Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Internet provider in generale > Internet e provider

ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR ha introdotto con Magic6 Pro la funzione Magic Portal che consente, tramite intelligenza artificiale, di suggerire scorciatoie agli utenti in modo da permettere di passare e accedere facilmente ai servizi tra app e dispositivi con un semplice tocco. Vi spieghiamo qui come funziona
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 22-03-2019, 12:29   #1
OUTATIME
Senior Member
 
L'Avatar di OUTATIME
 
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11114
[Guida] Come ottenere un IP pubblico con qualsiasi connessione 3G/4G Rel. 1.1.5

Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5
http://creativecommons.org/licenses/by-nc-sa/2.5/it/

Changelog:
1.0.0 Release Iniziale
1.0.1 Inserita generazione certificati client + modifica parte iniziale
1.0.2 Inserita configurazione IP specifico per i client OpenVPN
1.1.1 Riorganizzata guida e migliorata leggibilità
1.1.2 Bugfix
1.1.3 Bugfix
1.1.4 Rimossa la configurazione firma HMAC per problemi sulle recenti versioni di OpenVPN
1.1.5 Modificato file di configurazione con cifratura AES-256-GCM

Come tutti sappiamo, già da tempo gli operatori hanno smesso di fornire IP pubblici sulle sim dei telefoni cellulari. Questa guida ha il duplice scopo di ottenere un IP pubblico su linee 3G/4G da utilizzare per i dispositivi interni e/o accedere dall'esterno alla propria rete LAN.

Cosa serve:
- Connessione 3G/4G correttamente configurata e funzionante.
- Dispositivo Linux (Raspberry o PC) correttamente installato con un'interfaccia avente IP statico e come default gateway la connessione 3G/4G.*
*La guida è sviluppata su questa configurazione, ma poi ovviamente il client VPN con opportuni certificati può essere utilizzato ovunque.
- Dispositivo Linux correttamente installato con un'interfaccia avente IP pubblico (VPS o altra connessione con IP pubblico di cui si è legittimi fruitori. Ricordo che la condivisione di connessioni internet è illegale).

NOTE
- Ho saltato la parte di configurazione dei dispositivi Linux: partiamo dal presupposto che siano correttamente funzionanti. Se avete bisogno, in rete c'è ampia documentazione o potete chiedere a me, ma in ogni caso esula dallo scopo di questa guida.
- Per gestire il traffico uscente, nel caso si voglia tunnelizzare il traffico attrverso la VPN, serve implementare il routing sul Raspberry/PC in modo che faccia da gateway per tutta la propria rete. Ad oggi questa parte di configurazione non l'ho ancora implementata, quindi sulla release attuale non la troverete. Non escludo di inserirla, tempo permettendo, in futuro. L'alternativa per il momento è installare un client VPN su ogni dispositivo che necessiti di utilizzare l'IP pubblico.

Capitolo 1: Installazione Server

Installo Open VPN:
Codice:
apt install openvpn
Creo una cartella per la Certification Authorithy e la scarico :
Codice:
mkdir /etc/easyrsa
cd /etc/easyrsa
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/EasyRSA-3.0.4.tgz
Nota: la versione di EasyRSA viene aggiornata di continuo, di conseguenza suggerisco di verificare la versione corrente e sostituirla al numero nel link qui sopra (....v3.0.X/EasyRSA-3.0.X.tgz
I punti che seguono avranno di conseguenza il nome directory modificato a seconda della versione scaricata.


La estraggo:
Codice:
tar xvf EasyRSA-3.0.4.tgz	
cd /etc/easyrsa/EasyRSA-3.0.4/
Mi faccio una copia del file di esempio:
Codice:
cp vars.example vars
Edito il file di configurazione:
Codice:
nano vars
Vado nella sezione set var e tolgo il commento (è un certificato autogenerato, quindi si può scrivere quello che si vuole):
Codice:
set_var EASYRSA_REQ_COUNTRY     	"IT"
set_var EASYRSA_REQ_PROVINCE    	"Italia"
set_var EASYRSA_REQ_CITY        	"A"
set_var EASYRSA_REQ_ORG         	"B"
set_var EASYRSA_REQ_EMAIL       	"me@example.net"
set_var EASYRSA_REQ_OU          	"C"
Adesso posso installare il server certificati e la chiave server:
Codice:
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server

