NordVPN: Clicca qui per accedere all'offerta nordvpn.com/morrolinux 🧐Vuoi scoprire tutti i segreti del NETWORKING o diventare UN ASSO nei sistemi GNU/LINUX? 😎Buone notizie! Ho realizzato corsi on-demand per tutti i livelli. 👉Visita morrolinux.it per maggiori informazioni.
Ciao Morro, prova anche il port knocking, soluzione, a mio modesto parere, più immediata, pulita e realizzata completamente sul server. Ovviamente se si vuole aumentare il livello di sicurezza puoi bussare (inviare richieste su una porta) per poi aprirne un'altra. Video interessante, come sempre.
secondo me morro ha posto male il video e la configurazione, da best practice il server vpn non dovrebbe essere dietro nat, ma ricevere direttamente ip pubblico. La porta non va ne imboscata ne aperta con strane tecniche da remoto, semplicemente rimane invisibile a tutti i pacchetti non autenticati in quanto il server vpn ha il canale apposito di autenticazione via TLS-Auth. Questo almeno da openvpn. La 1194 è filtered-stealthed e non è individuabile da comuni portscan. Qualcosa di simile dovrebbe avvenire tramite wireguard, e dovrebbe essere una configurazione ben studiata a farlo, non un copia incolla come mostrato dal video.
@@giux900 Non sono sicuro di aver capito cosa intendi quando dici che il server VPN non dovrebbe essere dietro nat. Mi sto rifacendo allo scenario più comune in ambito domestico, in cui non si dispone di un IP pubblico fisso e si usa il modem/router dell'operatore con natting. Nel video non ho parlato di aprire e chiudere porte al volo ma di accendere e spegnere il container/servizio di Wireguard quando non ci serve. Ok wireguard non dovrebbe rispondere ai pacchetti non autenticati sulla porta esposta, ma spegnere una risorsa quando non la si utilizza non può far male.
@@morrolinux Se leggi i commenti hai mandato in caos gli iscritti che propongono cose assurde (port-knocking. bot telegram, script, vps, tool con rpi, ciabatte smart etc)... mostrando uno scenario che per quanto comune non è il modo di metter su un server vpn e ti crea come minimo l'obbligo di esporre la porta con il portforward dal tim. Se il server lo metti su ip pubblico dinamico (ci sono diverse possibilità, tim-modem only in bridge su pfsense o router 3party con server vpn integrato) il canale TLS-Auth ti mantiene la 1194(oppure 51820) su filtered/stealth eliminando alla radice il problema della sup di esposizione in quanto nmap/angryipscanner o servizi come GRCshieldsUP non rilevano nulla, tutto steathed/filtered.
@@giux900 si hai ragione, la soluzione migliore sarebbe assegnare un l'indirizzo pubblico al server vpn, evitando l' "overhead" del natting, certe vpn non funzionano o hanno cali drastici di performance se nattate, in ambito aziendale non è minimamente pensabile la soluzione proposta da Morro, ma come soluzione casalinga, dovendo utilizzare servizi limitati con dispositivi ancora più limitati ( pensa a quanto siano limitati i modem router forniti da isp), openvpn e, ancora meglio wireguard, solo la soluzione con probabilmente il migliore rapporto tra facilità di utilizzo/flessibilità/sicurezza e performance
Un modo più elegante per avviare il container potrebbe essere eseguire uno scan della rete locale con una certa cadenza e se non trovi il MAC del tuo cellulare si ipotizza che sei fuori casa e quindi avvii mentre se lo trovi lo stoppi.
A mio avviso non è molto elegante perché il fatto che tu non sia in casa non significa necessariamente che tu serva il servizio. Così facendo allarghi la finestra temporale inutilmente...
Bello vederti usare debian per una volta 😁, soluzione molto creativa il 404 ! Io uso il “port knocking” per farmi aprire SSH , soluzione adattabile anche per wg!
altra soluzione che adottai qualche tempo fa, per una cosa simile, fu un bot privato su telegram hostato su una istanza di node red (containerizzata su un raspy): ad un comando preciso, rappresentato da un bottone, avviava/stoppava un container :)
Ciao Morro ! Ce l'ho, ce l'ho (il serverino VPN su Raspberry Pi rev. B prima serie con 512 Mega di Ram, e non fa solo quello!) Io ho optato per cambiare la porta, dopo l'esperienza che ho avuto con la telecamera del negozio di mia nuora. Cambiata la porta, più nessun attacco! (prima avevamo dovuto resettare a 'fabbrica' la webcam un paio di volte! Uso la VPN da fuori per arrivare ai pc di casa, ma anche per stampare da fuori (lo so che è strano, ma lo faccio ...) Ottimo lavoro, ragazzo! OS: Manjaro, dappertutto a casa. Prima versione Linux vista: 1. qualcosa, anni 90 Prima versione linux installata: Ubuntu, verso il 2005 - 2006 (dovrei avere i dischi da qualche parte) Evvabbè, sovvecchietto. Ho visto nascere un po' tutto quello che ora si da per scontato ... primi programmi in università, su un Cray-1, in Fortran, anno 73 suppongo Fra poco son 70. 'notte !!
Ciao Morro, grazie infinite per questo video\tutorial finalmente dopo anni di tentativi sono riuscito a configurare una connessione veloce e sicura alla mia lan, Ottimi consigli come sempre.
Mi accodo.. stessa situazione e soluzione... al momento non so perche' non arrivo al mio router mentre le share le navigo tranquillamente ma lo scopriro' 😀
L'avevo fatto, proprio con PiVPN, combinandolo con Pi-hole come DNS e andava alla grande: oltre a poter accedere alla LAN, la connessione era anche protetta da pubblicità e traccianti. Di recente, l'ho dismesso per non avere troppi dispositivi accesi e ho tenuto la VPN del NAS (che purtroppo non ha Wireguard) e NextDNS al posto di Pi-hole. Per ora è tutto sperimentale ma non è detto che un domani non lo ripristini. Bella serie comunque.
Stessa situazione meccanismo simile. Sfruttando il servizio di hosting gratuito di altervista e con una semplice pagina php potevo creare o cancellare un file a seconda dei parametri ricevuti. Sfruttando un meccanismo così semplice é anche possibile usare i Comandi Rapidi dell’iPhone per accendere o spegnere il servizio con un click😉
@morro, visto che non si trovano contenuti validi sul tema, ti suggerirei di fare un video-approfondimento sui config di wg (vpn site to site, routing vpn ecc ecc). Sarebbe molto interessante, fatto alla tua maniera!
magari non in italiano, ma contenuti validi ne trovi a quantità. Per morro devi aspettare che si studia un poco meglio la faccenda, visto che sta impazzendo con script vari per attivare/disattivare da remoto un server vpn dietro nat, che se fosse configurato a dovere porrebbe la porta su TLS-Auth o discovery protection (wireguard) consentendo di lasciare il server sempre operativo... e la porta totalmente stealth a qualsiasi portscan....
@morrolinux Una idea ulteriore e praticabile per accendere e spegnere il conteiner è, invece di creare una pagina web, l’invio di una semplice mail formattata in modo particolare. Lo script di ascolto analizza una casella di ricezione e con la stessa logica accende il conteiner (e lo spegne) 😊 è carino questo metodo perché non ha limiti di utilizzo, puoi esplicitare comandi, fare in modo che alla lettura la mail venga eliminata in modo che non rimanga traccia
Ottimo video. Io utilizzo Netmaker su VPS che è connesso via VPN ad altri 2 VPS, uno con docker dove pubblico i vari servizi che mi servono (guacamole, nginx proxy manager...) ed uno interno alla lan che funge da GW per i client esterni. Creo le configurazioni Wireguard direttamente dall'interfaccia di Netmaker e così do accesso ai client alla LAN dall'esterno. Funziona tutto molto bene. Per quanto riguarda l'avvio del servizio puoi farlo in diversi modi, magari anche interrogando un DNS TXT .
Leggendo i vari commenti vedo che molti hanno manifestato esigenza di poter attivare e disattivare la vpn da remoto. La soluzione più stabile, efficace e veloce è usare un raspberry pi zero dietro una Smart plug. L’unica accortezza è spegnere il raspberry via ssh (o telegram o altro) prima di spegnere la Smart plug. Io sto facendo così da più di otto anni e non ho mai avuto un buco di servizio.
