Discussione:
Server Wireguard
(troppo vecchio per rispondere)
Salimo Terno
2024-07-08 08:54:58 UTC
Permalink
Ho un luogo remoto in cui c'e' una "buona" connessione FWA nattata.
Siccome devo aprire servizi che devono essere raggiungibili dall'esterno
avevo pensato a Wireguard.
Il client si collegherebbe ad un altro punto in cui ho il server attivo h24
su IP pubblico e da li' uscirebbe su Internet.

Questi servizi dietro NAT vengono forniti non da un PC ma da un apparecchio
standalone che non ha client Wireguard.

Mi piacerebbe quindi instaurare una VPN con Wireguard usando qualcosa di
hardware, economico, facilmente configurabile.

Ho visto su Ebay alcuni router che fanno tutto cio' ma non so quale
scegliere.
Mi piacerebbe che da un lato la WAN andasse al modem FWA e le lan siano gia'
post client Wireguard.
Naturalmente il client sarebbe da settare tramite interfaccia web del router
da acquistare.

Cosa scelgo?
Serve davvero qualcosa di facilmente manutenibile ed economico, quindi una
scatoletta farebbe al caso mio.

Grazie.
asdf
2024-07-08 19:10:18 UTC
Permalink
Post by Salimo Terno
Cosa scelgo?
Serve davvero qualcosa di facilmente manutenibile ed economico, quindi
una scatoletta farebbe al caso mio.
In teoria una qualunque scatoletta microba tipo *Pi sarebbe
l'ideale per esportare servizi non troppo impegnativi, ma
trattandosi di una VPN e non sapendo il volume di dati da
farci passare, penso che dovresti assicurargli un minimo di
birra. Comunque a naso, per roba leggera puoi usare una
qualunque scatoletta con dentro per es. una Orange Pi minima
da 20 euro, altrimenti guarda se questa, che è supportatissima
da Armbian, fa al caso tuo:

https://www.friendlyelec.com/index.php?route=product/
product&path=69&product_id=284

Se invece avessi bisogno di ancora più potenza, un
qualunque mini-PC con sopra OpnSense andrebbe alla grande.
Salimo Terno
2024-07-09 09:36:16 UTC
Permalink
Post by asdf
In teoria una qualunque scatoletta microba tipo *Pi sarebbe
l'ideale per esportare servizi non troppo impegnativi, ma
Sarebbe accessibile da HTTP come la GUI di un routerino?
Non c'e' spazio/modo/voglia di usare tastiera, mouse e monitor collegati.
Post by asdf
trattandosi di una VPN e non sapendo il volume di dati da
farci passare
Vero: molto pochi dati.
Immagina come una telefonata VoIP e qualche dato di controllo.
Con 500kbit di banda ne rimangono.

Il traffico e' UDP.
Solo una connessione.
Post by asdf
da 20 euro, altrimenti guarda se questa, che è supportatissima
Come sono invece quei routerini che vedo su Ebay e che "dicono" supportare
Wireguard?

Ho letto che anche i nuovi Fritzbox lo fanno.
Da che versione?
Magari una vecchia versione ormai obsoleta dal punto di vista della
connettivita' e' ancora buona per fare da VPN.

La mia intenzione non e' quella di installare un sistema operativo in un
miniPC da mettere in rete per fargli fare da *client* WG.
Vorrei proprio mettere in rete "una cosa" a cui io possa accedere via
browser e da cui fare tutte le operazioni.
Qualcosa che in caso di problemi io possa "spegnere e accendere".