Creo la chiave di cifratura (questo ci metterà un po’):
Codice:
./easyrsa gen-dh
Copio i file generati nella cartella di OpenVPN:
Codice:
cp /etc/easyrsa/EasyRSA-3.0.4/pki/issued/server.crt /etc/openvpn/
cp /etc/easyrsa/EasyRSA-3.0.4/pki/private/server.key /etc/openvpn/
cp /etc/easyrsa/EasyRSA-3.0.4/pki/ca.crt /etc/openvpn/ 
cp /etc/easyrsa/EasyRSA-3.0.4/pki/dh.pem /etc/openvpn/
Generazione certificati client
Per la generazione dei certificati client mi posiziono nella cartella di EasyRSA e lancio i seguenti comandi:
Codice:
cd /etc/easyrsa/EasyRSA-3.0.4/
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1
Il primo comando è la richiesta di generazione di un certificato chiamato client1, senza password (opzione nopass).
Il secondo comando è la richiesta di firma del certificato client1 di tipo client. Al termine del processo avremo creato 2 file client1.key e client1.crt rispettivamente chiave e certificato, presenti nelle cartelle:
Cartella chiavi /etc/easyrsa/EasyRSA-3.0.4/EasyRSA-3.0.4/pki/private
Cartella certificati /etc/easyrsa/EasyRSA-3.0.4/pki/issued
Questa procedura può essere ripetuta cambiando nome, se si desidera creare più certificati per la connessione simultanea di più client.

Configurazione Server OpenVPN:
Creo nella cartella /etc/openvpn/ un file server.conf
Codice:
nano /etc/openvpn/server.conf
All'interno inserisco i seguenti parametri:
Codice:
### OpenVPN server.conf ###

port 1194
proto tcp4
dev tun

### Files
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
###

server 10.8.0.0 255.255.255.0
topology subnet
client-config-dir /etc/openvpn/ccd
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 60 120
key-direction 0
cipher AES-256-GCM
auth SHA256
max-clients 6
persist-key
client-to-client
status openvpn-status.log
log         /etc/openvpn/openvpn.log
log-append  /etc/openvpn/openvpn.log
verb 3
Riavvio il server. Dopo il riavvio con il comando
Codice:
ip address show
Verifico di avere attiva un'interfaccia con tun0 IP 10.8.0.1

Nel caso si desideri assegnare al client un IP specifico, creare un file nella cartella /etc/openvpn/ccd con il nome del client generato (nel nostro esempio client1):
Codice:
cd /etc/openvpn/ccd
nano client1
ifconfig-push 10.8.0.X 255.255.255.0
Ed aggiungere la seguente riga nel file di configurazione:
Codice:
client-config-dir /etc/openvpn/ccd
Capitolo 2: Forwarding e Routing
Bene... A questo punto abbiamo un'interfaccia lan e un'interfaccia VPN denominata tun0. Dobbiamo fare in modo che il traffico che arriva sulla tun0 sia girata alla lan (quello che normalmente faremmo nella sezione "virual server" di un qualsiasi router). Per abilitare permanentemente il packet forwarding dobbiamo editare il file /etc/sysctl.conf e togliere il commento dalla riga net.ipv4.ip_forward=1 Quindi:
Codice:
nano /etc/sysctl.conf
Dopo la modifica deve presentarsi cosi:
Codice:
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
A questo punto applichiamo le modifiche appena fatte:
Codice:
sysctl -p
sysctl --system
Ora, le regole di routing si applicano modificando iptables, questa guida non vuole essere un trattato sul funzionamento di iptables, anche perchè sono la persona meno indicata, quindi mi limiterò a ciò che serve per quello che vogliamo ottenere. Prima cosa: i comandi lanciati con iptables non sono permanenti e vengono persi con il riavvio, di conseguenza dobbiamo installare un programma che ci consenta di renderle permanenti, questo programma si chiama iptables-persistent. Quindi:
Codice:
apt install iptables-persistent
Ora creiamo il file di configurazione, o se già creato lo editiamo cancellando tutto il contenuto presente:
Codice:
nano /etc/iptables/rules.v4
E inseriamo le regole di seguito descritte:
Codice:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i tun0 -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -i tun0 -o eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
-A PREROUTING -i eth0 -p tcp -m tcp --dport XXXX -j DNAT --to-destination 10.8.0.XXX
COMMIT
Spiegazione:
Sezione *filter: blocco tutto il traffico inbound e di forward su tutte le interfacce, ad eccezione del traffico sulle porte 22 e 1194, in questo modo ho il server completamente chiuso dall'esterno, ad eccezione delle porte 1194 necessaria per il finzionamento di OpenVPN, e la porta 22 per l'SSH. Questa configurazione è particolarmente utile nel caso di VPS con IP pubblico direttamente assegato all'interfaccia eth0. Tutte le regole di forward sono per consentire il traffico tra le due interfacce eth0 e tun0.
Sezione *nat: faccio il NAT di tutto il traffico outbound proveniente dall'interfaccia tun0. Questo serve per consentire la navigazione attraverso il tunnel VPN. La riga di prerouting serve per inoltrare il traffico di una determinata porta verso un IP della VPN.