Ottimo. Creato... deployato e funzionante. Il Qrcode è molto più brigativo in effetti. Sul router Iliad c'era opzione VPN ma effettivamente è esposto troppo ad attacchi....
Ciao Morro, tempo fa usai il "Port Knocking" per accedere alle porte del servizi di cui avevo bisogno. Volendo si può anche far partire il servizio stesso anzichè far aprire la porta che serve. Cmq, bel video! Grazie.
video utile, wireguard è un software strepitoso. Hai mai provato servizi come zerotier? così non bisogna aprire porte, fare forwarding o usare ddns. Inoltre puoi connetterti anche agli altri dispositivi connessi, se c'è la necessità (routerOS dei mikrotik ce l'ha integrato di base). Poi se l'obiettivo è non dipendere da servizi esterni e si ha a disposizione un vps si può installare un private root server lì ;)
Ciao Moreno, bellissimo video😉 come ho risposto a ... io utilizzerei uno shelly(o sonoff) quando chiudo il contatto(rele') avvio il server vpn altrimenti quando apro il contatto stoppo il server vpn COMUNICANDO attraverso homeassistant 😉 Tempo indietro quando qualcuno mi citofonava si chiudeva il rele' tramite homeassistent mi mandava(oltre la notifica dello shelly) una notifica telegram che qualcuno aveva citofonato 👋😉 (spero che mi sono spiegato) e aguzzate l'ingegno😉
Per quanto riguarda l'avvio da remoto, io utilizzo un' istanza di Home Assistant con dominio pubblico e un add-on apposta per controllare le istanze di proxmox.. così posso avviare (e spegnere) da li il mio lxc di wireguard ed avere accesso alla rete locale.
Potresti usare un bot Telegram per avviare il servizio ed avresti anche la risposta sull'effettiva apertura/avvio del servizio oppure farti restituire l'errore se qualcosa va storto. Ovviamente andrebbero aggiunti dei criteri di sicurezza in più visto che comunque è un bot pubblico
Ciao morro, per rispondere alla tua domanda. Io ho installato termux su un vecchio telefono (un j3 del 2016) su cui ho scritto una piccola API con flask. Quando contatto dall'esterno questo servizio il telefono invia un magic packet al pc dove è installato proxmox che si avvia avviando di conseguenza anche il container dato che non posso tenerlo accceso h24 per i consumi
Ciao Morro, questo video fighissimo lo vidi mesi fa, e presi appunti, feci delle prove ma fallirono, anche per l'osticita della vodafone station. Dopo tantissimo tempo, stasera, mi sale il trip di volerci riprovare e ci riesco , quasi al primo colpo! La prova l'ho fatta su una vm ubuntu server creata al volo con virtualbox e li installare pivpn (che ho trovato in rete, il video l'ho rivisto perché dopo esserci riuscito volevo rivedere il tuo trick con la pagina web 😅). Mi aveva un po bloccato l'ip statico, cosi ho risolto in un modo leggermente diverso: ho lasciato che pivpn configurasse il dchp in modo automatico, ho lasciato il dchp dinamico sulla vm ubuntu creata al volo, ma ho impostato una regola di assegnazione ip sulla vodafone station al mac address crea virtualbox ha generato, e cosi mi evito a valle il disagio del ip statico sul container e sulle fasi pivpn. Per il resto sono felicissimo, posso accedere a casa mia da dove voglio con wireguard che è devastante! Ora mi guardo il trick della pagina online (ho una vps e potrei rispolverarla all'uopo lol) e vediamo che combino! Dato che ci sono mi studio anche proxmos che è figo non lo conoscevo. Grazie mille che storia! Ciao
Ottimo Morro, non so se lo sai ma tramite il modem/router della FRITZ "fritz box OS", si riesce a creare una VPN personale con e configurabile ad ogni dispositivo.....!!!! Mi trovo bene soprattutto se devo operare sul modem o se devo collegarmi alle host in casa....!!😊
grazie per questo utilissimo tutorial. Spero che 1x06 riguarderà come rendere trusted domain con un self certificate l'accesso al sito del cloud. In questo modo diventerebbero accessibili anche applicazioni come il calendario da applicazioni esterne.
ottimo sistema. io di solito come meccanismo utilizzo una pagina php (protetta da login) con interfaccina responsive che possa quindi aprire da smartphone con uno switch stile OS (accendi/spegni) che setta una variabile in un db o un semplice file di testo con all'interno 0=spegni oppure 1=accendi. A quel punto in cron chiama un un wget di un un 2° file php che restituisce il contenuto di quel file di testo. Il vantaggio è che così non devi aprire connessioni FTP ma fai tutto da smartphone.
Ottimo sistema quello di usare una pagina web per accendere e spegnere la VPN a occorrenza. Personalmente uso da anni il mio broker mqtt per accendere i vari servizi quando mi servono. Così regolo gli uptime solo quando mi servono. L'ho integrato abbastanza bene nei miei script bash in esecuzione costante. Sono sicuro dell'esistenza di metodi più efficaci ma ancora non l'ho scoperti. Che bella l'informatica, soprattutto quando ti rendi conto che per fare la stessa cosa ci sono almeno 500 metodi diversi ❤️
Salve volevo dirle che chi ha un modem avm friz box non serve fare quello che hai detto perché integra già queste cose, devi solo avere un account avm e ci peserà lui ad fare tutto lui, ti dare un url invoco colegato al tuo account, seguito da indirizzo ip interno del singolo dispositivo, e ha wingard e poi ha myDNS cioè crei un indirizzo ip fisso anche se celai dinamico
Per attivare la VPN quando non sei in casa non potresti creare un cron che ogni tanto controlla se il tuo smartphone è raggiungibile in LAN? Ad ogni modo video interessantissimo, grazie!
Senza usare un servizi per l'ip si potrebe usare un bot telgram che va legere l'ip e lo invia in automatico a sesteso in maniera che unaltro programa legge l'ip su un altro dispositivo e si sincronizi ?
Ho installato da meno di un mesetto OpenVPN sul serverino di casa per accedere da fuori. Non ho però alcun modo per attivarlo a piacimento, anche se, a partire dalla tua idea, credo non sarebbe molto difficile fare una cosa simile semplicemente modificando a piacimento un pastebin dal cellulare e impostare lo script per verificarne il contenuto
Interessante però se va male devi aspettare 10 minuti per accedere dall'esterno. Nella maggior parte dei casi quando vuoi entrare in vpn hai urgenza. 😛 Io sinceramente ho wireguard impostato sul frizbox quindi è sempre li pronto e lo uso per accendere o spegnere in un attimo le vm e fare il wake dei containers... Forse non è la soluzione più sicura ma, sgratt sgratt, fino ad ora non ho mai avuto alcun problema di sicurezza
Ciao Morro io mi sono configurato una mesh VPN (TincVPN). Ho diversi nodi, alcuni sotto la solita subnet, così posso accedere ad ogni subnet. L'unica cosa é avere almeno un nodo con ip pubblico (nel mio caso ne ho due, una vecchia hyperlan con ip pubblico statico ed una vps). Tinc supporta inoltre il nat hole punching, quindi si puo collegarsi direttamente ad alcuni odi. Fammi sapere che ne pensi! PS: Complimenti per i tuoi video!
Ciao Morro, io usavo un metodo simile al tuo ma basato su un google drive montato sul mio server ed il contenuto di uno specifico file per attivare/disattivare il servizio.
bel video..sempre molto bravo nello spiegare.. io ho risolto il problema dell automatismo realizzando uno script per telegram con cui interagisco da cell.. ..
Grande video come sempre. Grazie Morro. Per accendere il container ci si potrebbe mandare una e-mail sulla propria casella di posta con un contenuto definito? Che ne dici?
Ciao Morro, sono un tuo studente, ho comprato tutti I tuoi corsi su Linux e networking e li sto seguendo pian piano. Io per accedere al mio serverino casalingo dove ho casaos con syncthing e altri container, uso Tailscale. Lo hai mai provato? Mi piacerebbe sapere una tua opinione.
@morrolinux ... davvero molto interessante, lo vedo in ritardo rispetto all'uscita , ma è davvero interessante. Secondo te, è una soluzione utile per lavorare in team da casa con altre persone ? Oppure è più pratico avere una classica configurazione con un Server VPN che fa da Master collegato ad uno SLAVE fuori sede ?
