AP su VPN

Networking, configurazione della connessione, periferiche e condivisioni di rete.
Scrivi risposta
Avatar utente
maidasette
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3164
Iscrizione: domenica 25 giugno 2006, 9:27
Località: Trieste

AP su VPN

Messaggio da maidasette »

Cercherò di illustrare il mio problema.
Ho due reti: "1"(192.168.1.x) e "2"(192.168.2.x). Nella rete 1 è presente un RasberryPi che svolge il ruolo di server OpenVpn e NAS. Nella rete 2 c'è un altro RasberryPi con funzione di client VPN che ha l'unico scopo di far vedere il NAS di 1 nella rete 2. Quando voglio invece dalla rete 2 collegarmi all'intera rete 1 uso il programma OpenVpn installato sul PC. Il tutto funziona splendidamente.
Senza stravolgere il tutto vorrei aggiungere nella rete 2 un AP Wi-Fi che passando attraverso il client VPN si colleghi alla intera rete 1, ciò allo scopo di evitare di installare sui PC della rete 2 OpenVpn.
So benissimo che esistono in commercio dei router con preinstallato OpenVPN, ma sono un amante del farmi le cose da solo, vorrei pertanto utilizzare dei comunissimi AP che ho in casa modificando solo il RasberryPi che fa da client VPN.
Sono certo che la soluzione è banalmente dietro l'angolo, ma l'unico neurone ormai rimasto nel mio cervello non la vede.
Grazie dell'aiuto.
Par le petit garçon qui meurt près de sa mère
Tandis que des enfants s'amusent au parterre; ...
Par les gosses battus par l'ivrogne qui rentre,...
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 2255
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 18.04 Bionic Beaver
Sesso: Maschile
Località: Roma, Italia

Re: AP su VPN

Messaggio da DoctorStrange »

Non sono uun grande intenditore di reti, ma sospetto che tu debba scrivre una regola per instradare tutto il traffico prooveniente dall'Access Point Wireless verso il cllient OpenVPN.

Ammesso che OpenVPN consenta di istradare un'iintera subnet verso una specifica destinazione, dovresti risolvere abbastanza in fretta.

Altrimenti potresti scrivere una regola di routing, cn iptables, in modo che tutto iltraffico proveniente dagli IP assegnati al "pool" della Wi-Fi, venga automaticamente instradato verso unaspecifica destinazione.
Avatar utente
maidasette
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3164
Iscrizione: domenica 25 giugno 2006, 9:27
Località: Trieste

Re: AP su VPN

Messaggio da maidasette »

DoctorStrange ha scritto:
martedì 23 novembre 2021, 11:22
Non sono uun grande intenditore di reti, ma sospetto che tu debba scrivre una regola per instradare tutto il traffico prooveniente dall'Access Point Wireless verso il cllient OpenVPN.

Ammesso che OpenVPN consenta di istradare un'iintera subnet verso una specifica destinazione, dovresti risolvere abbastanza in fretta.

Altrimenti potresti scrivere una regola di routing, cn iptables, in modo che tutto iltraffico proveniente dagli IP assegnati al "pool" della Wi-Fi, venga automaticamente instradato verso unaspecifica destinazione.
Quello che in fin dei conti chiedo è che una volta impostato i dati di rete dell'AP in cui indico l'IP del server che funge da client VPN come router (e non quello del router della rete 2), quest'ultimo faccia la funzione di rout verso il il server VPN remoto.
Qualcosa mi dice che dovrei indicarlo come proxy, ma quello del proxy è un mondo in cui sprofondo nella più completa ignoranza.
Par le petit garçon qui meurt près de sa mère
Tandis que des enfants s'amusent au parterre; ...
Par les gosses battus par l'ivrogne qui rentre,...
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 2255
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 18.04 Bionic Beaver
Sesso: Maschile
Località: Roma, Italia

Re: AP su VPN

Messaggio da DoctorStrange »

A livello teorico, dovrebbe funzionare in questo modo.

L'access point Wireless dovrai disabilitare il suo DHCP ed assegnargli una subnet di indirizzi IP disponibili. Ad esempio potrebbe essere: 192.168.2.1/27 .
In questo modo il pool di IP Wi-Fi avrebbe 31 indiirizzi IP e quidi distinti dispositivi che si possono connettere. Il pprimo avrà indirizzo 192.168.2.1, e l'ultiimo avrà indirizzo IP 192.168.2.30 e l'indiriizzo broadcast della sola rete Wi-Fi sarebbe quindi 192.168.2.31 .

A questo punto conuna tabella di routing stabilisci che tutto il traffico che proviene da 192.168.2.1/27 deve essere inoltrato verso il gateway che si troova all'indirizzo 192.168.2.<indiriizzo-client-open-vpn-su-rete-2> .

