Ora puoi creare la tua VPN Remote Access economica, personalizzata e sicura con WireGuard, sfruttando la potenza di un router piccolo piccolo dal costo ridicolo per accedere alle risorse del tuo ufficio. Oppure per guardare la TV in streaming del tuo abbonamento, quando sei in vacanza o lontano da casa.
Con il Router VPN GL.iNet GL-MT300N-V2 “Mango” puoi infatti creare la tua VPN Remote Access a basso costo per accedere alle risorse del tuo ufficio. Oppure semplicemente per guardare la TV in streaming del tuo abbonamento Netflix, Dazn o altro, anche quando sei in vacanza o lontano da casa.
In passato, in questo blog ci eravamo concentrati sulla installazione e la configurazione di WireGuard VPN con Raspberry Pi implementando PiVPN. Abbiamo però dovuto constatare un discreto grado di complessità per raggiungere l’obbiettivo, al punto che più di qualcuno, scoraggiato, ha desistito dall’impresa. In fondo, non a tutti piace la linea di comando, soprattutto di Linux; inoltre PiVPN è piuttosto avara di interfacce Web e quali tutto il lavoro lo si fa a linea di comando.
Nel frattempo, inoltre, abbiamo anche dovuto prendere atto che il prezzo del Raspberry Pi è in continua inesorabile crescita, tale da rendere il costo complessivo dell’intera implementazione non più così vantaggioso; o comunque, non più così a buon mercato come inizialmente ipotizzato. In aggiunta, le versioni un po’ più datate del nostro amato Single Board Computer (SBC), che potrebbero comunque essere adatte all’uopo, iniziano ad essere reperibili con difficoltà .
C’è poi l’aspetto sicurezza da non sottovalutare. Con Raspberry, abbiamo a disposizione un’unica porta Ethernet; il che rende praticamente impossibile separare fisicamente il traffico LAN dal traffico WAN.
Addentriamoci dunque immediatamente nel setup del della nostra Rete Privata Virtuale con il Router VPN GL.iNet.
L’obbiettivo di questo tutorial
In un recente post, abbiamo parlato diffusamente delle più popolari tipologie di VPN che si possono realizzare e delle loro sottili ma sostanziali differenze.
In questo post vogliamo realizzare una VPN Remote Access, una Rete Privata Virtuale che ci permetta di accedere alle risorse di una rete remota, ovunque ci troviamo. Nella fattispecie vedremo come implementare una configurazione del Router GL.iNet per accedere alla LAN di casa, oppure del nostro ufficio. In questo modo potremo navigare in internet con l’indirizzo IP assegnato dal nostro provider casalingo.
Supponiamo cioè di trovarci in vacanza in uno stato estero ad esempio in Finlandia o a Singapore. Supponiamo inoltre che, tornati in albergo, vogliamo accedere alle nostre amate serie TV in streaming (ad esempio, Netflix) con il nostro account personale. Tutto questo, utilizzando la rete WiFi dell’hotel.
È abbastanza probabile che in questa condizione il Signor “Netflix” potrebbe decidere di non farci accedere ai contenuti italiani dal paese in cui ci troviamo. Dovrò quindi rimandare la visione dei miei eroi, una volta tornato in patria? Non direi. Qualcosa si può fare, per risolvere il problema; le soluzioni tecniche non mancano; vanno solo implementate.
In una situazione come quella appena illustrata può sicuramente tornarci utile poter disporre di un Router VPN. Quest’ultimo, collegato alla LAN di casa ed opportunamente configurato può essere raggiunto da internet realizzando così un VPN Remote Access.
Attenzione! Verifica prima con il tuo provider (nell’esempio, Netflix) se ti è consentito accedere ai contenuti in questa modalità .