Ciao, complimenti per il video. Forse è leggermente off-topic, ma si potrebbe connettere un cellulare in tethering USB sulla Zimaboard come fallback della connessione ADSL/FIBRA nel caso questa fosse indisponibile ?
Ciao sicuramente witeguard funziona benissimo niente da dire ma penso anche openvpn nella versione openvpnas con due connessioni in contemporanea full funzionalità sia inarrivabile come integrazione gestione ed opzioni. In più il portale accesso backend client e fantastico. Per auth consiglierei radius server in modo che dopo X tentativi blocca l'accesso da quello ip quindi risolvi il problema dell'autorizzazione remota per X tempo e quindi risolvi il problema della sicurezza, livio
in teoria tutti i dispositivi connessi tramite Wireguard accedono ad internet globale con lo stesso public ip, di conseguenza alcuni servizi che ultimamente hanno questo requisito per accesso/per il non ban possono essere usufruiti lo stesso 😶🌫😶🌫
Ciao Morro. Io per una operazione più o meno simile utilizzo una chat di Telegram. Ho uno script in node che rimane in ascolto e quando riceve un nuovo messaggio applica una espressione regolare alla stringa. Se la condizione è valida avvia il servizio.
Buongiorno il suo tuttorial è molto preciso e dimostra la sua competenza ! Vorrei porle una domanda: è' possibile installare wireguard su un server che utilizza una sim per la connessione internet? Grazie infinite per una sua risposta.
Anch'io come te ho un VPS. Nel mio caso ho installato il wireguard server sul VPS e il Raspberry a casa è configurato con wireguard client sempre connesso al VPS (nessuna porta aperta sul router adsl, e non serve ip fisso). Quindi se voglio entrare a casa passo per il VPS; occorre configurare opportunamente il lato server con routing e firewall (masquerade e forward)
Ciao Moreno, ottimo video, lo stavo aspettando. Io ho un indirizzo ip statico, immagino possa usare la stessa procedura, ma se così non fosse quale potrebbe essere l'alternativa al programma "no ip" ed in generale la procedura per arrivare allo stesso risultato? Grazie!!!
Ciao! Si puoi usare la stessa procedura. Tecnicamente se è statico non hai neanche bisogno di inserire le credenziali nel modem/router perché ti basta impostarlo una volta dal sito di no-ip come ho fatto nel video. Oppure se non vuoi usare no-ip puoi sempre acquistare un dominio DNS e creare un record A per puntare al tuo IP statico :)
In riferimento alla tua strategia per avviare la VPN.. io farei un app su cell e il suo corrispettivo su computer che genera un periodo di tempo di on.. generato del giorno dall' anno e da un codice (seme) che imposti sia sull app sia sullo script .. senza che ci sia scambio di dati tra app e script..
Ciao Morro, io ho creato uno script che controlla se il mio cellulare e' connesso a wifi tramite commando arp e MAC address matching. In questo modo, tramite crontab posso attivare o disattivare alcuni servizi (come ad esempio la VPN per l'accesso esterno). Ovviamente, cosi' la VPN e' attiva anche se non mi necessita. Siccome lo avevo gia' fatto per il mio sistema di video sorveglianza, l'ho riutilizzato anche per altri servizi
Ciao Morro, Prima di tutto complimenti per i video che fai. Vorrei sapere che soluzione hai adottato per lo spegnimento e l'accensione automatica della zima, mi servirebbe anche a me spegnere la zima la notte. Grazie
Video perfetto! Specifico che io tempo fa feci la stessa cosa, ma quando passai a ftth e l'operatore mi mise sotto rete nattata il giochino smise di funzionare e passai a cloudflare tunnel
Ciao! Se io volessi sincronizzare le foto del mio telefono e salvare i miei documenti sul mio Cloud personale o accedere a home assistant, ma dietro un CGNAT, come posso fare? Attualmente uso cloudflare, ma senza protezioni
@morrolinux Ti prego! Facci un video sulla crittografia end-to-end per ogni utente del cloud (in modo che l'admin non possa vedere i file di altri). Nextcloud fa pena in questo, e con Immich come faccio? Non esiste soluzione?
salve a tutti, ho installato Wireguard su raspberry PI4B e tutto funziona per accesso da esterno, ho provato stessa procedura per Zimaboard e non funziona, avete suggerimenti ? cosa cambia tra le 2 piattaforme hw ? OK una e' ARM64 e l'altra e' x86 64bit..ma come righe di Linux cosa cambia ? Qualcuno puo' aiutarmi ? non ho installato un container ma con righe di comando da Putty. Naturalmente in entrambi ho Debian aggiornatissimo. Grazie
Ciao!! Con le connessione in LTE, dove l'IP è nattato (quindi quello della conessione non corrisponde a quello del router), si può utilizzare questo stesso sistema per accedere al Rasp?
Ciao @morrolinux, fantastico video. Ti chiedo se ti va, di fare un video su Wireguard, piu' particolare, dove: - Un server Wireguard A, si connette ad un server Wireguard B, in split tunneling. Cosi che un client mobile, se si connette al server wireguard A, ha accesso all'intera rete del server Wireguard A, ma anche del server Wireguard B. E anche viceversa, ovvero se il client mobile, si connette al server Wireguard B, raggiunge tutta l'intera rete del server Wireguard A, oltre che B. Questo perchè? Perchè sui client mobile di wireguard, non ci si puo' connettere a piu' di un server contemporaneamente. E quindi avendo piu' di un server Wireguard, risulta impossibile raggiungerli entrambi nello stesso momento, ma bisogna switchare continuamente, cosa poco pratica. Invece sul pc, in splitunnel, ci si puo' connettere a due server Wireguard in contemporanea, e raggiungere le reti del server Wireguard A e B. In rete ci sono alcune guide, tutte provate e nessuna funziona, almeno utilizzando proprio Proxmox con VM e wireguard. Spero tu possa fare un breve tutorial chiaro in merito. Grazie come sempre per i contenuti
Ciao Morro, io ho un router wifi connesso a cascata LAN-WAN al router del mio aperatore che funge praticamente solo da modem. Tutti i dispositivi sono connessi al router wifi secondario. Quest'ultimo supporta la vpn wireguard. Ho impostato i ddns al router dell'operatore mentre la vpn al router secondario. Quando attivo la vpn sullo smartphone non riesco a raggiungere nessun dispositivo connesso al router secondario. Dove sbaglio?
Quanto a macchinosità per avviare il server VPN non mi batte nessuno: Wireguard gira proprio su Raspberry, alimentato con un alimentatore attaccato ad una ciabatta IP. Per accendere il server da remoto faccio riferimento alla cloud del produttore della ciabatta (su una rete wireless ad hoc wireless sulla quale girano solo dispositivi IoT): quindi mi autentico, faccio quello che devo fare e poi faccio fare lo spegnimento al Raspberry da shell. Quindi spengo la ciabatta da remoto quando ho finito. Quando siamo lontani da casa spengo proprio il NAS e lo riattivo nel caso in cui dovesse servirmi qualcosa in remoto, anche se per farlo devo temporaneamente togliere di mezzo l'UPS.
Scusate la domanda stupida ^^", io ho una connessione sotto NAT con ip privato, per cui anche aprire le porte non funziona. C'è qualche configurazione particolare da fare oppure è meglio che lascio perdere?
Ciao morro, il mio fritzbox consente di configurare una vpn senza bisogno di installare nulla su pc, inoltre come dns dinamico uso duckdns che, oltre a essere gratuito, non chiede il rinnovo periodico.
ciao morro io invece il mio server nextcloud con zimaboard l'ho esposto tramite un tunneling cloudflare in ssl/tls su un dominio che ho acquistato con connessione forzata su https. su nextcloud ho impostato che la connessione del singolo utente debba avvenire con un user e pwd e autenticazione tramite authenticator. secondo te potrebbe essere un buon modo per proteggersi? grazie
Io utilizzerei un'automazione con HomeAssistant che, quando esco di casa, si colleghi al container tramite ssh in locale per startare wireguard, poi quando rientro, lo spegne
Tutorial completo e interessante peró non riesco (dal browser) ad accedere agli IP locali. Cioé la connessione VPN si attiva e funziona, tan'é che dal sito myip vedo i differenti IP, peró mi viene dato errore quando provo a caricare, ad esempio, la pagina del router idee?