Fermo estando che io on conosco cosa sia OpenVPN, e come questo possa essere configurato, la raspberry della rete 2, o chi fa le veci di gateway al posto suo dovrà essere coome minimo un modem/router od uno switch di tipo "layer 3", per poter inoltrare correttamente il traffico verso la rete 1.
Avatar utente
maidasette
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3164
Iscrizione: domenica 25 giugno 2006, 9:27
Località: Trieste

Re: AP su VPN

Messaggio da maidasette »

La connessione VPN fra i due raspberry funziona perfettamente ed è correttamente configurata, quello di cui ora avrei bisogno è che il raspberry 2 oltre che come client VPN funzioni anche da gateway.
Par le petit garçon qui meurt près de sa mère
Tandis que des enfants s'amusent au parterre; ...
Par les gosses battus par l'ivrogne qui rentre,...
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12070
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 11 (Bullseye) - KDE

Re: AP su VPN

Messaggio da thece »

:ciao:

per raggiungere il tuo obiettivo, l'access point inserito sulla LAN#2 (192.168.2.0/24) non è strettamente necessario, a meno che tu non voglia che solamente i client connessi alla rete WIFI pubblicata dall'access point possano raggiungere la LAN#1 (192.168.1.0/24) ... ma questa è un'altra configurazione che dipende fortemente dalle capacità del firmware dell'access point. Ad esempio sul mio dispositivo (TP-Link TL-WA1201) non è possibile modificare la tabella di routing.
Ovviamente puoi inserire l'access point ma (se presente) disabilita su di esso il server DHCP.
Per ogni LAN lascia un solo server DHCP attivo, che immagino attualmente sia installato su entrambi i gateway di rete.

Con la soluzione che ti propongo tutti gli host sulla LAN#2 saranno in grado di raggiungere tutti gli host sulla LAN#1

Con riferimento al mio schema di rete:

1) sul gateway di rete della LAN#2 devi modificare la tabella di routing inserendo la rotta

Codice: Seleziona tutto

192.168.1.0/24 via 192.168.2.20
ossia devi fare in modo che qualunque host sulla LAN#2 che voglia raggiungere la LAN#1 lo faccia attraverso l'host 192.168.2.20 (client OpenVPN)
Va da sè che il firmware del dispositivo che ti fa da gateway di rete deve permetterti di modificare la sua tabella di routing.

2) sull'host 192.168.2.20 (client OpenVPN) devi abilitare il forwarding dei pacchetti IPv4

Codice: Seleziona tutto

echo 1 > /proc/sys/net/ipv4/ip_forward
o modifichi opportunamente il file /etc/sysctl.conf

Codice: Seleziona tutto

...
net.ipv4.ip_forward = 1
...
3) sull'host 192.168.2.20 (client OpenVPN) devi abilitare il masquerading dei pacchetti IP in uscita sull'interfaccia di rete usata da OpenVPN (tun0 ?)

Codice: Seleziona tutto

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
ricordati di rendere permanente questa regola di IPTables ...
maidasette ha scritto:
martedì 23 novembre 2021, 12:08
La connessione VPN fra i due raspberry funziona perfettamente ed è correttamente configurata...
Nota: ho assunto l'ipotesi che il client OpenVPN sia già in grado di raggiungere tutti gli host sulla LAN#1

[HOWTO] OpenVPN - Easy RSA 3 - Installazione e Configurazione
Allegati
www.draw.io-network.png
Avatar utente
maidasette
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3164
Iscrizione: domenica 25 giugno 2006, 9:27
Località: Trieste

Re: AP su VPN

Messaggio da maidasette »

Grazie @thece. A quanto pare la tua soluzione è abbastanza semplice. A favore di quanto da te proposto c'è anche il fatto che, per rendere perfettamente intercambiabili i dispositivi fra le due reti ho in effetti installato un secondo router in cascata sulla LAN 2 che mi riporta agli indirizzi di rete 192.168.1.x. per cui non devo far altro che installare un AP a monte del router.
Mi viene spontanea una domanda: Funzionerebbe se configurassi l'AP indicandogli il client OpenVpn come gateway?
Forse le cose potrebbero complicarsi anche se teoricamente fattibili.
Par le petit garçon qui meurt près de sa mère
Tandis que des enfants s'amusent au parterre; ...
Par les gosses battus par l'ivrogne qui rentre,...
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12070
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 11 (Bullseye) - KDE

Re: AP su VPN

Messaggio da thece »