Preliminari: Prima del VPN Remote Access
Prima di iniziare a mettere le mani sul nostro nuovo Router VPN destinato a diventare un server VPN WireGuard, sarebbe opportuno preparare preventivamente il campo con:
- Tutto il materiale hardware necessario
- Collegamenti iniziali (Cavi, Ethernet, alimentazione, e quant’altro)
1 – Materiale necessario
Di cosa avremo bisogno per realizzare la nostra VPN personale?
- Un Router VPN GL.iNet GL-MT300N-V2 “Mango”;
- Due cavi Ethernet CAT 5e (o superiore) di circa 50 cm;
- Un LAN Switch 4 porte 10/100/1000 Mbps (Opzionale);
- Un computer, un tablet o semplicemente il tuo Smartphone;
- Pazienza, Voglia di fare e tempo a disposizione: Quanto basta.
2 – Collegamenti iniziali al Router VPN
Dopo aver collegato il cavo di alimentazione USB per l’alimentazione, colleghiamo il cavo Ethernet tra la porta WAN del nostro Router VPN GL-iNET “Mango” ed il Modem/Router internet, quello che ci ha fornito il provider, per intenderci (TIM, Vodafone, Wind, eccetera).
L’immagine che segue illustra lo schema generale della rete che vogliamo realizzare con l’aiuto di questo tutorial.
Per lo scopo di questo tutorial, non utilizzeremo la porta LAN del Mini Smart Router GL-iNET, in quanto non accederemo alle risorse della LAN, ma sfrutteremo il collegamento DSL o Fibra Ottica di casa per l’accesso ad internet tramite il Modem/Router.
Impostazione iniziale del VPN Remote Access
Non appena tutto è collegato e funzionante, dal computer collegato alla porta LAN, punta il browser all’indirizzo del Router VPN, tipicamente: https://192.168.8.1
. Se tutto funziona normalmente, raggiungerai la pagina di login del tuo Router VPN.
Se è la prima volta che accedi allo Smart Router “Mango”, o se in precedenza è stato effettuato un “Reset”, ti verrà presentata una pagina dove sarai invitato a scegliere di impostare la lingua dell’applicazione. Imposta la lingua che preferisci e clicca Successivo
(per lo scopo di questo tutorial ho scelto la lingua Italiana).
La pagina successiva è anch’essa mostrata solo se il Router VPN “Mango” è nuovo, oppure se è stato effettuato un “Reset”. In questo pagina dovrai impostare la password di accesso al tuo Router VPN; quella che da utilizzare per accedere all’interfaccia web. Imposta la password sicura scegliendola con cura e clicca Inoltra
.
Raggiungerai finalmente la pagina iniziale del Router VPN.
Diamo ora un rapido sguardo alle impostazioni generali del Router VPN GL-iNet.
1) Impostazione indirizzo IP statico del Router
Per poter raggiungere il Router VPN da internet, è indispensabile che l’indirizzo IP di quest’ultimo sia noto e raggiungibile dal modem/router; pertanto dovrai impostare manualmente l’indirizzo IP Statico del Router VPN GL-iNet. Per impostazione predefinita (Default) il Router GL-MT300N-V2 assegna il proprio indirizzo IP in modo dinamico richiedendolo al Modem Router internet sulla sua porta WAN, tramite il protocollo DHCP
.
Imposta ora un indirizzo IP statico sulla porta WAN del Router GL-iNet, dalla interfaccia web, Web:
- Accedi al Menu
INTERNET
- Nella sezione
Cavo
, clicca il pulsantemodifica
; - Inserisci i valori nei campi richiesti (come nell’esempio che segue);
- Quando completato, clicca sul pulsante
completare
.
Nell’esempio qui sotto ho riportato i dati da me impostati per l’ambiente di prova di cui è stato fatto cenno più sopra.
Protocollo Static indirizzo IP 192.168.1.253 maschera di rete 255.255.255.0 porta (Gateway) 192.168.1.1 DNS server 192.168.1.1
La tua rete locale LAN potrebbe avere degli indirizzi IP diversi. Gli indirizzi IP che inserisci qui dovranno essere coerenti con gli indirizzi IP consentiti dal Modem/Router del provider internet. Soprattutto l’indirizzo IP da assegnare deve essere univoco nella rete.