La cosa più semplice che ho potuto realizzare e in tempi brevi per poter far eseguire dei comandi ad un raspberry pi sotto rete 3g è stata quella di creare uno script php sulla mia pagina web con un nome particolare che per poter accedere dovevo usare una variabile get particolare altrimenti nn mi genera il form dove inserivo il comando e mi creava una riga in un file di testo con nome sempre particolare nella medesima root del file php (ovviamente sul sito è disattivato list dei file). Il raspberry recuperava il file ogni tot con crontab e comparava la dimensione del file dalla precedente verifica, se era diverso eseguiva l'ultima riga del file. Lo sò è una enorme schifezza! 😂
Buongiorno Moreno, io continuo sempre ad avere problemi. Nello specifico, quando mi connetto con il cellulare (iphone13) alla VPN dall'esterno, quest'ultimo smette di navigare e ovviamente non raggiunge la rete locale. Ho provato di tutto, il port forwarding è abilitato nel modo corretto, ma non riesco a far funzionare nulla. Potresti darmi un suggerimento? Grazie mille!
Ciao morro, video molto dettagliato, vorrei solo sapere una cosa, una volta collegati con la vpn il gateway per internet resta sempre il predefinito del client oppure diventa il gateway del server VPN di wireguard?
Il gateway resta quello predefinito di base però configurando il server di wireguard gli puoi fare pushare la configurazione dns e il gateway e in questo modo tutto il traffico generato dal client passa per la VPN(Per OpenVPN è così quindi suppongo si possa fare anche con WG ma non né sono sicuro)
Mi trovo in questo mesi a giocare con home assistant per poi passarlo in vera produzione At home. Sicuramente si possono unire i due mondi e tramite presenza di Device at home, home potrebbe aprire e chiudere la vpn. Comunque tutto bello e ne userò per passare da openvpn a wiregard ma.... Morro.. Urge in video di provate dns (pihole), reverse proxy e tutto sotto ssl da rete lan. Urge a me che sto fallendo miseramente a rendere funzionante sto caxxo di ssl hahhahha
Potrei installare wireguard sulla stessa bananapi su cui ho casa os installato? Magari utilizzando la rete cablata per casa os e la wifi per wireguard con un altro IP?
Io non riesco ad installarlo. Sono ancora mooooto ignorante in linux... Ricevo l'errore: E: Package 'wireguard-dkms' has no installation candidate ::: Failed to install wireguard-tools! ::: Failed to install qrencode! ::: Failed to install linux-headers-amd64! ::: Failed to install wireguard-dkms!
Cmq sono cose che riusci a fare più di 20 anni fa con le prime connessioni ADSL e DynDns configurato nel modem, ma installando manualmente Apache, php server ecc..
Che ne pensi di fare un piccolo http web server sullo stesso container che esegue wireguard che ti permette di arrivare la VPN tramite tramite una pagina web? Ovviamente protetto da password (motivo per cui dovresti anche avere un certiticayo tls ecc ma puoi fartelo self-signed visto che non è pubblico oppure usare let's encrypt). L'unico problema è che dovresti esporre una porta aggiuntiva e avere un servizio aggiuntivo. Volendo questo stesso servizio può vontrollare periodicamente se ci sono connessioni vpn attive e disabilitare in servizio (nel caso ti fossi dimenticato di disabilitarlo).
Ciao Morro, Fantastico video, questa soluzione mi risolve un sacco di problemi, installato e configurato, su PC tutto OK, ma con android nonostante sia collegato non raggiunge i dispositivi in LAN... hai qualche idea?
Maaaa... Ho scoperto sull internet che la vodafone station contiene gia una VPN e ha un servizio ddns nascosto (con il dominio univoco facilemente recuperabile). Avendo a disposizione gia tutto vale cmq la pena usare wireguard e dominio ex-novo? In termini anche di sicurezza piu o meno maggiore dell uno o dell altro.
Io finchè aspettavo questo video, volendo usare da remoto Jellyfin (opportunamente installato su un altro container di proxmox, col suo pool del nas, ecc), ho optato per creare un tunnel zero trust con Cloudflare, su un DNS di terzo livello del mio dominio. Tecnicamente non ho nessuna porta aperta all'esterno, non serve un IP statico ed il tunnel è criptato. Il tunnel può essere un alternativa alla VPN, o magari complementare se si vuole usare la VPN e attivarla come dici tu solo quando serve? Qual è la soluzione più "sicura"?
Ciao Morro, una domanda 🙋♂️.. io sono nella situazione in cui ho la rete di casa sotto 4G e quindi NATtata. Voglio collegarmi da un altra rete 4G (il mio smartphone) qui di altra rete natttata. Ricordo che anni fa avevo provato a fare questa procedura ma non c’era stato verso di collegarmi. Tu hai consigli? Visto il costo sempre più basso delle connessioni 4G e le prestazioni che spesso superano quelle dell’ADSL su rame credo che sarebbe interessante per molti 👍
@@davidevagginelli1678 grazie per la risposta, proverò a dargli un occhiata, anche se appoggiarmi a dei servizi terzi non era la mia principale intenzione 👍
@@stefanovesca8893 allora in questo caso headscale, è una versione selfhosted di tailscale, c'è anche un container docker e una webui. dovrebbe esserci qualcosa di simile anche per zerotier se non sbaglio
Video ben fatto, complimenti. Non ho mai usato Wireguard ma dalla configurazione che ti ho visto fare, paragonato a openvpn mi sembra che funzioni solo in modalità tap e non consente l'utilizzo di tun. Quindi, per il mio modo di vedere, non posso gestire regole di traffico da device client vpn, oppure ho capito male?
In realtà quando crei i “certificati” WireGuard (che sono un mix tra chiavi e configurazioni) puoi specificare regole iptable e range ip raggiungibili.
bravo io utilizzerei uno shelly(o sonoff) quando chiudo il contatto(rele') avvio il server vpn altrimenti quando apro il contatto stoppo il server vpn COMUNICANDO attraverso homeassistant 😉 Tempo indietro quando qualcuno mi citofonava si chiudeva il rele' tramite homeassistent mi mandava(oltre la notifica dello shelly) una notifica telegram che qualcuno aveva citofonato 👋😉 (spero che mi sono spiegato) e aguzzate l'ingegno😉
ma usando la vpn con wireguard (utilizzando noip non avendo un indirizzo ip statico) non c'è bisogno che inserisca il certificato ssl al server per avere un https?
Ho un router Mikrotik con server wiregard integrato. Il port knocking sarebbe facile con RouterOS, ma l'idea letta qui del bot telegram/matrix mi piaccia, mi piaccia un frego.
![NLE Choppa - Or What ft. 41 (Orchestra Mix) [Official Music Video]](http://i.ytimg.com/vi/biOFASEgSOM/mqdefault.jpg)
NordVPN: Clicca qui per accedere all'offerta nordvpn.com/morrolinux
🧐Vuoi scoprire tutti i segreti del NETWORKING o diventare UN ASSO nei sistemi GNU/LINUX?
😎Buone notizie! Ho realizzato corsi on-demand per tutti i livelli.
👉Visita morrolinux.it per maggiori informazioni.
Ciao Morro, prova anche il port knocking, soluzione, a mio modesto parere, più immediata, pulita e realizzata completamente sul server. Ovviamente se si vuole aumentare il livello di sicurezza puoi bussare (inviare richieste su una porta) per poi aprirne un'altra. Video interessante, come sempre.
Il port knocking è abbastanza conosciuto per non essere un modo sicuro per aprire le porte
secondo me morro ha posto male il video e la configurazione, da best practice il server vpn non dovrebbe essere dietro nat, ma ricevere direttamente ip pubblico. La porta non va ne imboscata ne aperta con strane tecniche da remoto, semplicemente rimane invisibile a tutti i pacchetti non autenticati in quanto il server vpn ha il canale apposito di autenticazione via TLS-Auth. Questo almeno da openvpn. La 1194 è filtered-stealthed e non è individuabile da comuni portscan. Qualcosa di simile dovrebbe avvenire tramite wireguard, e dovrebbe essere una configurazione ben studiata a farlo, non un copia incolla come mostrato dal video.
