Configurare VPN

Ciao ragazzi, ho bisogno del vostro aiuto: ho cercato di configurare openvpn guardando qualche video/letto qualche guida, ma non arrivo al traguardo (anzi, ho fatto i danni ahah).
L’obbiettivo è questo: vorrei (ovviamente) accesso remoto al di fuori della mia rete, sostanzialmente per due scopi:

  • dare accesso ai miei familiari al mio server nextcloud, per permettergli di caricare le loro foto su di esso
  • avere accesso a determinati dataset, e copiarli via SMB

Premetto che non voglio tenere sempre attivo il servizio vpn, ma accenderlo al bisogno.

Sostanzialmente ho seguito abbastanza fedelmente le indicazioni in QUESTO video, anche se alcuni passaggi non mi erano molto chiari.
Ho un IP che cambia ogni volta che il router si riavvia - salta la linea (e succede spesso :face_with_symbols_over_mouth: )
Vi elenco tutti i passaggi, sostanzialmente:

  • avendo a disposizione l’accesso ad un dominio, con relativa wildcard, ho creato un record DNS su duckdns → con un cronjob tengo aggiornato l’ip → ho creato un cname nel mio dominio che punta al record duckdns… questo funziona bene (non si sa mai, ho oscurato i dati sensibili, ma fidatevi che l’ip è il mio :smiley: )
  • ho creato un nuovo cas, e due certificati (server e client)
  • ho configurato il server seguendo i consigli del video

    (l indirizzo del server ho preso spunto da quello che ha usato nel video, a destra è il mio default gateway)
  • seguendo il video ho creato questi tunables (ora li vedete disattivati)
  • ho creato uno static route, destination l’indirizzo della VPN e gateway l’ip del nas (al momento eliminato)
  • ho aggiunto questa regola nel router (adesso è disattivata)

  • ravviato il server

in pratica al ravvio:

  • il nas era raggiungibile come sempre
  • le jail non accedevano ad internet (esempio, ho uptimekuma per monitorare vari siti, raggiungevo la jail ma non riusciva a pingare i siti)
  • provando a collegarmi alla vpn da smarthphone, ci riuscivo comunque solo se collegato alla stessa rete, non funzionava usando la rete cellulare

Spero di avervi dato tutte le info, sono nelle vostre mani xD

Su Scale uso una docker su cui gira il server Wireguard ho dovuto configurare un terzo dei parametri, generare il file e darlo in pasto al client. Tutto meno di 30 minuti

Non puoi fare qualcosa di simile ?

Per il resto non so aiutarti, non c’è una guida sul forum ?
I video youtube spesso lasciano il tempo che trovano, con scale è un disastro visto il numero elevato di update che fanno !

T

Stando a questo, dovrei poter usare wireguard anche io (senza doverlo installare, solo attivare).
In altre fonti i passaggi erano sostanzialmente i medesimi, cerco di capire qualcosa in più dalla documentazione… anche se penso che il problema sia nei parametri aggiuntivi che passo al server vpn-port forwarding: solo le jail erano impattate, e la situazione non cambiava nemmeno spegnendo la vpn.
La sfiga è che per ogni test devo ravviare il server, quindi non posso farne troppi o stresso i dischi…
Però credo di aver capito perchè riuscivo a collegarmi solo dalla stessa rete: ho visto nel certificato client che ha generato, che l’indirizzo remoto era l’ip interno di truenas e non il dominio che ho scelto… non so perchè lo generi così nonostante gli abbia specificato i parametri giusti nel certificato, ma a naso dovrebbe essere facilmente sostituibile con un editor di testo qualsiasi.

In serata faccio altre prove e aggiorno il thread

Aggiornamento, ho cercato di semplificare le impostazioni così da escludere eventuali setting errati, ed invece alla fine mi sono collegato :rofl: :rofl:

  • Tolto i parametri aggiuntivi dal server VPN
  • nessuna static route impostata
  • nessun tunable attivo
  • modificato il file per il client con indirizzo invece che ip, come dicevo prima
  • sistemato il port forwarding sul router (no wwan ma vdsl :exploding_head:)

e mi sono finalmente collegato da rete cellulare :partying_face: mi dà l’impressione che ogni tanto il collegamento salti per qualche frazione, non so se dipenda dalla copertura scarsa che ho qui.
Faccio qualche test/prova

Niente da fare: ho messo insieme le varie info da video/letture sul vecchio forum (i passaggi che avevo seguito li ho trovati in varie fonti diverse) e alla fine sono sì riuscito a collegarmi da remoto tramite vpn… ma tutte le mie jail restano isolate, ed è un bel problema.
Se da shell faccio un banale ping www.google.it va senza problemi, ma dalla shell delle singole jail no.
Visto che son già 2 ravvii che faccio oggi, provo a raccimolare le idee e chiedere aiuto nel forum internazionale… :exploding_head:

purtroppo tutto tace anche nel forum internazionale :melting_face: , nel frattempo ho spostato uptimekuma (l’unico applicativo che fosse importante tenere sempre on), così ho potuto fare prove in tranquillità.
Alla fine penso di essere sulla strada giusta, sembrerebbe un problema di firewall che blocca la risoluzione degli indirizzi: disattivandolo momentaneamente le jail riprendono a funzionare.
Su questo avete qualche idea su come impostare una regola mirata?

edit: dimenticavo, queste sono le regole

00050 divert 8668 ip4 from any to any via em0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any icmp6types 1
01000 allow ipv6-icmp from any to any icmp6types 2,135,136
65000 allow ip from any to any
65535 allow ip from any to any