2) Impostazione della LAN
A meno che non sia strettamente necessario, per gli scopi di questa implementazione, sconsiglio vivamente di modificare gli indirizzi IP della LAN del Router GL.iNET.
Lasciamo quindi inalterati i parametri della rete locale LAN che si trovano nel Menu PIÙ IMPOSTAZIONE
> IP RETE LOCALE
> IP LAN
.
3) Impostazione WiFi
A meno che non sia strettamente necessario, sarebbe auspicabile che anche la rete WiFi possa rimanere disabilitata. Ricordiamo che tra gli obbiettivi originari che ci siamo dati nel realizzare la nostra VPN Remote Access, non è previsto l’accesso ai dispositivi sulla LAN.
Per disabilitare tutte le reti Wireless del Router GL-iNet:
- Disabilita la rete Wireless dal Menu >
WIRELESS
>2.4G WiFi
e Clicca, portando il il selettore suOFF
; - Disabilita la rete Wireless dal Menu >
WIRELESS
>2.4G Ospite WiFi
e Clicca, portando il il selettore suOFF
;
4) Impostazione del DNS Dinamico (DDNS)
Il nostro fornitore (provider) dei servizi internet, tipicamente assegna al nostro modem/router un indirizzo dinamico. Con questo presupposto, potrebbe essere piuttosto complicato raggiungere il modem/router da una postazione qualsiasi in internet, se non conosciamo l’indirizzo IP corrente del nostro modem/router.
C’è da dire però ce il nostro Router GL-MT300N-V2 ci viene in soccorso, mettendoci a disposizione il comodissimo supporto per il DDNS (Dynamic DNS); davvero molto utile in questi casi.
Il supporto DDNS può essere abilitato dall’interfaccia Web al Menu Applicazioni
> Accesso Remoto
> Dynamic DNS
> Abilita DDNS
.
Il servizio impiegherà qualche minuto per iniziare a funzionare a dovere. Questo perché il Router GL-MT300N-V2 esegue un “Polling” ad un server pre-impostato con cadenza di qualche minuto (per non sovraccaricare la rete).
Notare che l’attivazione del servizio DDNS richiede l’accettazione della Politica sulla Privacy e dei Termini di Servizio di GL.iNet. A tale proposito, va ricordato che i servizi DDNS utilizzano necessariamente l’indirizzo IP della nostra connessione internet per poter funzionare, con un seppur minimo impatto sulla privacy.
Non ci sarà bisogno di abilitare alcun altro servizio dal pannello Dynamic DNS
; per motivi di sicurezza è preferibile limitare il numero dei servizi esposti. Non abiliteremo quindi l’accesso da remoto HTTP
, HTTPS
, né SSH
; potremo comunque accedere al Router GL.iNET da remoto tramite VPN, come vedremo tra un po’.
Impostazioni del VPN Remote Access
Ora che le impostazioni di base del Router GL-iNet sono state consolidate, possiamo passare al setup della VPN WireGuard.
1) Inizializzazione del Server WireGuard
Prima di tutto accedere alla pagina del server WireGuard al Menu: WireGuard Server
. Se il server WireGuard non è ancora stato inizializzato ti verrà mostrata una pagina che ti invita ad inizializzare il server.
L’inizializzazione del Server WireGuard è un’operazione rapida ma cruciale per il corretto funzionamento del server e per la sicurezza della crittografia. Parte dell’inizializzazione del server WireGuard comprende la generazione delle chiavi di crittografia.
Nella fattispecie verrà generata la chiave privata (che dovrà essere mantenuta assolutamente segreta) e la chiave pubblica del Server, che dovrà essere comunicata ai Client per la connessione VPN. Ma di questo ci occuperemo tra poco.