@@giux900 Non sono sicuro di aver capito cosa intendi quando dici che il server VPN non dovrebbe essere dietro nat. Mi sto rifacendo allo scenario più comune in ambito domestico, in cui non si dispone di un IP pubblico fisso e si usa il modem/router dell'operatore con natting. Nel video non ho parlato di aprire e chiudere porte al volo ma di accendere e spegnere il container/servizio di Wireguard quando non ci serve. Ok wireguard non dovrebbe rispondere ai pacchetti non autenticati sulla porta esposta, ma spegnere una risorsa quando non la si utilizza non può far male.
@@morrolinux Se leggi i commenti hai mandato in caos gli iscritti che propongono cose assurde (port-knocking. bot telegram, script, vps, tool con rpi, ciabatte smart etc)... mostrando uno scenario che per quanto comune non è il modo di metter su un server vpn e ti crea come minimo l'obbligo di esporre la porta con il portforward dal tim. Se il server lo metti su ip pubblico dinamico (ci sono diverse possibilità, tim-modem only in bridge su pfsense o router 3party con server vpn integrato) il canale TLS-Auth ti mantiene la 1194(oppure 51820) su filtered/stealth eliminando alla radice il problema della sup di esposizione in quanto nmap/angryipscanner o servizi come GRCshieldsUP non rilevano nulla, tutto steathed/filtered.
@@giux900 si hai ragione, la soluzione migliore sarebbe assegnare un l'indirizzo pubblico al server vpn, evitando l' "overhead" del natting, certe vpn non funzionano o hanno cali drastici di performance se nattate, in ambito aziendale non è minimamente pensabile la soluzione proposta da Morro, ma come soluzione casalinga, dovendo utilizzare servizi limitati con dispositivi ancora più limitati ( pensa a quanto siano limitati i modem router forniti da isp), openvpn e, ancora meglio wireguard, solo la soluzione con probabilmente il migliore rapporto tra facilità di utilizzo/flessibilità/sicurezza e performance
Un modo più elegante per avviare il container potrebbe essere eseguire uno scan della rete locale con una certa cadenza e se non trovi il MAC del tuo cellulare si ipotizza che sei fuori casa e quindi avvii mentre se lo trovi lo stoppi.
Io accendo il mio raspberry con una Presa domotica
A mio avviso non è molto elegante perché il fatto che tu non sia in casa non significa necessariamente che tu serva il servizio.
Così facendo allarghi la finestra temporale inutilmente...
Bello vederti usare debian per una volta 😁, soluzione molto creativa il 404 ! Io uso il “port knocking” per farmi aprire SSH , soluzione adattabile anche per wg!
altra soluzione che adottai qualche tempo fa, per una cosa simile, fu un bot privato su telegram hostato su una istanza di node red (containerizzata su un raspy): ad un comando preciso, rappresentato da un bottone, avviava/stoppava un container :)
Ciao Morro !
Ce l'ho, ce l'ho (il serverino VPN su Raspberry Pi rev. B prima serie con 512 Mega di Ram, e non fa solo quello!)
Io ho optato per cambiare la porta, dopo l'esperienza che ho avuto con la telecamera del negozio di mia nuora. Cambiata la porta, più nessun attacco! (prima avevamo dovuto resettare a 'fabbrica' la webcam un paio di volte!
Uso la VPN da fuori per arrivare ai pc di casa, ma anche per stampare da fuori (lo so che è strano, ma lo faccio ...)
Ottimo lavoro, ragazzo!
OS: Manjaro, dappertutto a casa.
Prima versione Linux vista: 1. qualcosa, anni 90
Prima versione linux installata: Ubuntu, verso il 2005 - 2006 (dovrei avere i dischi da qualche parte)
Evvabbè, sovvecchietto. Ho visto nascere un po' tutto quello che ora si da per scontato ... primi programmi in università, su un Cray-1, in Fortran, anno 73 suppongo
Fra poco son 70.
'notte !!
Ciao Morro, grazie infinite per questo video\tutorial finalmente dopo anni di tentativi sono riuscito a configurare una connessione veloce e sicura alla mia lan, Ottimi consigli come sempre.
Mi accodo.. stessa situazione e soluzione... al momento non so perche' non arrivo al mio router mentre le share le navigo tranquillamente ma lo scopriro' 😀
L'avevo fatto, proprio con PiVPN, combinandolo con Pi-hole come DNS e andava alla grande: oltre a poter accedere alla LAN, la connessione era anche protetta da pubblicità e traccianti. Di recente, l'ho dismesso per non avere troppi dispositivi accesi e ho tenuto la VPN del NAS (che purtroppo non ha Wireguard) e NextDNS al posto di Pi-hole.
Per ora è tutto sperimentale ma non è detto che un domani non lo ripristini.
Bella serie comunque.
Stessa situazione meccanismo simile. Sfruttando il servizio di hosting gratuito di altervista e con una semplice pagina php potevo creare o cancellare un file a seconda dei parametri ricevuti. Sfruttando un meccanismo così semplice é anche possibile usare i Comandi Rapidi dell’iPhone per accendere o spegnere il servizio con un click😉
@morro, visto che non si trovano contenuti validi sul tema, ti suggerirei di fare un video-approfondimento sui config di wg (vpn site to site, routing vpn ecc ecc). Sarebbe molto interessante, fatto alla tua maniera!
magari non in italiano, ma contenuti validi ne trovi a quantità. Per morro devi aspettare che si studia un poco meglio la faccenda, visto che sta impazzendo con script vari per attivare/disattivare da remoto un server vpn dietro nat, che se fosse configurato a dovere porrebbe la porta su TLS-Auth o discovery protection (wireguard) consentendo di lasciare il server sempre operativo... e la porta totalmente stealth a qualsiasi portscan....
@@giux900 server vpn dietro nat? Ma non devi avere ip pubblico? O per nat intendi dietro un comune router?
@morrolinux
Una idea ulteriore e praticabile per accendere e spegnere il conteiner è, invece di creare una pagina web, l’invio di una semplice mail formattata in modo particolare. Lo script di ascolto analizza una casella di ricezione e con la stessa logica accende il conteiner (e lo spegne) 😊 è carino questo metodo perché non ha limiti di utilizzo, puoi esplicitare comandi, fare in modo che alla lettura la mail venga eliminata in modo che non rimanga traccia
Ottimo video. Io utilizzo Netmaker su VPS che è connesso via VPN ad altri 2 VPS, uno con docker dove pubblico i vari servizi che mi servono (guacamole, nginx proxy manager...) ed uno interno alla lan che funge da GW per i client esterni. Creo le configurazioni Wireguard direttamente dall'interfaccia di Netmaker e così do accesso ai client alla LAN dall'esterno. Funziona tutto molto bene.
Per quanto riguarda l'avvio del servizio puoi farlo in diversi modi, magari anche interrogando un DNS TXT .
video top, e bello vedere sempre qualcosa di nuovo su RUclips, adoro come fai video e spero di arrivare in alto come ci sei riuscito te
Leggendo i vari commenti vedo che molti hanno manifestato esigenza di poter attivare e disattivare la vpn da remoto.
La soluzione più stabile, efficace e veloce è usare un raspberry pi zero dietro una Smart plug.
L’unica accortezza è spegnere il raspberry via ssh (o telegram o altro) prima di spegnere la Smart plug.
Io sto facendo così da più di otto anni e non ho mai avuto un buco di servizio.
Ottimo video, io ho utilizzato un bot telegram per attivare o spengere servizi.
Molto figa anche questa soluzione!
Ottimo. Creato... deployato e funzionante. Il Qrcode è molto più brigativo in effetti.
Sul router Iliad c'era opzione VPN ma effettivamente è esposto troppo ad attacchi....
Ciao Morro, tempo fa usai il "Port Knocking" per accedere alle porte del servizi di cui avevo bisogno. Volendo si può anche far partire il servizio stesso anzichè far aprire la porta che serve. Cmq, bel video! Grazie.
video utile, wireguard è un software strepitoso.
Hai mai provato servizi come zerotier? così non bisogna aprire porte, fare forwarding o usare ddns.
Inoltre puoi connetterti anche agli altri dispositivi connessi, se c'è la necessità (routerOS dei mikrotik ce l'ha integrato di base).
Poi se l'obiettivo è non dipendere da servizi esterni e si ha a disposizione un vps si può installare un private root server lì ;)
Questa frociata della vps é eccezionale ❤
concordo! lo metto su
tra l'altro non penso sia necessario avere un vps: secondo me basta un pastebin online che possiamo modificare con il nostro account
ciao secco!