Per fare cio' io *penso* che debba avere due rami ethernet separati, appunto
come un router (WAN/LAN) o per lo meno le porte configurabili a piacere.
Salimo Terno
2024-07-09 10:01:12 UTC
Permalink
Post by Salimo Terno
Vorrei proprio mettere in rete "una cosa" a cui io possa accedere via
browser e da cui fare tutte le operazioni.
Qualcosa che in caso di problemi io possa "spegnere e accendere".
Tipo questo:
https://shorturl.at/O7bOO
asdf
2024-07-09 12:14:25 UTC
Permalink
Post by Salimo Terno
Sarebbe accessibile da HTTP come la GUI di un routerino?
Non c'e' spazio/modo/voglia di usare tastiera, mouse e monitor
collegati.
Si, quasi tutti hanno la gestione da web simile ai vari router.
Post by Salimo Terno
Come sono invece quei routerini che vedo su Ebay e che "dicono"
supportare Wireguard?
https://shorturl.at/O7bOO
Secondo me monta OpenWRT, il che non sarebbe male, ma guarda caso
le caratteristiche hardware sono il minimo indispensabile per
farlo girare. (https://openwrt.org/supported_devices/432_warning)
Per questo motivo io passerei; c'è il serio rischio di non poterlo
più aggiornare, inoltre una VPN qualcosa consuma in termini di
potenza e RAM, e quello è proprio il minimo del minimo.
Post by Salimo Terno
Ho letto che anche i nuovi Fritzbox lo fanno.
Da che versione?
Da quale versione non lo so, cmq il mio 7590 gestisce Wireguard senza
problemi. Immagino però l'info sia presente sul sito AVM.
Post by Salimo Terno
Magari una vecchia versione ormai obsoleta dal punto di vista della
connettivita' e' ancora buona per fare da VPN.
Non so, ma il mio lo ho preso usato su Ebay dopo aver combattuto mesi
con quella fetenzia che danno ora con i contratti Wind; reset e blocchi
continui, una schifezza in tutti i sensi.
Post by Salimo Terno
Per fare cio' io *penso* che debba avere due rami ethernet separati,
appunto come un router (WAN/LAN) o per lo meno le porte configurabili a
piacere.
Ok, allora guardati il link della Nano Pi che avevo inviato e che nasce
proprio per quello, e si può usare con IPFire, oltre naturalmente ad
altre distro Linux.

https://www.ipfire.org/docs/hardware/arm/friendlyelec/nanopi-r4s
https://www.ipfire.org/about

C'è solo un problema: il supporto Wireguard su IPFire arriverà solo dalla
prossima versione, perciò valuta tu se ti basta OpenVPN che è supportata,
oppure uno può tentare di integrare questa cosa qui su qualcosa di già
esistente: https://github.com/donaldzou/WGDashboard

Alternative: OpenWRT, VyOS, naturalmente OpnSense ed altri, ma non
tutti girano su ARM, perciò la soluzione MiniPC o altra piattaforma
dedicata e "riciclata" con 2 NIC potrebbe essere la migliore a priori
per risolvere senza perder tempo.
Se sai cercare e ti apposti senza fretta li trovi anche usati a poco,
per es. questi due:

https://www.ebay.it/itm/204877825920

https://www.ebay.it/itm/176122510105
Salimo Terno
2024-07-09 12:50:39 UTC
Permalink
Post by asdf
Secondo me monta OpenWRT, il che non sarebbe male, ma guarda caso
le caratteristiche hardware sono il minimo indispensabile per
farlo girare. (https://openwrt.org/supported_devices/432_warning)
Per questo motivo io passerei; c'è il serio rischio di non poterlo
più aggiornare, inoltre una VPN qualcosa consuma in termini di
potenza e RAM, e quello è proprio il minimo del minimo.
A me non sembra.
Pare che monti un MTK7628NN e 128MB di storage e 16MB di flash.
Non e' la solita scatolina con 4/32 (avevo un DIR-300 con queste
caratteristiche da poter utilizzare e non ci penso nemmeno).

Di tutta la famiglia l'unica cosa che gli manca potrebbe essere l'EAP, non
so se mi servira'.
Post by asdf
Ok, allora guardati il link della Nano Pi che avevo inviato e che nasce
proprio per quello, e si può usare con IPFire, oltre naturalmente ad
altre distro Linux.
Si, ma devo installarlo: non so usare Linux, non ci ho messo mai le mani.
Ecco perche' mi serviva una cosa gia' pronta da poter utilizzare tramite
GUI.

Ad ogni modo, mi pare di capire che al 99% possa andare bene, per meno di 30
euro ci provo.
Al limite si restituisce e amen.

Se mi dici che sta scatolina puo' loggarsi al mio server Wireguard su PC e
instaurare una VPN lo prendo a occhi chiusi.
Se poi e' lento o non va bene si camba strada.