A completamento della inizializzazione del server WireGuard (che dura pochi secondi), nel Menu WireGuard Server
> Stato
, sarà possibile in qualsiasi momento verificare lo stato del server WireGuard, oltre agli utenti VPN correntemente collegati.
2) Configurazione del WireGuard Server per VPN Remote Access
Una volta inizializzato, il server WireGuard deve essere configurato correttamente.
Il software del GL-iNet ci viene in aiuto, in questa circostanza, proponendoci una configurazione predefinita per il VPN Remote Access. In particolare, le impostazioni di Default sono:
Consenti accesso alla rete locale: Off indirizzo IP: 10.0.0.1 Porto locale: 51820 Indirizzo IPv6: fd00:db8:0:abc::1
Dove il parametro Indirizzo IP
è l’indirizzo IPv4 del Tunnel (voce viene terminato il tunnel); il parametro Porto locale
è la porta UDP dove il server WireGuard è in ascolto. Il parametro Indirizzo IPv6
non viene utilizzato in quanto nelle impostazioni predefinite l’Internet Protocol versione 6 non viene tipicamente attivato.
Per quanto concerne il parametro Consenti accesso alla rete locale
, per gli obbiettivi di questo post, manterremo l’opzione spenta (Off
) in quanto non vogliamo che i client VPN collegati possano accedere alle risorse interne della LAN. Da sottolineare che più sopra abbiamo intenzionalmente evitato persino di collegare la rete LAN del Mini Router VPN GL-iNET.
Per avviare il server WireGuard, clicca sul pulsante inizia
. Il servizio WireGuard verrà avviato ed il server sarà in ascolto sulla porta UDP/51820
. Se tutto funziona come si deve, la voce di Menu WireGuard Server
si illuminerà di un bel colore verde smeraldo; qualcosa di molto simile all’immagine qui sotto.
3) Creazione utente per VPN Remote Access
Ora che il Server è stato inizializzato ed avviato, è giunto il momento di creare gli utenti che saranno autorizzati ad utilizzare la nostra VPN Remote Access.
La creazione di un utente per l’accesso alla VPN di WireGuard consiste nella definizione dell’utente lato server e nella creazione di un file di configurazione da installare ed utilizzare all’interno del dispositivo Client.
Per creare un nuovo utente procedere come segue:
- Accedere al Menu:
WireGuard Server
>Gestione
; - Pulsante
+ Aggiungi un nuovo utente
; - Nel Pop-Up inserire il nome per il nuovo Client (Es:
MioSmartphone
); - Pulsante
Aggiungi
per completare; - Il nuovo utente è mostrato nell’elenco degli utenti nel Menu:
WireGuard Server
>Gestione
.
Al termine della procedura, se l’utente è stato creato correttamente, la pagina Menu: WireGuard Server
> Gestione
dovrebbe mostrare qualcosa di simile all’immagine seguente.
Puoi visionare in qualunque momento la configurazione di uno qualsiasi dei Client che hai creato, cliccando la piccola icona a forma di File nella riga del Client prescelto, alla colonna Configurazione
. Si aprirà un Pop-Up che ti permetterà di visionare la configurazione in diversi formati:
Questa è la configurazione del Tunnel VPN WireGuard in formato QR Code:
Mentre questa è la configurazione del Tunnel VPN WireGuard in formato testuale:
Tutto pronto per passare allo step successivo; ovvero, cominciare ad utilizzare la VPN con i tuoi dispositivi Client.
Il file di configurazione WireGuard VPN dell’utente
A questo punto non resta che utilizzare il file di configurazione, generato poco fa, dal tuo dispositivo Client preferito (Spartphone, Tablet, PC Fisso, Laptop, o qualsiasi altro dispositivo in grado di utilizzare WireGuard VPN come dispositivo Client.
