Preserving recently used remote address: [AF_INET]89.*.*.*:1194
UDP link local: (not bound)
UDP link remote: [AF_INET]89.*.*.*:1194
Peer Connection Initiated with [AF_INET]89.*.*.*:1194
WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.0.0.2 255.255.255.255', remote='ifconfig 10.0.0.0 255.255.255.0'
Initialization Sequence Completed

Queste le statistiche del link:

Codice:

OpenVPN STATISTICS
Updated,Wed Apr 17 08:28:34 2019
TUN/TAP read bytes,24956
TUN/TAP write bytes,0
TCP/UDP read bytes,188
TCP/UDP write bytes,32632
Auth read bytes,147
END

Questa la configurazione del Client:

Codice:

# amod OpenVPN client configuration file
# created by ovpnc 04/14/19 09:47:24

########################################
# DO NOT touch these

dev ovpnc
dev-type tap
dev-node /dev/tun1
proto udp
fast-io
nobind
daemon
writepid /var/run/openvpn_client.pid
script-security 3
secret /etc/amod/conf/openvpn/openvpn_client_static.key
log /tmp/ovpncpipe
status /var/log/openvpn_client_status.log 60

########################################
# You may touch these, but only
# if you know what you are doing

remote 89.*.*.* 1194
ifconfig 10.0.0.2 255.255.255.255

#user nobody
#group nobody

nice 12
mute 3
suppress-timestamps

keepalive 10 60
ping-timer-rem
persist-tun
persist-key
persist-remote-ip
float
# the usuals to have a working tunnel
#fragment 1200
#mssfix 1200