Per applicare le regole, lanciare:
Codice:
systemctl restart netfilter-persistent
Per vedere le regole effettivamente applicate, è sufficiente lanciare il comando:
Codice:
iptables -L -n -t nat
A questo punto abbiamo un server OpenVPN correttamente funzionante con interfaccia eth0 con aperte solamente la porta 1194 e 22 e interfaccia tun0 con IP 10.8.0.1.

DISCLAIMER: questa guida è frutto delle mie ricerce e i miei test con i servizi e le configurazioni da me scelti, non mi assumo nessuna responsabilità in caso di qualsiasi problema su servizi/apparecchiature che andrete ad acquistare.
__________________
Be kind. Everyone you meet is fighting a hard battle.

Ultima modifica di OUTATIME : 08-02-2023 alle 14:02.
OUTATIME è offline   Rispondi citando il messaggio o parte di esso
Old 23-03-2019, 08:20   #2
OUTATIME
Senior Member
 
L'Avatar di OUTATIME
 
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11114
Configurazione Client

La configurazione del client è molto simile alla configurazione del server. Vediamola nel dettaglio:

Per prima cosa mi devo scaricare e copiare i file:
ca.crt
client2.crt
client2.key
Presenti sul server. Non c'è un modo unico di copiarli, dipende in che modo avete accesso al server. Se avete acquistato un VPS in cloud, probabilmente il modo più rapido è Filezilla e fare un SFTP. Questi file devono poi essere copiati nella cartella /etc/openvpn del client.

Installo Open VPN:
Codice:
apt install openvpn
Creo un file client.conf nella cartella /etc/openvpn
Codice:
nano /etc/openvpn/client.conf
Al suo interno cancello eventuale contenuto se presente e copio il seguente contenuto:
Codice:
client
dev tun
proto tcp
remote [IP_Pubblico_Server_VPN] 1194
resolv-retry infinite
nobind
persist-key
persist-tun
keepalive 60 120
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
cipher AES-256-GCM
auth SHA256
remote-cert-tls server
auth-nocache
status openvpn-status.log
log         /etc/openvpn/openvpn.log
log-append  /etc/openvpn/openvpn.log
verb 3
Il file nella sezione remote è necessario personalizzarlo sostituendo la parte [IP_Pubblico_Server_VPN] con l'IP pubblico del vostro server VPN (ovviamente senza le quadre.

Facciamo un riavvio del client. Una volta riavviato con il solito comando
Codice:
ip address show
Verifico di avere attiva un'interfaccia con tun0 IP 10.8.0.1

Ora devo impostare il routing analogamente a quanto fatto con il server:
Per abilitare permanentemente il port forwarding dobbiamo editare il file /etc/sysctl.conf e togliere il commento dalla riga net.ipv4.ip_forward=1 Quindi:
Codice:
nano /etc/sysctl.conf
Dopo la modifica deve presentarsi cosi:
Codice:
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
A questo punto applichiamo le modifiche appena fatte:
Codice:
sysctl -p
sysctl --system
Come per il server installiamo Netfilter-Persistent:
Quindi:
Codice:
apt install iptables-persistent
Ora creiamo il file di configurazione, o se già creato lo editiamo cancellando tutto il contenuto presente:
Codice:
nano /etc/iptables/rules.v4
E inseriamo le regole di seguito descritte:
Codice:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i tun0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.XXX
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
Spiegazione:
La parte di filtro è in tutto e per tutto simile alla configurazione Server, con l'unica differenza che qui non è necessario inserire la porta 1194 in input, perchè qui è il client, e quindi la porta 1194 è già consentita dal parametro OUTPUT ACCEPT [0:0]. Ovviamente è inserita anche la regola per la porta 22, per evitare di chiudersi fuori e non collegarsi più in SSH. La successiva regola di input è riferita come esempio alla porta 3389, nel caso volessimo collegarci in RDP ad un PC all'interno.
La sezione NAT è composta da due regole: Prerouting per fare il NAT della porta 3389 verso l'IP 192.168.1.XXX, mentre la regola postrouting consente il traffico di ritorno dalla subnet 192.168.1.XXX verso la subnet 10.8.0.0.
__________________
Be kind. Everyone you meet is fighting a hard battle.