:ciao:
maidasette ha scritto:
venerdì 26 novembre 2021, 6:03
... per rendere perfettamente intercambiabili i dispositivi fra le due reti ho in effetti installato un secondo router in cascata sulla LAN 2 che mi riporta agli indirizzi di rete 192.168.1.x. per cui ...
Se posti uno schema dettagliato della rete è meglio (https://app.diagrams.net/). Le descrizioni solitamente danno luogo ad interpretazioni ed errori.
maidasette ha scritto:
venerdì 26 novembre 2021, 6:03
Mi viene spontanea una domanda: Funzionerebbe se configurassi l'AP indicandogli il client OpenVpn come gateway?
Come sopra e mi ripeto: dipende dalle capacità del firmware del tuo access point.
Avatar utente
maidasette
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3164
Iscrizione: domenica 25 giugno 2006, 9:27
Località: Trieste

Re: AP su VPN

Messaggio da maidasette »

Rete.png
In pratica nella rete 192.168.2.x trovo sia i dispositivi di storage della rete 1 che quelli della rete 2.
Par le petit garçon qui meurt près de sa mère
Tandis que des enfants s'amusent au parterre; ...
Par les gosses battus par l'ivrogne qui rentre,...
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12070
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 11 (Bullseye) - KDE

Re: AP su VPN

Messaggio da thece »

Mah ... sulla base delle cose che hai già messo in piedi con la VPN, io vedo solamente malfunzionamenti di rete dovuti alla doppia presenza della classe di indirizzamento 192.168.1.0/24.
Ovviamente potrei sbagliarmi ... non ho la tua LAN sotto mano ... non ne conosco tutti i dettagli implementativi ... non ho modo di controllare cosa esattamente vedi o non vedi, cosa esattamente puoi o non puoi fare.
Spero che tu abbia effettuato dei traceroute diffusi per controllare il reale instradamento dei pacchetti IP.
Due esempi. Ho i miei dubbi che:
1) il client OpenVPN sulla LAN 192.168.2.0/24 possa raggiungere sia gli host sulla LAN 192.168.1.0/24 "a sinistra", sia gli host sulla LAN 192.168.1.0/24 "a destra"
2) un qualsiasi host sulla LAN 192.168.1.0/24 "a destra" possa raggiungere un qualsiasi host sulla LAN 192.168.1.0/24 "a sinistra"

Se vuoi mantenere l'architettura di rete del tuo schema, con la VPN di tipo "routed", io cambierei una delle due classi di indirizzamento da 192.168.1.0/24 a 192.168.3.0/24 (o equivalente). Poi puoi usare i comandi già discussi per aggiustare gli instradamenti.
Se invece vuoi mantenere la doppia presenza della classe di indirizzamento 192.168.1.0/24 allora passerei ad una VPN di tipo "bridged" (*) e probabilmente occorrerebbe anche ritoccare l'architettura generale della LAN.

Comunque la faccenda si sta facendo piuttosto articolata/complicata per discuterne attraverso qualche messaggio sul Forum e non ho molto tempo da dedicarti.
Spero che il problema riportato nel primo post si sia risolto.

Ma davvero hai bisogno di tutta questa "complicazione" sull'architettura della LAN o ti stai solo divertendo a sperimentare?

(*) Se la memoria non m'inganna sul Forum trovi anche qualche mia discussione su OpenVPN configurato in modalità "bridged", prova a cercare
Avatar utente
maidasette
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3164
Iscrizione: domenica 25 giugno 2006, 9:27
Località: Trieste

Re: AP su VPN

Messaggio da maidasette »

Il motivo per cui ho strutturato la rete in questa maniera è il seguente:
1) Utilizzo solo IP fissi e rete LAN, il DHCP ed il Wi-Fi serve solo per gli smartphone.
2) Ho bisogno che chiunque dalla rete 2 possa accedere anche agli storages posti nella rete 1 e non viceversa.
3) Tutti i PC configurati con IP fisso possono lavorare indipendentemente dal fatto che si trovino nella rete 1 o nella rete 2 senza dover cambiare configurazione.
La mia richiesta era motivata dal fatto che di tanto in tanto dalla rete 2 devo poter accedere all'intera rete 1 e questo lo faccio tramite OpenVpn installato sul PC, vorrei poterlo fare invece utilizzando un AP dedicato.
Mi sbaglierò, ma non credo di aver creato una mostruosità.
Par le petit garçon qui meurt près de sa mère
Tandis que des enfants s'amusent au parterre; ...
Par les gosses battus par l'ivrogne qui rentre,...
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12070
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 11 (Bullseye) - KDE

Re: AP su VPN

Messaggio da thece »

Mostruosa no, inutilmente complicata a mio avviso si.

