pozz
2023-10-26 17:42:02 UTC
Un po' di tempo fa cercai una soluzione per collegarmi dall'ufficio alla
rete di casa collegata ad Internet tramite una Vodafone Station e fibra.
Alla fine venne fuori che il servizio VPN implementato nelle VS era
molto limitato. Una soluzione era andare di openwrt.
Così ho riesumato un router TPLink riflashandolo con openwrt e ci ho
installato wireguard. Funziona più o meno tutto, eccetto una cosa.
Partiamo dalla configurazione della LAN di casa 192.168.10.0/24.
192.168.10.1: VS
192.168.10.3: openwrt collegato ad una porta della VS
wireguard server su 192.168.2.1
192.168.10.100: desktop PC collegato alla VS
192.168.10.2: NAS collegato ad una porta di openwrt
Chiaramente sto usando openwrt solo come switch, la sua interfaccia wan
non è usata.
La rete dell'ufficio (connessa ad Internet sempre tramite una VS fibra)
è così composta.
192.168.1.1: VS
192.168.1.2: switch
192.168.1.3: NAS collegato allo switch
192.168.1.100: desktop PC Windows con wireguard client (192.168.2.2)
collegato allo switch
Come dicevo, dopo un po' di prove, funziona tutto. Eccetto una cosa.
Affinché il PC dell'ufficio possa collegarsi al PC di casa, ho dovuto
abilitare nel firewall di openwrt il masquerading. Senza il
masquerading, il PC dell'ufficio riusciva a pingare 192.168.2.1 e
192.168.10.3, ma non il resto.
Ho usato un client Wireguard sul mio Android (stessa configurazione
dell'ufficio a parte l'IP 192.168.2.3) e, facendo ping su
192.168.10.100, vedo i pacchetti in arrivo con Wireshark sul PC di casa.
Però, sempre su Wireshark, non vedo la risposta. Disattivando il
firewall di Windows vedo la risposta su Wireshark, ma non sul cell.
Prima domanda: come mai il firewall di Windows blocca le richieste di
ping? Dovrei aggiungere qualche regola per sbloccare le reti
192.168.1.0/24 e 192.168.2.0/24?
Ad ogni modo, anche senza firewall sul PC di casa, la risposta al ping
non arriva sul cell. Immagino perché la risposta è indirizzata a
192.168.2.3, che viene inoltrata al gateway di default (192.168.10.1),
cioè alla VS, che non sa che farsene (forse lo butta su Internet? forse
lo scarta?). Servirebbe aggiungere una static route sulla VS, cosa che
ovviamente non si può fare.
Abilitando il masquerading, vedo sempre le richieste di ping, ma queste
provengono da 192.168.10.3 (ovviamente perché c'è il masquerading
attivo). In questo caso vedo anche le risposte che arrivano regolarmente
al cell.
Seconda domanda: lascio il masquerading e basta? Possono esserci
controindicazioni?
rete di casa collegata ad Internet tramite una Vodafone Station e fibra.
Alla fine venne fuori che il servizio VPN implementato nelle VS era
molto limitato. Una soluzione era andare di openwrt.
Così ho riesumato un router TPLink riflashandolo con openwrt e ci ho
installato wireguard. Funziona più o meno tutto, eccetto una cosa.
Partiamo dalla configurazione della LAN di casa 192.168.10.0/24.
192.168.10.1: VS
192.168.10.3: openwrt collegato ad una porta della VS
wireguard server su 192.168.2.1
192.168.10.100: desktop PC collegato alla VS
192.168.10.2: NAS collegato ad una porta di openwrt
Chiaramente sto usando openwrt solo come switch, la sua interfaccia wan
non è usata.
La rete dell'ufficio (connessa ad Internet sempre tramite una VS fibra)
è così composta.
192.168.1.1: VS
192.168.1.2: switch
192.168.1.3: NAS collegato allo switch
192.168.1.100: desktop PC Windows con wireguard client (192.168.2.2)
collegato allo switch
Come dicevo, dopo un po' di prove, funziona tutto. Eccetto una cosa.
Affinché il PC dell'ufficio possa collegarsi al PC di casa, ho dovuto
abilitare nel firewall di openwrt il masquerading. Senza il
masquerading, il PC dell'ufficio riusciva a pingare 192.168.2.1 e
192.168.10.3, ma non il resto.
Ho usato un client Wireguard sul mio Android (stessa configurazione
dell'ufficio a parte l'IP 192.168.2.3) e, facendo ping su
192.168.10.100, vedo i pacchetti in arrivo con Wireshark sul PC di casa.
Però, sempre su Wireshark, non vedo la risposta. Disattivando il
firewall di Windows vedo la risposta su Wireshark, ma non sul cell.
Prima domanda: come mai il firewall di Windows blocca le richieste di
ping? Dovrei aggiungere qualche regola per sbloccare le reti
192.168.1.0/24 e 192.168.2.0/24?
Ad ogni modo, anche senza firewall sul PC di casa, la risposta al ping
non arriva sul cell. Immagino perché la risposta è indirizzata a
192.168.2.3, che viene inoltrata al gateway di default (192.168.10.1),
cioè alla VS, che non sa che farsene (forse lo butta su Internet? forse
lo scarta?). Servirebbe aggiungere una static route sulla VS, cosa che
ovviamente non si può fare.
Abilitando il masquerading, vedo sempre le richieste di ping, ma queste
provengono da 192.168.10.3 (ovviamente perché c'è il masquerading
attivo). In questo caso vedo anche le risposte che arrivano regolarmente
al cell.
Seconda domanda: lascio il masquerading e basta? Possono esserci
controindicazioni?