Grazie ancora.
ArchiPit
2024-07-11 18:11:47 UTC
Permalink
Rispondo qui sotto a Salimo Terno
Post by Salimo Terno
Ho letto che anche i nuovi Fritzbox lo fanno.
Da che versione?
A me risulta dalla 7.50
Salimo Terno
2024-07-11 18:25:16 UTC
Permalink
Post by ArchiPit
A me risulta dalla 7.50
Wireguard o la VPN del Fritzbox?
Valerio Vanni
2024-07-11 18:33:53 UTC
Permalink
Post by Salimo Terno
Post by ArchiPit
A me risulta dalla 7.50
Wireguard o la VPN del Fritzbox?
Da quella versione (più o meno) il Fritzbox supporta le vpn Wireguard.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
ArchiPit
2024-07-11 18:39:37 UTC
Permalink
Rispondo qui sotto a Salimo Terno
Post by Salimo Terno
Post by ArchiPit
A me risulta dalla 7.50
Wireguard o la VPN del Fritzbox?
Il FritzOS, in cui Wireguard è "embedded"
Salimo Terno
2024-07-11 22:05:39 UTC
Permalink
Post by ArchiPit
Il FritzOS, in cui Wireguard è "embedded"
Ne ho uno con un vecchio 6.3x e qualcosa.
Ma ormai mi e' arrivato il routerino... domani lo testo un po'.

Grazie.
ObiWan
2024-07-09 13:19:03 UTC
Permalink
:: On Mon, 8 Jul 2024 10:54:58 +0200
:: (it.comp.reti.locali)
Post by Salimo Terno
Mi piacerebbe quindi instaurare una VPN con Wireguard usando qualcosa
di hardware, economico, facilmente configurabile.
Un router compatibile WRT risolverebbe il problema, nel caso lo schema
di connessione sarebbe qualcosa del tipo

internet
|
|
|
router ISP
|
+-----------eventuali host "DMZ"
|
router WRT---eventuale AP WiFi
| |
| +----eventuale "powerLAN"
|
LAN cablata

i client LAN (wired/wireless) si connetterebbero al router WRT, e
questo inoltrerebbe il traffico al router ISP per uscire su Internet,
il tutto usando un solo "scatolotto" aggiuntivo, ossia il router WRT
Salimo Terno
2024-07-09 14:15:17 UTC
Permalink
Post by ObiWan
il tutto usando un solo "scatolotto" aggiuntivo, ossia il router WRT
Credo manchi qualche premessa al tuo post o non ho capito nulla.
Non posso usare alcuna DMZ dietro il mio ISP nattato allo stato delle cose.

E' possibile che non sia chiaro il mio quesito?
Lo ripropongo con piu' dettagli.

Ho una apparecchiatura che apre un servizio UDP su un paio di porte (tipo
VoIP, e' audio bidirezionale ma anche dati) in rete locale al quale si
accede da un PC presente sulla stessa rete. In rete locale e' perfetto e
funziona tutto.

Adesso devo piazzare il PC lontano con Internet nel mezzo.

Lato apparecchiatura server: 4G dietro NAT (non si puo' fare altrimenti)
Lato PC: fibra con ip pubblico.

Dovrei aprire una determinata porta dove c'e' l'apparecchiatura in 4G ma non
posso farlo proprio perche' dietro NAT dell'ISP.

Allora mi basterebbe "prolungare il cavo di rete" dal posto remoto (in cui
ho ISP 4G) al luogo in cui ho la fibra e userei di fatto il servizio UDP
messo a disposizione nel luogo remoto. Ecco perche' voglio instaurate una
VPN fra il luogo remoto e l'altro.

Sul PC ho Wireguard server in ascolto.
Serve solo un qualcosa che faccia da client Wireguard attraverso il 4G e
presenti su una LAN esattamente la LAN dove c'e' il PC.

A questo punto avrei le apparecchiature sulla stessa rete (es: 192.168.1.x)
e funzionerebbe tutto.