Ciao Moreno, bellissimo video😉
come ho risposto a ...
io utilizzerei uno shelly(o sonoff)
quando chiudo il contatto(rele') avvio il server vpn
altrimenti quando apro il contatto stoppo il server vpn
COMUNICANDO attraverso homeassistant
😉
Tempo indietro quando qualcuno mi citofonava si chiudeva il rele' tramite homeassistent mi mandava(oltre la notifica dello shelly) una notifica telegram che qualcuno aveva citofonato
👋😉
(spero che mi sono spiegato) e aguzzate l'ingegno😉
Per quanto riguarda l'avvio da remoto, io utilizzo un' istanza di Home Assistant con dominio pubblico e un add-on apposta per controllare le istanze di proxmox.. così posso avviare (e spegnere) da li il mio lxc di wireguard ed avere accesso alla rete locale.
Potresti usare un bot Telegram per avviare il servizio ed avresti anche la risposta sull'effettiva apertura/avvio del servizio oppure farti restituire l'errore se qualcosa va storto. Ovviamente andrebbero aggiunti dei criteri di sicurezza in più visto che comunque è un bot pubblico
Ciao morro, per rispondere alla tua domanda. Io ho installato termux su un vecchio telefono (un j3 del 2016) su cui ho scritto una piccola API con flask. Quando contatto dall'esterno questo servizio il telefono invia un magic packet al pc dove è installato proxmox che si avvia avviando di conseguenza anche il container dato che non posso tenerlo accceso h24 per i consumi
Ciao Morro, questo video fighissimo lo vidi mesi fa, e presi appunti, feci delle prove ma fallirono, anche per l'osticita della vodafone station.
Dopo tantissimo tempo, stasera, mi sale il trip di volerci riprovare e ci riesco , quasi al primo colpo! La prova l'ho fatta su una vm ubuntu server creata al volo con virtualbox e li installare pivpn (che ho trovato in rete, il video l'ho rivisto perché dopo esserci riuscito volevo rivedere il tuo trick con la pagina web 😅). Mi aveva un po bloccato l'ip statico, cosi ho risolto in un modo leggermente diverso: ho lasciato che pivpn configurasse il dchp in modo automatico, ho lasciato il dchp dinamico sulla vm ubuntu creata al volo, ma ho impostato una regola di assegnazione ip sulla vodafone station al mac address crea virtualbox ha generato, e cosi mi evito a valle il disagio del ip statico sul container e sulle fasi pivpn.
Per il resto sono felicissimo, posso accedere a casa mia da dove voglio con wireguard che è devastante!
Ora mi guardo il trick della pagina online (ho una vps e potrei rispolverarla all'uopo lol) e vediamo che combino!
Dato che ci sono mi studio anche proxmos che è figo non lo conoscevo.
Grazie mille che storia! Ciao
Ma port knocking?
Ci stava dai :3
Molto utile questo video, sempre molto chiaro. Grazie
Ottimo Morro, non so se lo sai ma tramite il modem/router della FRITZ "fritz box OS", si riesce a creare una VPN personale con e configurabile ad ogni dispositivo.....!!!!
Mi trovo bene soprattutto se devo operare sul modem o se devo collegarmi alle host in casa....!!😊
grazie per questo utilissimo tutorial. Spero che 1x06 riguarderà come rendere trusted domain con un self certificate l'accesso al sito del cloud. In questo modo diventerebbero accessibili anche applicazioni come il calendario da applicazioni esterne.
Grazie Morro! Aspettavo giusto questo video :)
ottimo sistema. io di solito come meccanismo utilizzo una pagina php (protetta da login) con interfaccina responsive che possa quindi aprire da smartphone con uno switch stile OS (accendi/spegni) che setta una variabile in un db o un semplice file di testo con all'interno 0=spegni oppure 1=accendi. A quel punto in cron chiama un un wget di un un 2° file php che restituisce il contenuto di quel file di testo. Il vantaggio è che così non devi aprire connessioni FTP ma fai tutto da smartphone.
Ottimo sistema quello di usare una pagina web per accendere e spegnere la VPN a occorrenza. Personalmente uso da anni il mio broker mqtt per accendere i vari servizi quando mi servono. Così regolo gli uptime solo quando mi servono. L'ho integrato abbastanza bene nei miei script bash in esecuzione costante. Sono sicuro dell'esistenza di metodi più efficaci ma ancora non l'ho scoperti. Che bella l'informatica, soprattutto quando ti rendi conto che per fare la stessa cosa ci sono almeno 500 metodi diversi ❤️
Salve volevo dirle che chi ha un modem avm friz box non serve fare quello che hai detto perché integra già queste cose, devi solo avere un account avm e ci peserà lui ad fare tutto lui, ti dare un url invoco colegato al tuo account, seguito da indirizzo ip interno del singolo dispositivo, e ha wingard e poi ha myDNS cioè crei un indirizzo ip fisso anche se celai dinamico
Grande come sempre Morro
Per attivare la VPN quando non sei in casa non potresti creare un cron che ogni tanto controlla se il tuo smartphone è raggiungibile in LAN? Ad ogni modo video interessantissimo, grazie!
Ottimo contento. Con wireguard e' possibile configurare site to site?
Senza usare un servizi per l'ip si potrebe usare un bot telgram che va legere l'ip e lo invia in automatico a sesteso in maniera che unaltro programa legge l'ip su un altro dispositivo e si sincronizi ?
Per avviare la vpn dall’esterno non si potrebbe anche sfruttare telegram-cli?
Ho installato da meno di un mesetto OpenVPN sul serverino di casa per accedere da fuori. Non ho però alcun modo per attivarlo a piacimento, anche se, a partire dalla tua idea, credo non sarebbe molto difficile fare una cosa simile semplicemente modificando a piacimento un pastebin dal cellulare e impostare lo script per verificarne il contenuto
bravissimo, fantastico e utile video
Interessante però se va male devi aspettare 10 minuti per accedere dall'esterno. Nella maggior parte dei casi quando vuoi entrare in vpn hai urgenza. 😛
Io sinceramente ho wireguard impostato sul frizbox quindi è sempre li pronto e lo uso per accendere o spegnere in un attimo le vm e fare il wake dei containers... Forse non è la soluzione più sicura ma, sgratt sgratt, fino ad ora non ho mai avuto alcun problema di sicurezza
informazioni preziose! video top come sempre, ti consiglio un servizio utile a riguardo: ngrok
sarebbe interessante un video a riguardo :D
Ciao Morro io mi sono configurato una mesh VPN (TincVPN). Ho diversi nodi, alcuni sotto la solita subnet, così posso accedere ad ogni subnet. L'unica cosa é avere almeno un nodo con ip pubblico (nel mio caso ne ho due, una vecchia hyperlan con ip pubblico statico ed una vps). Tinc supporta inoltre il nat hole punching, quindi si puo collegarsi direttamente ad alcuni odi. Fammi sapere che ne pensi! PS: Complimenti per i tuoi video!
Ciao Morro, io usavo un metodo simile al tuo ma basato su un google drive montato sul mio server ed il contenuto di uno specifico file per attivare/disattivare il servizio.
bel video..sempre molto bravo nello spiegare.. io ho risolto il problema dell automatismo realizzando uno script per telegram con cui interagisco da cell.. ..
Grande video come sempre. Grazie Morro. Per accendere il container ci si potrebbe mandare una e-mail sulla propria casella di posta con un contenuto definito? Che ne dici?
Ciao. Per il riavvio automatico del container cosa hai usato? Crontab sul container o su proxmox?
Per creare un dominio, si potrebbero adoperare alternative come duckdns o dyndns, no?
Ma usare tailscale, netmaker o altre soluzioni sempre open source ? No porte aperte, no DDNS
Ciao Morro, sono un tuo studente, ho comprato tutti I tuoi corsi su Linux e networking e li sto seguendo pian piano. Io per accedere al mio serverino casalingo dove ho casaos con syncthing e altri container, uso Tailscale. Lo hai mai provato? Mi piacerebbe sapere una tua opinione.
@morrolinux ... davvero molto interessante, lo vedo in ritardo rispetto all'uscita , ma è davvero interessante. Secondo te, è una soluzione utile per lavorare in team da casa con altre persone ? Oppure è più pratico avere una classica configurazione con un Server VPN che fa da Master collegato ad uno SLAVE fuori sede ?