Ultima modifica di OUTATIME : 18-09-2022 alle 09:10.
OUTATIME è offline   Rispondi citando il messaggio o parte di esso
Old 23-03-2019, 08:54   #3
OUTATIME
Senior Member
 
L'Avatar di OUTATIME
 
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11114
Riservato
__________________
Be kind. Everyone you meet is fighting a hard battle.

Ultima modifica di OUTATIME : 13-04-2021 alle 21:11.
OUTATIME è offline   Rispondi citando il messaggio o parte di esso
Old 23-03-2019, 09:37   #4
pilatoroma
Member
 
L'Avatar di pilatoroma
 
Iscritto dal: Oct 2018
Messaggi: 223
Quote:
Originariamente inviato da OUTATIME Guarda i messaggi
Eccomi....
Allora, per rispondere in modo esaustivo alla tua domanda, bisogna prima chiarire due concetti:
- VPN: la VPN permette una connessione tra un client e un server (esiste anche la site-to-site, ma non ci interessa) il server resta in ascolto e attende che un client richieda una connessione. Attivando la VPN il client chiede al server di instaurare una connessione sicura, e gli chiede anche di assegnargli un indirizzo IP, non necessariamente un IP pubblico, la stessa cosa che succederebbe a casa tua quando colleghi il cavo di rete al router.
- Connessioni 3G/4G: hanno un IP pubblico nattato, ovvero l'unico modo per instaurare una connessione è dall'interno della rete 3G/4G. Con questa configurazione gli operatori non ci consentono di accedere alla nostra rete dall'esterno. L'unico modo è iniziare la connessione dall'interno, ovvero attivando il client VPN.

Cosa succede quando attivo il client VPN:
- Il client VPN attiva una connessione verso il server del mio provider di servizi VPN, questo accetta la connessione e assegna alla mia interfaccia tun0 un IP. Quale? Semplice, quello pubblico di cui abbiamo tanto bisogno. Ecco che qualsiasi traffico che arriverà all'IP pubblico che il mio provider VPN mi ha assegnato, verrà instradato verso la mia interfaccia tun0.

Ovviamente tutto questo giochetto serve per poter accedere dall'esterno verso la propria rete locale, non viceversa, perchè comunque il gateway della propria rete rimane comunque il router, e non Raspberry o PC. Per fare questo (possibile ma più complesso), bisognerebbe che la VPN sia instaurata dal router.
Mi rendo conto che sia tutto un po' complesso, magari se riesco provo a fare uno schema.
Continuo a non condividere il tuo sistema, per ottenere lo stesso risultato basta si una VPN, ma meglio ancora se tua, questo voleva essere il mio concetto....le ragioni puoi tranquillamente immaginarle.....
pilatoroma è offline   Rispondi citando il messaggio o parte di esso
Old 23-03-2019, 10:14   #5
OUTATIME
Senior Member
 
L'Avatar di OUTATIME
 
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11114
Quote:
Originariamente inviato da pilatoroma Guarda i messaggi
Continuo a non condividere il tuo sistema, per ottenere lo stesso risultato basta si una VPN, ma meglio ancora se tua, questo voleva essere il mio concetto....le ragioni puoi tranquillamente immaginarle.....
Ma tu non hai un IP pubblico. Dove termina la tua VPN?
__________________
Be kind. Everyone you meet is fighting a hard battle.
OUTATIME è offline   Rispondi citando il messaggio o parte di esso
Old 23-03-2019, 10:21   #6
tolwyn
Senior Member
 
Iscritto dal: Jul 2016
Messaggi: 2379
se non capisco male il senso è: mi affitto un vps con ip pubblico e poi vado di ovpn tra il mio router e il vps...come esborso in più probabilmente siamo lì e lo sbattimento tecnico si sposta in parte dal proprio router al vps, ma forse nel complesso ci sono meno dubbi sulla eventuale manipolazione dei dati in transito...o no? comunque la tua proposta rimane interessante
tolwyn è offline   Rispondi citando il messaggio o parte di esso
Old 23-03-2019, 10:52   #7
pilatoroma
Member
 