Cmq, ho gia' preso il routerino giallo e faro' prove.
Grazie ancora.
ObiWan
2024-07-10 09:22:26 UTC
Permalink
:: On Tue, 9 Jul 2024 16:15:17 +0200
:: (it.comp.reti.locali)
Post by Salimo Terno
Credo manchi qualche premessa al tuo post o non ho capito nulla.
mi sa... la seconda
Post by Salimo Terno
Lato apparecchiatura server: 4G dietro NAT (non si puo' fare
altrimenti) Lato PC: fibra con ip pubblico.
occhio, la velocità sarà comunque quella del 4G, dato che è quello che
connette il server con la rete su fibra ed è quello il collo di
bottiglia in termini di prestazioni
Post by Salimo Terno
Sul PC ho Wireguard server in ascolto.
Serve solo un qualcosa che faccia da client Wireguard attraverso il
4G e presenti su una LAN esattamente la LAN dove c'e' il PC.
Il qualcosa è un router con WRT (DD o Open) collegato alla rete del
server ed alla connessione 4G e con sopra il client wireguard

chiaro ora ?
Salimo Terno
2024-07-10 11:14:22 UTC
Permalink
Post by ObiWan
mi sa... la seconda
In realta' ti sei spiegati malissimo persino col disegno.
Post by ObiWan
occhio, la velocità sarà comunque quella del 4G
Nooo, non lo avevo considerato!
Mannaggia!
Post by ObiWan
Il qualcosa è un router con WRT (DD o Open) collegato alla rete del
server ed alla connessione 4G e con sopra il client wireguard
chiaro ora ?
E questo che c'entra con la DMZ?
ObiWan
2024-07-10 12:21:15 UTC
Permalink
:: On Wed, 10 Jul 2024 13:14:22 +0200
:: (it.comp.reti.locali)
Post by Salimo Terno
Nooo, non lo avevo considerato!
Mannaggia!
Beh, se pensavi di ottenere la velocità della fibra, scordatelo, c'è
sempre di mezzo il link su 4G
Post by Salimo Terno
E questo che c'entra con la DMZ?
La DMZ che ho aggiunto era un esempio, nel tuo caso non credo tu sappia
cosa farne
Salimo Terno
2024-07-10 12:41:53 UTC
Permalink
Beh, se pensavi di...
Tu devi essere quello sveglio della faimglia.
La DMZ che ho aggiunto era un esempio, nel tuo caso non credo tu sappia
cosa farne
A che c'eri potevi anche aggiungere un server FTP.
ObiWan
2024-07-10 12:53:20 UTC
Permalink
:: On Wed, 10 Jul 2024 14:41:53 +0200
:: (it.comp.reti.locali)
Post by Salimo Terno
Tu devi essere quello sveglio della faimglia.
La dislessia è curabile.
Salimo Terno
2024-07-10 12:59:18 UTC
Permalink
Post by ObiWan
La dislessia è curabile.
Ci manca solo che mi deridi per il nome e hai fatto il perfetto bimbominchia
di 14 anni.
Gia' immagino le prese per il culo che ti fanno qui dentro.

Per fortuna non tutti sono come te.
Tranne nella tua cucciolata.
ObiWan
2024-07-10 13:40:44 UTC
Permalink
:: On Wed, 10 Jul 2024 14:59:18 +0200
:: (it.comp.reti.locali)
Post by Salimo Terno
Ci manca solo che
BINGO

vai a trollare da quella parte ==========>
Salimo Terno
2024-07-10 15:10:20 UTC
Permalink
Post by ObiWan
vai a trollare da quella parte ==========>
Siamo sicuri che non stai trollando tu, con la faccenda della DMZ?
Sei ancora in tempo.
Salimo Terno
2024-07-12 12:00:02 UTC
Permalink
Post by Salimo Terno
Serve davvero qualcosa di facilmente manutenibile ed economico, quindi una
scatoletta farebbe al caso mio.
Ok, installata la scatolina e configurato WG, funziona oltre quello che mi
aspettavo.

E' anche presente un comodissimo switch fisico che bypassa la VPN.
Inoltre tutto il router e' visibile tramite un cloud su Intenet, quindi si
possono fare operazioni in remoto tramite GUI anche senza accesso diretto.

Che dire, per 27 euro mi ha risolto il problema.
Adesso mi sa che ne prendo un altro per fargli fare da server WG invece di
usare il PC.

Grazie a tutti, anche a quelli che hanno detto sciocchezze ma poi, avendo
capito, si sono eclissati senza nemmeno rispondere.

Loading...