Ciao, complimenti per il video. Forse è leggermente off-topic, ma si potrebbe connettere un cellulare in tethering USB sulla Zimaboard come fallback della connessione ADSL/FIBRA nel caso questa fosse indisponibile ?
Ciao sicuramente witeguard funziona benissimo niente da dire ma penso anche openvpn nella versione openvpnas con due connessioni in contemporanea full funzionalità sia inarrivabile come integrazione gestione ed opzioni. In più il portale accesso backend client e fantastico. Per auth consiglierei radius server in modo che dopo X tentativi blocca l'accesso da quello ip quindi risolvi il problema dell'autorizzazione remota per X tempo e quindi risolvi il problema della sicurezza, livio
in teoria tutti i dispositivi connessi tramite Wireguard accedono ad internet globale con lo stesso public ip, di conseguenza alcuni servizi che ultimamente hanno questo requisito per accesso/per il non ban possono essere usufruiti lo stesso 😶🌫😶🌫
Chiaramente con le regole di routing puoi anche tenere la navigazione fuori dal tunnel VPN e quindi "dall'IP unico"
Parli di Net**x? Hai già provato? Funziona?
Ciao Morro. Io per una operazione più o meno simile utilizzo una chat di Telegram. Ho uno script in node che rimane in ascolto e quando riceve un nuovo messaggio applica una espressione regolare alla stringa. Se la condizione è valida avvia il servizio.
Sei geniale!
Buongiorno il suo tuttorial è molto preciso e dimostra la sua competenza ! Vorrei porle una domanda: è' possibile installare wireguard su un server che utilizza una sim per la connessione internet?
Grazie infinite per una sua risposta.
Anch'io come te ho un VPS. Nel mio caso ho installato il wireguard server sul VPS e il Raspberry a casa è configurato con wireguard client sempre connesso al VPS (nessuna porta aperta sul router adsl, e non serve ip fisso). Quindi se voglio entrare a casa passo per il VPS; occorre configurare opportunamente il lato server con routing e firewall (masquerade e forward)
Ciao Moreno, ottimo video, lo stavo aspettando. Io ho un indirizzo ip statico, immagino possa usare la stessa procedura, ma se così non fosse quale potrebbe essere l'alternativa al programma "no ip" ed in generale la procedura per arrivare allo stesso risultato? Grazie!!!
Ciao! Si puoi usare la stessa procedura. Tecnicamente se è statico non hai neanche bisogno di inserire le credenziali nel modem/router perché ti basta impostarlo una volta dal sito di no-ip come ho fatto nel video. Oppure se non vuoi usare no-ip puoi sempre acquistare un dominio DNS e creare un record A per puntare al tuo IP statico :)
Lo sponsor è la chicca 😂🤣🤣
SudVpn è il top 😉
In riferimento alla tua strategia per avviare la VPN.. io farei un app su cell e il suo corrispettivo su computer che genera un periodo di tempo di on.. generato del giorno dall' anno e da un codice (seme) che imposti sia sull app sia sullo script .. senza che ci sia scambio di dati tra app e script..
Ciao Morro, io ho creato uno script che controlla se il mio cellulare e' connesso a wifi tramite commando arp e MAC address matching. In questo modo, tramite crontab posso attivare o disattivare alcuni servizi (come ad esempio la VPN per l'accesso esterno). Ovviamente, cosi' la VPN e' attiva anche se non mi necessita. Siccome lo avevo gia' fatto per il mio sistema di video sorveglianza, l'ho riutilizzato anche per altri servizi
Ciao Morro,
Prima di tutto complimenti per i video che fai.
Vorrei sapere che soluzione hai adottato per lo spegnimento e l'accensione automatica della zima, mi servirebbe anche a me spegnere la zima la notte.
Grazie
Video perfetto! Specifico che io tempo fa feci la stessa cosa, ma quando passai a ftth e l'operatore mi mise sotto rete nattata il giochino smise di funzionare e passai a cloudflare tunnel
Eolo lo da di default lo satico fisso.
Ciao! Se io volessi sincronizzare le foto del mio telefono e salvare i miei documenti sul mio Cloud personale o accedere a home assistant, ma dietro un CGNAT, come posso fare? Attualmente uso cloudflare, ma senza protezioni
Seguo, il problema è il CGNAT, quando si è via FWA. Sarebbe interessante facesse approfondimenti su soluzioni come Headscale, Netbird, ZeroTier, ecc
@morrolinux Ti prego! Facci un video sulla crittografia end-to-end per ogni utente del cloud (in modo che l'admin non possa vedere i file di altri). Nextcloud fa pena in questo, e con Immich come faccio? Non esiste soluzione?
parlerai di BlackArch ?
salve a tutti, ho installato Wireguard su raspberry PI4B e tutto funziona per accesso da esterno, ho provato stessa procedura per Zimaboard e non funziona, avete suggerimenti ? cosa cambia tra le 2 piattaforme hw ? OK una e' ARM64 e l'altra e' x86 64bit..ma come righe di Linux cosa cambia ? Qualcuno puo' aiutarmi ? non ho installato un container ma con righe di comando da Putty. Naturalmente in entrambi ho Debian aggiornatissimo. Grazie
Ciao!! Con le connessione in LTE, dove l'IP è nattato (quindi quello della conessione non corrisponde a quello del router), si può utilizzare questo stesso sistema per accedere al Rasp?
Ciao, sono sotto rete Nat ( linkem ) posso seguire questa guida
grazie
No, ma puoi usare tailscale!
Ciao @morrolinux, fantastico video. Ti chiedo se ti va, di fare un video su Wireguard, piu' particolare, dove:
- Un server Wireguard A, si connette ad un server Wireguard B, in split tunneling.
Cosi che un client mobile, se si connette al server wireguard A, ha accesso all'intera rete del server Wireguard A, ma anche del server Wireguard B.
E anche viceversa, ovvero se il client mobile, si connette al server Wireguard B, raggiunge tutta l'intera rete del server Wireguard A, oltre che B.
Questo perchè?
Perchè sui client mobile di wireguard, non ci si puo' connettere a piu' di un server contemporaneamente.
E quindi avendo piu' di un server Wireguard, risulta impossibile raggiungerli entrambi nello stesso momento, ma bisogna switchare continuamente, cosa poco pratica.
Invece sul pc, in splitunnel, ci si puo' connettere a due server Wireguard in contemporanea, e raggiungere le reti del server Wireguard A e B.
In rete ci sono alcune guide, tutte provate e nessuna funziona, almeno utilizzando proprio Proxmox con VM e wireguard.
Spero tu possa fare un breve tutorial chiaro in merito.
Grazie come sempre per i contenuti
Ciao Morro, io ho un router wifi connesso a cascata LAN-WAN al router del mio aperatore che funge praticamente solo da modem. Tutti i dispositivi sono connessi al router wifi secondario. Quest'ultimo supporta la vpn wireguard. Ho impostato i ddns al router dell'operatore mentre la vpn al router secondario. Quando attivo la vpn sullo smartphone non riesco a raggiungere nessun dispositivo connesso al router secondario. Dove sbaglio?
Quanto a macchinosità per avviare il server VPN non mi batte nessuno: Wireguard gira proprio su Raspberry, alimentato con un alimentatore attaccato ad una ciabatta IP. Per accendere il server da remoto faccio riferimento alla cloud del produttore della ciabatta (su una rete wireless ad hoc wireless sulla quale girano solo dispositivi IoT): quindi mi autentico, faccio quello che devo fare e poi faccio fare lo spegnimento al Raspberry da shell. Quindi spengo la ciabatta da remoto quando ho finito. Quando siamo lontani da casa spengo proprio il NAS e lo riattivo nel caso in cui dovesse servirmi qualcosa in remoto, anche se per farlo devo temporaneamente togliere di mezzo l'UPS.
Per proteggere meglio hai valutato il port knocking per aprire la porta al bisogno? Io faccio così.
Scusate la domanda stupida ^^", io ho una connessione sotto NAT con ip privato, per cui anche aprire le porte non funziona. C'è qualche configurazione particolare da fare oppure è meglio che lascio perdere?
Ciao morro, il mio fritzbox consente di configurare una vpn senza bisogno di installare nulla su pc, inoltre come dns dinamico uso duckdns che, oltre a essere gratuito, non chiede il rinnovo periodico.