L'Avatar di pilatoroma
 
Iscritto dal: Oct 2018
Messaggi: 223
Quote:
Originariamente inviato da OUTATIME Guarda i messaggi
Ma tu non hai un IP pubblico. Dove termina la tua VPN?
Una VPN non è altro che una rete privata....ripeto basta un VPS con IP pubblico e poi la tua rete interna collegata al VPS tramite VPN diventa tutt'una....il traffico proveniente dall'IP pubblico lo instradi come meglio credi verso la tua rete interna....ecco il mio concetto....poi come si dice...."de gustibus non est disputandum"
pilatoroma è offline   Rispondi citando il messaggio o parte di esso
Old 23-03-2019, 10:54   #8
pilatoroma
Member
 
L'Avatar di pilatoroma
 
Iscritto dal: Oct 2018
Messaggi: 223
Quote:
Originariamente inviato da tolwyn Guarda i messaggi
se non capisco male il senso è: mi affitto un vps con ip pubblico e poi vado di ovpn tra il mio router e il vps...come esborso in più probabilmente siamo lì e lo sbattimento tecnico si sposta in parte dal proprio router al vps, ma forse nel complesso ci sono meno dubbi sulla eventuale manipolazione dei dati in transito...o no? comunque la tua proposta rimane interessante
Ecco...più o meno siamo lì....
pilatoroma è offline   Rispondi citando il messaggio o parte di esso
Old 23-03-2019, 11:02   #9
OUTATIME
Senior Member
 
L'Avatar di OUTATIME
 
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11114
Quote:
Originariamente inviato da tolwyn Guarda i messaggi
se non capisco male il senso è: mi affitto un vps con ip pubblico e poi vado di ovpn tra il mio router e il vps...come esborso in più probabilmente siamo lì e lo sbattimento tecnico si sposta in parte dal proprio router al vps, ma forse nel complesso ci sono meno dubbi sulla eventuale manipolazione dei dati in transito...o no? comunque la tua proposta rimane interessante
Ah, ok... adesso ho capito il giro del VPS.
Sono onesto e non conosco molto l'ambiente VPS e le offerte commerciali disponibili (offrono IP pubblici o nattano porte su richiesta?), tenendo conto che il provider che ho io chiede 5$ al mese con abbonamento annuale, traffico illimitato, ma se sul VPS ci si vogliono mettere anche altri servizi il discorso potrebbe essere ancora più interessante e converrebbe pensare al VPS.
Comunque la mia soluzione è la stessa cosa, solamente che la parte VPS viene lasciata da gestire al provider.
__________________
Be kind. Everyone you meet is fighting a hard battle.

Ultima modifica di OUTATIME : 23-03-2019 alle 11:05.
OUTATIME è offline   Rispondi citando il messaggio o parte di esso
Old 23-03-2019, 11:09   #10
tolwyn
Senior Member
 
Iscritto dal: Jul 2016
Messaggi: 2379
sìsì infatti sono due modalità come dire alternative ma non eslcusive!
tolwyn è offline   Rispondi citando il messaggio o parte di esso
Old 23-03-2019, 20:33   #11
FreeMan
Senior Member
 
L'Avatar di FreeMan
 
Iscritto dal: Jul 1999
Città: Black Mesa
Messaggi: 72348
La discussione/guida manca della licenza creative commons come previsto del nostro regolamento

https://www.hwupgrade.it/forum/annou...php?f=91&a=162

attendo adeguamento

>bYeZ<
__________________
REGOLAMENTO & update1/update2 | IO C'ERO | Realme X3 SZ 12/256 - History | GTi is BACK

"Non sorridete.......gli spari sopra.....sono per VOI!"
FreeMan è offline   Rispondi citando il messaggio o parte di esso
Old 23-03-2019, 21:45   #12
OUTATIME
Senior Member
 
L'Avatar di OUTATIME
 
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11114
Quote:
Originariamente inviato da FreeMan Guarda i messaggi
La discussione/guida manca della licenza creative commons come previsto del nostro regolamento

https://www.hwupgrade.it/forum/annou...php?f=91&a=162

attendo adeguamento

>bYeZ<
Fatto
__________________
Be kind. Everyone you meet is fighting a hard battle.
OUTATIME è offline   Rispondi citando il messaggio o parte di esso
Old 11-04-2019, 12:11   #13
lucadigiulio
Member
 
