Ciao ragazzi, ho bisogno del vostro aiuto: ho cercato di configurare openvpn guardando qualche video/letto qualche guida, ma non arrivo al traguardo (anzi, ho fatto i danni ahah).
L’obbiettivo è questo: vorrei (ovviamente) accesso remoto al di fuori della mia rete, sostanzialmente per due scopi:
dare accesso ai miei familiari al mio server nextcloud, per permettergli di caricare le loro foto su di esso
avere accesso a determinati dataset, e copiarli via SMB
Premetto che non voglio tenere sempre attivo il servizio vpn, ma accenderlo al bisogno.
Sostanzialmente ho seguito abbastanza fedelmente le indicazioni in QUESTO video, anche se alcuni passaggi non mi erano molto chiari.
Ho un IP che cambia ogni volta che il router si riavvia - salta la linea (e succede spesso )
Vi elenco tutti i passaggi, sostanzialmente:
avendo a disposizione l’accesso ad un dominio, con relativa wildcard, ho creato un record DNS su duckdns → con un cronjob tengo aggiornato l’ip → ho creato un cname nel mio dominio che punta al record duckdns… questo funziona bene (non si sa mai, ho oscurato i dati sensibili, ma fidatevi che l’ip è il mio )
Su Scale uso una docker su cui gira il server Wireguard ho dovuto configurare un terzo dei parametri, generare il file e darlo in pasto al client. Tutto meno di 30 minuti
Non puoi fare qualcosa di simile ?
Per il resto non so aiutarti, non c’è una guida sul forum ?
I video youtube spesso lasciano il tempo che trovano, con scale è un disastro visto il numero elevato di update che fanno !
Stando a questo, dovrei poter usare wireguard anche io (senza doverlo installare, solo attivare).
In altre fonti i passaggi erano sostanzialmente i medesimi, cerco di capire qualcosa in più dalla documentazione… anche se penso che il problema sia nei parametri aggiuntivi che passo al server vpn-port forwarding: solo le jail erano impattate, e la situazione non cambiava nemmeno spegnendo la vpn.
La sfiga è che per ogni test devo ravviare il server, quindi non posso farne troppi o stresso i dischi…
Però credo di aver capito perchè riuscivo a collegarmi solo dalla stessa rete: ho visto nel certificato client che ha generato, che l’indirizzo remoto era l’ip interno di truenas e non il dominio che ho scelto… non so perchè lo generi così nonostante gli abbia specificato i parametri giusti nel certificato, ma a naso dovrebbe essere facilmente sostituibile con un editor di testo qualsiasi.
Aggiornamento, ho cercato di semplificare le impostazioni così da escludere eventuali setting errati, ed invece alla fine mi sono collegato
Tolto i parametri aggiuntivi dal server VPN
nessuna static route impostata
nessun tunable attivo
modificato il file per il client con indirizzo invece che ip, come dicevo prima
sistemato il port forwarding sul router (no wwan ma vdsl )
e mi sono finalmente collegato da rete cellulare mi dà l’impressione che ogni tanto il collegamento salti per qualche frazione, non so se dipenda dalla copertura scarsa che ho qui.
Faccio qualche test/prova
Niente da fare: ho messo insieme le varie info da video/letture sul vecchio forum (i passaggi che avevo seguito li ho trovati in varie fonti diverse) e alla fine sono sì riuscito a collegarmi da remoto tramite vpn… ma tutte le mie jail restano isolate, ed è un bel problema.
Se da shell faccio un banale ping www.google.it va senza problemi, ma dalla shell delle singole jail no.
Visto che son già 2 ravvii che faccio oggi, provo a raccimolare le idee e chiedere aiuto nel forum internazionale…
purtroppo tutto tace anche nel forum internazionale , nel frattempo ho spostato uptimekuma (l’unico applicativo che fosse importante tenere sempre on), così ho potuto fare prove in tranquillità.
Alla fine penso di essere sulla strada giusta, sembrerebbe un problema di firewall che blocca la risoluzione degli indirizzi: disattivandolo momentaneamente le jail riprendono a funzionare.
Su questo avete qualche idea su come impostare una regola mirata?
edit: dimenticavo, queste sono le regole
00050 divert 8668 ip4 from any to any via em0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any icmp6types 1
01000 allow ipv6-icmp from any to any icmp6types 2,135,136
65000 allow ip from any to any
65535 allow ip from any to any
Sono rimasto affossato con open vpn senza risolvere, e senza purtroppo nessun input neanche dalla sezione internazionale.
Alla fine, esasperato, mi sono ricordato questo
e ho cambiato approccio: ho installato anche io Wireguard in una jail… a parte qualche piccola rogna di installazione, l ho configurato in pochissimo tempo e sembra funzionare alla grande…
Volevo usare il “built in” ma non è proprio cosa
)
)
)
mi dà l’impressione che ogni tanto il collegamento salti per qualche frazione, non so se dipenda dalla copertura scarsa che ho qui.
, nel frattempo ho spostato uptimekuma (l’unico applicativo che fosse importante tenere sempre on), così ho potuto fare prove in tranquillità.