Io non userei mai un private DNS pubblico, forse solo di Quad9 potrei fidarmi
anche io uso wiregiard su fritzbox, ma non serve nessun ip statico o ddns perche il fritzbox da un indirizzo suo
@@Prorence wireguard su fritzbox è stato aggiunto successivamente e non l'ho ancora provato
ciao morro io invece il mio server nextcloud con zimaboard l'ho esposto tramite un tunneling cloudflare in ssl/tls su un dominio che ho acquistato con connessione forzata su https. su nextcloud ho impostato che la connessione del singolo utente debba avvenire con un user e pwd e autenticazione tramite authenticator. secondo te potrebbe essere un buon modo per proteggersi?
grazie
Io utilizzerei un'automazione con HomeAssistant che, quando esco di casa, si colleghi al container tramite ssh in locale per startare wireguard, poi quando rientro, lo spegne
Tutorial completo e interessante peró non riesco (dal browser) ad accedere agli IP locali.
Cioé la connessione VPN si attiva e funziona, tan'é che dal sito myip vedo i differenti IP, peró mi viene dato errore quando provo a caricare, ad esempio, la pagina del router
idee?
La cosa più semplice che ho potuto realizzare e in tempi brevi per poter far eseguire dei comandi ad un raspberry pi sotto rete 3g è stata quella di creare uno script php sulla mia pagina web con un nome particolare che per poter accedere dovevo usare una variabile get particolare altrimenti nn mi genera il form dove inserivo il comando e mi creava una riga in un file di testo con nome sempre particolare nella medesima root del file php (ovviamente sul sito è disattivato list dei file). Il raspberry recuperava il file ogni tot con crontab e comparava la dimensione del file dalla precedente verifica, se era diverso eseguiva l'ultima riga del file. Lo sò è una enorme schifezza! 😂
Buongiorno Moreno, io continuo sempre ad avere problemi. Nello specifico, quando mi connetto con il cellulare (iphone13) alla VPN dall'esterno, quest'ultimo smette di navigare e ovviamente non raggiunge la rete locale. Ho provato di tutto, il port forwarding è abilitato nel modo corretto, ma non riesco a far funzionare nulla. Potresti darmi un suggerimento? Grazie mille!
Ciao morro, video molto dettagliato, vorrei solo sapere una cosa, una volta collegati con la vpn il gateway per internet resta sempre il predefinito del client oppure diventa il gateway del server VPN di wireguard?
Il gateway resta quello predefinito di base però configurando il server di wireguard gli puoi fare pushare la configurazione dns e il gateway e in questo modo tutto il traffico generato dal client passa per la VPN(Per OpenVPN è così quindi suppongo si possa fare anche con WG ma non né sono sicuro)
Ciao, io ho un router Fritz in cascata con il router Iliad che di fatto serve solo per accedere ad internet, che configurazione devo dare ai router?
puoi fare un video su come configurare pi hole su wireguard dockerizzato?
Mi trovo in questo mesi a giocare con home assistant per poi passarlo in vera produzione At home.
Sicuramente si possono unire i due mondi e tramite presenza di Device at home, home potrebbe aprire e chiudere la vpn.
Comunque tutto bello e ne userò per passare da openvpn a wiregard ma....
Morro.. Urge in video di provate dns (pihole), reverse proxy e tutto sotto ssl da rete lan. Urge a me che sto fallendo miseramente a rendere funzionante sto caxxo di ssl hahhahha
Potrei installare wireguard sulla stessa bananapi su cui ho casa os installato? Magari utilizzando la rete cablata per casa os e la wifi per wireguard con un altro IP?
Io non riesco ad installarlo. Sono ancora mooooto ignorante in linux... Ricevo l'errore:
E: Package 'wireguard-dkms' has no installation candidate
::: Failed to install wireguard-tools!
::: Failed to install qrencode!
::: Failed to install linux-headers-amd64!
::: Failed to install wireguard-dkms!
Avevo usato un template debian 12. Usando l'11 funziona...
Io con Iliadbox e WireGuard integrato ☕️
Si potrebbe accendere il Server tramite un relè comandato da Alexa
Cmq sono cose che riusci a fare più di 20 anni fa con le prime connessioni ADSL e DynDns configurato nel modem, ma installando manualmente Apache, php server ecc..
Che ne pensi di fare un piccolo http web server sullo stesso container che esegue wireguard che ti permette di arrivare la VPN tramite tramite una pagina web? Ovviamente protetto da password (motivo per cui dovresti anche avere un certiticayo tls ecc ma puoi fartelo self-signed visto che non è pubblico oppure usare let's encrypt). L'unico problema è che dovresti esporre una porta aggiuntiva e avere un servizio aggiuntivo. Volendo questo stesso servizio può vontrollare periodicamente se ci sono connessioni vpn attive e disabilitare in servizio (nel caso ti fossi dimenticato di disabilitarlo).
Ciao Morro, Fantastico video, questa soluzione mi risolve un sacco di problemi, installato e configurato, su PC tutto OK, ma con android nonostante sia collegato non raggiunge i dispositivi in LAN... hai qualche idea?
Maaaa... Ho scoperto sull internet che la vodafone station contiene gia una VPN e ha un servizio ddns nascosto (con il dominio univoco facilemente recuperabile). Avendo a disposizione gia tutto vale cmq la pena usare wireguard e dominio ex-novo? In termini anche di sicurezza piu o meno maggiore dell uno o dell altro.
mi chiedevo oltre al cluod si può creare un dominio per il proprio sito a casa usando un pc?
Io finchè aspettavo questo video, volendo usare da remoto Jellyfin (opportunamente installato su un altro container di proxmox, col suo pool del nas, ecc), ho optato per creare un tunnel zero trust con Cloudflare, su un DNS di terzo livello del mio dominio. Tecnicamente non ho nessuna porta aperta all'esterno, non serve un IP statico ed il tunnel è criptato. Il tunnel può essere un alternativa alla VPN, o magari complementare se si vuole usare la VPN e attivarla come dici tu solo quando serve? Qual è la soluzione più "sicura"?
cosa ne pensi delle zero trust tipo twingate?
Ciao Morro, una domanda 🙋♂️.. io sono nella situazione in cui ho la rete di casa sotto 4G e quindi NATtata. Voglio collegarmi da un altra rete 4G (il mio smartphone) qui di altra rete natttata. Ricordo che anni fa avevo provato a fare questa procedura ma non c’era stato verso di collegarmi. Tu hai consigli? Visto il costo sempre più basso delle connessioni 4G e le prestazioni che spesso superano quelle dell’ADSL su rame credo che sarebbe interessante per molti 👍
zerotier o tailscale
@@davidevagginelli1678 grazie per la risposta, proverò a dargli un occhiata, anche se appoggiarmi a dei servizi terzi non era la mia principale intenzione 👍
@@stefanovesca8893 allora in questo caso headscale, è una versione selfhosted di tailscale, c'è anche un container docker e una webui. dovrebbe esserci qualcosa di simile anche per zerotier se non sbaglio
@@stefanovesca8893cerca wireguard bypass cgnat
Video ben fatto, complimenti. Non ho mai usato Wireguard ma dalla configurazione che ti ho visto fare, paragonato a openvpn mi sembra che funzioni solo in modalità tap e non consente l'utilizzo di tun. Quindi, per il mio modo di vedere, non posso gestire regole di traffico da device client vpn, oppure ho capito male?
In realtà quando crei i “certificati” WireGuard (che sono un mix tra chiavi e configurazioni) puoi specificare regole iptable e range ip raggiungibili.
alternativa carina con home assistant è fare switch on quando il telefono non è più connesso alla wifi
bravo
io utilizzerei uno shelly(o sonoff)
quando chiudo il contatto(rele') avvio il server vpn
altrimenti quando apro il contatto stoppo il server vpn
COMUNICANDO attraverso homeassistant
😉
Tempo indietro quando qualcuno mi citofonava si chiudeva il rele' tramite homeassistent mi mandava(oltre la notifica dello shelly) una notifica telegram che qualcuno aveva citofonato
👋😉
(spero che mi sono spiegato) e aguzzate l'ingegno😉
ma usando la vpn con wireguard (utilizzando noip non avendo un indirizzo ip statico) non c'è bisogno che inserisca il certificato ssl al server per avere un https?
Ho un router Mikrotik con server wiregard integrato. Il port knocking sarebbe facile con RouterOS, ma l'idea letta qui del bot telegram/matrix mi piaccia, mi piaccia un frego.