L'Avatar di lucadigiulio
 
Iscritto dal: Feb 2007
Messaggi: 102
COMPLIMENTI !!

io sono molto interessato alle tue indicazioni e sicuramente vorrò seguire la via da te indicata, ma non ho le basi per riuscirci da solo ed ho necessità di qualche piccola indicazione.
Ho trovato molte guide in rete in diverse lingue, ma non riesco a capire come adattarle al mio caso specifico.

Questa la situazione:
Ho un router Tp-Link TL-MR6400 con connessione 4G (ovviamente sotto NAT e senza ip pubblico) - [IP RETE: 192.168.5.1]
In quella rete ho 3 macchine sulle quali gira una versione personalizzata e "intoccabile" di linux. - [IP RETE: 192.168.5.121 .122 .123]
Sul router ho configurato: Firewall / Port Forward / Ddns [cose che alla fine però non mi funzionano causa ip nattato]

Questa la mia necessità:
Raggiungere dall'esterno (cellulare o pc qualsiasi) sia l'interfaccia web del router sulla porta 80 (o 443 se https), sia in SSH le tre macchine all'interno.
Mi piacerebbe farlo semplicemente puntando un VPS in questo modo:
ssh [ip pubblico VPS]:11121 ---> 192.168.5.121:22
ssh [ip pubblico VPS]:11122 ---> 192.168.5.122:22
ssh [ip pubblico VPS]:11123 ---> 192.168.5.123:22
http [ip pubblico VPS]:8080 ---> 192.168.5.1:80
https [ip pubblico VPS]:8443 ---> 192.168.5.1:443

Ora sono a questo punto:
Un servizio VPS con ip pubblico con a scelta una qualsiasi distro linux o CentOS lo si trova a meno di 3 dollari al mese.
Da quanto ho appreso in questo post basta aggiungere in rete un dispositivo (raspberry??) e configurarlo per gestire VPN e DDNS (ma anche Port Forward o quello lo fa il VPS ??).
Se questo è corretto, mi consigli il dispositivo più economico che basta a soddisfare le mie necessità?
Poi mi servirebbero anche dritte per configurarlo correttamente e in questo caso aggiungere una regola per poterlo configurare, poi, direttamente dall'esterno: ssh [ip pubblico VPS]:11222 ---> 192.168.5.2:22 (dove quest'ultimo sarà l'ip statico del dispositivo).

Quindi.... i prossimi passi sono:
1 - acquisto dispositivo da voi consigliato
2 - acquisto VPS, installazione distro da voi suggerita, installazione OPENVPN come consigliato nei precedenti post (se altri sistemi sono più indicati per me, ditemi).
3 - corretta configurazione OPENVPN sul server per soddisfare le mie esigenze.
4 - configurazione dispositivo interno alla rete con anche qua OPENVPN
5 - configurazione regole di port forward (lato server o lato dispositivo interno ??)

Dovrebbe essere tutto, ma ho davvero necessità di molti più approfondimenti.
Intanto ringrazio tutti in anticipo per la condivisione delle vostre conoscenze e per l'aiuto.

(alcune guide dicono di installare AUTOSSH per instaurare un Reverse Tunneling, ma davvero brancolo nel buio e da profano non so se è più semplice/migliore o no...)

Grazie.
lucadigiulio è offline   Rispondi citando il messaggio o parte di esso
Old 11-04-2019, 12:41   #14
OUTATIME
Senior Member
 