Dunque, con l'architettura proposta nel mio schema (due subnet distinte) ottieni il requisito 1) e 2)
Ipotizzando che il tuo gateway di rete che fornisca anche connettività WIFI, se mantieni il Raspberry Pi con la sola funzionalità di client OpenVPN, l'access point non ti serve a nulla.
Potresti spegnere il WIFI sul gateway di rete, eliminare il Raspberry Pi e introdurre l'access point, ma per quello che vorresti ottenere ti servirebbe un access point con un firmware piuttosto evoluto: dovrebbe permetterti di manipolare la sua tabella di routing, dovrebbe avere integrato un client OpenVPN ... oppure questo access point te lo puoi costruire da te con il Raspberry Pi (sei un amante del DIY giusto?)

Se invece vuoi utilizzare la stessa subnet su entrambe le LAN allora prova ad esplorare la soluzione con OpenVPN configurato in modalità bridged. Con questa soluzione però devi lavorare un bel pò sulla configurazione del firewall per impedire che la parte sinistra della LAN possa raggiungere la parte destra della LAN.

Il requisito 3) non riesco tanto a capirlo. Per me indirizzo IP statico è "sinonimo" di server e i server non si muovono. Per qualcosa che si muove a mio avviso è più corretto usare un indirizzo IP dinamico.
Se i problema è "riconfigurare" potresti pensare di usare un server DHCP che permetta la prenotazione degli indirizzi IP. Tipo: lo stesso host sulla LAN di sinistra potrebbe ottenere l'indirizzo IP 192.168.1.100 e su quella di destra 192.168.2.100
Se il problema è "altro", se ne hai voglia, prova a spiegarmi più dettagliatamente, magari troviamo una strada alternativa.

L'ultima architettura di rete che hai postato secondo me non funziona, ma come ti ho già scritto potrei anche sbagliarmi.

Dopo tanti discorsi al momento cosa hai "in mano"? Ossia come è fatta al momento l'architettura di rete? Cosa funziona e cosa no?
Avatar utente
maidasette
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3164
Iscrizione: domenica 25 giugno 2006, 9:27
Località: Trieste

Re: AP su VPN

Messaggio da maidasette »

Gli IP statici è probabilmente una mia mania, il Wi-Fi non lo amo tanto ed imposto un range del DHCP molto ristretto con il SSID nascosto. Sarà forse una mia visione sbagliata di miglior sicurezza.
Come ti ho detto, la rete così com'è funziona da tempo, svolge il suo compito esattamente come voluto e le cose che funzionano è meglio non toccarle.
Mi è balenata l'idea che se al Rasberry che svolge il ruolo di client VPN aggiungo quella di gateway e lo indico come tale ad un comunissimo AP dedicato dovrebbe funzionare.
Par le petit garçon qui meurt près de sa mère
Tandis que des enfants s'amusent au parterre; ...
Par les gosses battus par l'ivrogne qui rentre,...
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12070
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 11 (Bullseye) - KDE

Re: AP su VPN

Messaggio da thece »

maidasette ha scritto:
domenica 28 novembre 2021, 5:49
Gli IP statici è probabilmente una mia mania, il Wi-Fi non lo amo tanto ed imposto un range del DHCP molto ristretto con il SSID nascosto. Sarà forse una mia visione sbagliata di miglior sicurezza.
L'SSID nascosto, il filtro sui MAC address, il range degli indirizzi IP ristretto offerti dal server DHCP sono tutte misure facilmente aggirabili.
Le uniche cose che garantiscono la sicurezza della tua rete WIFI sono un firmware che implementi correttamente le ultime specifiche sul protocollo WIFI e una password robusta.
maidasette ha scritto:
domenica 28 novembre 2021, 5:49
Come ti ho detto, la rete così com'è funziona da tempo, svolge il suo compito esattamente come voluto e le cose che funzionano è meglio non toccarle.
Da quanto scrivi direi che allora siamo a posto così ... risolto?
Avatar utente
maidasette
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3164
Iscrizione: domenica 25 giugno 2006, 9:27
Località: Trieste

Re: AP su VPN

Messaggio da maidasette »

Se uno vuole "bucare" una rete e ne ha le capacità lo fa, ma il 99,9% non ne è capace, almeno mi difendo da quelli :) :)
Quando dico di non toccare non intendo non aggiungere qualche funzione aggiuntiva per renderla più funzionale. Quello che si aggiunge si fa sempre in tempo a toglierlo quindi, al momento sono ancora alla ricerca di una soluzione valida al mio problema.
Par le petit garçon qui meurt près de sa mère
Tandis que des enfants s'amusent au parterre; ...
Par les gosses battus par l'ivrogne qui rentre,...
Scrivi risposta

Ritorna a “Connessione e configurazione delle reti”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 3 ospiti