L'Avatar di OUTATIME
 
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11114
Allora..
Di recente (causa problemi di fatturazione) con il mio fornitore VPN, ho fatto proprio quello che chiedi tu, ovvero ho preso un VPS con Debian 9 e gli ho montato OpenVPN.
Quello che dovrai effettuare è la manipolazione di iptables sul server VPN verso il raspberry, e sul raspberry sempre iptables verso la rete locale.
Io ti consiglio di partire prendendo il servizio VPS e configurarci su openvpn e provare dal tuo PC Windows o da una macchina virtuale. Quando tutto funziona, copi la configurazione sul raspberry.
Per risponderti:
Quote:
Originariamente inviato da lucadigiulio Guarda i messaggi
Quindi.... i prossimi passi sono:
1 - acquisto dispositivo da voi consigliato
Aspetta
Quote:
Originariamente inviato da lucadigiulio Guarda i messaggi
2 - acquisto VPS, installazione distro da voi suggerita, installazione OPENVPN come consigliato nei precedenti post (se altri sistemi sono più indicati per me, ditemi).
Io ho fatto con Debian 9 e Aruba (se lo posso dire) che da un IP pubblico compreso.
Quote:
Originariamente inviato da lucadigiulio Guarda i messaggi
3 - corretta configurazione OPENVPN sul server per soddisfare le mie esigenze.
Qui te la posso passare io
Quote:
Originariamente inviato da lucadigiulio Guarda i messaggi
4 - configurazione dispositivo interno alla rete con anche qua OPENVPN
Esatto
Quote:
Originariamente inviato da lucadigiulio Guarda i messaggi
5 - configurazione regole di port forward (lato server o lato dispositivo interno ??)
Esatto.
__________________
Be kind. Everyone you meet is fighting a hard battle.

Ultima modifica di OUTATIME : 11-04-2019 alle 12:50.
OUTATIME è offline   Rispondi citando il messaggio o parte di esso
Old 11-04-2019, 13:02   #15
Lanfi
Senior Member
 
L'Avatar di Lanfi
 
Iscritto dal: Aug 2007
Città: Urbino
Messaggi: 6132
Bella discussione, butto lì un paio di considerazioni che magari possono fornire uno spunto.

1) Sulla scelta della vps su cui, come dire, hostare la vpn. Tenete conto che se è fuori dall'italia magari costerà di meno ma poi ci si ritroverà con ping alto e ip non accettato da chi georeferenzia (es, streaming rai).
2) Esistono router che possono fungere, diciamo out of the box e con semplice configurazione via interfaccia web, da client vpn. Rispetto all'uso del raspberry mi pare che semplificherebbe non poco la procedura...
__________________
PC: i5 750 - GV-R797OC-3GD - GA-P55UD4 - 4*2 GB DDR3 1600 - 2 x HD322HJ - HD103SJ - AF Extreme rev. 2.0 - HCG-620m - CM HAF 922 - Dell 2312hm / Mac: macbook pro unibody late 2008, 2,4 GHz Intel Core 2 Duo, 4 Gb ddr3, GeForce 9400 + 9600m gt / Ho concluso positivamente con Tatila, Mastermind06, Kao, Killerfabber, Sirjd e Alexburt1
Lanfi è offline   Rispondi citando il messaggio o parte di esso
Old 11-04-2019, 13:32   #16
OUTATIME
Senior Member
 
L'Avatar di OUTATIME
 
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11114
Quella del router potrebbe essere una strada, da tenere a mente però che (suppongo) con un router (che è anche il gateway della nostra lan) tutto il traffico venga instradato attraverso la VPN, e questo a seconda dei casi potrebbe essere non voluto. Ad es. in caso di giochi online aumenterebbe il ping.
Le indicazioni di questa guida sono perlopiù rivolte a chi ha necessità di entrare dall'esterno nella propria rete.
Altra cosa da considerare è quanto traffico internet offre il provider VPS (nel mio caso ad esempio non è illimitato).
__________________
Be kind. Everyone you meet is fighting a hard battle.

Ultima modifica di OUTATIME : 11-04-2019 alle 13:35.
OUTATIME è offline   Rispondi citando il messaggio o parte di esso
Old 11-04-2019, 13:52   #17
Maxcorrads
Senior Member
 
Iscritto dal: Aug 2004
Città: Ravenna
Messaggi: 2343
Quote:
Originariamente inviato da OUTATIME Guarda i messaggi
Quella del router potrebbe essere una strada, da tenere a mente però che (suppongo) con un router (che è anche il gateway della nostra lan) tutto il traffico venga instradato attraverso la VPN, e questo a seconda dei casi potrebbe essere non voluto. Ad es. in caso di giochi online aumenterebbe il ping.
Le indicazioni di questa guida sono perlopiù rivolte a chi ha necessità di entrare dall'esterno nella propria rete.
Altra cosa da considerare è quanto traffico internet offre il provider VPS (nel mio caso ad esempio non è illimitato).
Non tutti i router, ad esempio asus con firmware Merlin ti permette di decidere chi instradare attraverso la VPN e chi no.


Aruba va benissimo, io uso OVH, non hai limiti di traffico e se l'ip francese non ti piace (vedi RAI) puoi sempre comprarne uno italiano a 2€ + iva una tantum.
__________________
Vodafone FTTH Business - 1000/200 Open Fiber
Maxcorrads è offline   Rispondi citando il messaggio o parte di esso
Old 11-04-2019, 14:00   #18
OUTATIME
Senior Member
 
L'Avatar di OUTATIME
 
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11114
Quote:
Originariamente inviato da Maxcorrads Guarda i messaggi
Non tutti i router, ad esempio asus con firmware Merlin ti permette di decidere chi instradare attraverso la VPN e chi no.
Interessante...
__________________
Be kind. Everyone you meet is fighting a hard battle.
OUTATIME è offline   Rispondi citando il messaggio o parte di esso
Old 11-04-2019, 17:04   #19
Lanfi
Senior Member
 
L'Avatar di Lanfi
 
Iscritto dal: Aug 2007
Città: Urbino
Messaggi: 6132
Quote:
Originariamente inviato da OUTATIME Guarda i messaggi
Le indicazioni di questa guida sono perlopiù rivolte a chi ha necessità di entrare dall'esterno nella propria rete.
Ahhh non avevo capito! Comunque maxcorrads ha portato un ottimo esempio di router ampiamente configurabile, in realtà un po' tutti i router su cui si può installare openwrt dovrebbero andar bene. Poi starebbe all'utente decidere un po' come giostrarsela....se con un raspberry o con un router.

Considerando che i modem mobile che io sappia hanno una parte di routing piuttosto scarsa ci starebbe di collegarci direttamente un router un po' più degno e fargli pure gestire la parte della vpn.

Comunque ridicolo che le aziende di tlc non permettano di avere l'ip pubblico. Capisco che con ipv4 sarebbe stata dura assegnare così tanti ip....ma cavoli non siamo passati a ipv6 apposta per questo genere di situazioni? C'è qualcosa che mi sfugge?
__________________
PC: i5 750 - GV-R797OC-3GD - GA-P55UD4 - 4*2 GB DDR3 1600 - 2 x HD322HJ - HD103SJ - AF Extreme rev. 2.0 - HCG-620m - CM HAF 922 - Dell 2312hm / Mac: macbook pro unibody late 2008, 2,4 GHz Intel Core 2 Duo, 4 Gb ddr3, GeForce 9400 + 9600m gt / Ho concluso positivamente con Tatila, Mastermind06, Kao, Killerfabber, Sirjd e Alexburt1
Lanfi è offline   Rispondi citando il messaggio o parte di esso
Old 11-04-2019, 19:56   #20
OUTATIME
Senior Member
 
L'Avatar di OUTATIME
 
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11114
Quote:
Originariamente inviato da Lanfi Guarda i messaggi
Comunque ridicolo che le aziende di tlc non permettano di avere l'ip pubblico. Capisco che con ipv4 sarebbe stata dura assegnare così tanti ip....ma cavoli non siamo passati a ipv6 apposta per questo genere di situazioni? C'è qualcosa che mi sfugge?
Sinceramente non saprei come siamo messi con l'IPv6... Ormai tutto è compatibile ma di go live non credo se ne parli per il momento.
__________________
Be kind. Everyone you meet is fighting a hard battle.
OUTATIME è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Recensione HONOR Pad 9: ampio display e audio top per il tablet per l'intrattenimento Recensione HONOR Pad 9: ampio display e audio to...
Take-Two acquisisce Gearbox per 460 mili...
NVIDIA H100, H200 e Intel Gaudi 2 si sfi...
Lamborghini, nuovo logo e font, ora abbr...
Xbox Series X si veste di bianco, ma &eg...
La Porsche Boxster elettrica beccata in ...
L'iPad da 10,9" (Wi-Fi, 64GB) è sceso a ...
Dell, calo del mercato PC: licenziati 13...
Alfa Romeo Milano, scopriamo profilo e l...
Hisense vende un TV FHD 32 pollici con Q...
Cisco Webex anche in auto: ora è ...
Phil Schiller, il boss dell'App Store di...
Lola in Formula E insieme a Yamaha, due ...
Motorola MA1 è l'accessorio ideale per u...
Tineco e aspirapolveri senza fili, la nu...
Blocco note, c'è un modo per ripr...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 14:08.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www1v