Installare un file di configurazione in un PC Windows 10 o superiore è un’operazione estremamente semplice. Ne abbiamo già approfonditamente e con ricchezza di dettagli in un precedente post dedicato appunto a WireGuard ed ai Tunnel Criptati con Windows, per cui non ci dilungheremo oltre sull’argomento.
Per quanto riguarda invece l’installazione di un file di configurazione per WireGuard all’interno di uno smartphone l’operazione è ancora più semplice.
Che si tratti di uno smartphone Android o IOS non fa poi molta differenza; l’interfaccia utente è pressoché identica per entrambe le tecnologie.
- Installa l’App WireGuard dal App Store, del tuo smartphone (Android o IOS);
- Avvia l’App WireGuard;
- Seleziona “Aggiungi un nuovo Tunnel”;
- Seleziona
Scansiona da codice QR
; - Inquadra il codice QR della Configurazione Tunnel in formato QR-Code vista più sopra;
- Il nuovo tunnel viene creato automaticamente.
Non resta altro da fare che “accendere” il Tunnel WireGuard ogni volta che ne avrai bisogno.
Tips & Tricks di VPN Remote Access WAN
In questa sezione ho voluto riportare alcuni importanti avvisi per implementare la tua VPN Remote Access WAN in tutta sicurezza.
- Non utilizzare le configurazioni degli esempi. Sono per l’appunto configurazioni di esempio; quindi semplici ed alla portata di chiunque legga questo post. Si corre il serio rischio di mettere a repentaglio la sicurezza!
- Evitare di utilizzare le configurazioni di Default. Come sopra. Anche se non sono configurazioni di esempio ma pre-impostate dal costruttore, spesso non sono il massimo della sicurezza e si corre il rischio di configurazioni duplicate e non funzionanti.
- Un file di configurazione Tunnel per dispositivo. Evitare di utilizzare so stesso file di configurazione del Tunnel WireGuard per più dispositivi: il server si aspetta una chiave pubblica per ciascun dispositivo collegato. Di contro, potresti avere seri problemi di connettività .
… E qui di seguito, qualche utile suggerimento per aggirare alcuni problemi noti.
IP Pubblico nel file di configurazione del tunnel WireGuard.
l file di configurazione per i Tunnel WireGuard generati per i dispositivi Client, contengono una riga che specifica l’indirizzo IP e la porta dove deve essere terminato il Tunnel: Endpoint = <ip_address>:<port>
. Ma l’indirizzo IP dove si chiude il Tunnel corrisponde all’indirizzo IP pubblico del Modem/Router domestico e che tale indirizzo IP potrebbe cambiare nel tempo. Con quanto appena detto, sarebbe quindi più corretto sostituire il nome DNS al posto dell’indirizzo IP.
Il nome DNS che dovrebbe sostituire l’indirizzo IP è quello che viene riportato nella pagina del Menu Applicazioni
> Accesso Remoto
> Dynamic DNS
> Abilita DDNS
. Posizionando il mouse sulla piccola icona info della voce Abilita DDNS
, in qualche secondo verrà mostrato il nome DNS specifico del tuo Mini Smart Router GL-iNet.
Conclusioni
Realizzare un server VPN non è mai stato così semplice e soprattutto così economico. Utilizzando il Mini Smart Router GL-MT300N-V2 di GL-iNET puoi creare la tua Rete Privata Virtuale (VPN) personalizzata in pochi minuti ad un costo davvero irrisorio.
Una VPN economica, ma che non rinuncia alla sicurezza ed alla velocità di trasferimento dati con la moderna tecnologia WireGuard Road Warrior. Potrai cosi accedere in tutta sicurezza ai tuoi dati dal tuo smartphone o dal laptop quando sei in roaming, oppure in tutte quelle situazioni dove è richiesta una VPN cifrata sicura e moderna.
I bassi costi dell’hardware uniti alla semplicità di implementazione e d’uso fanno del Mini Smart Router GL-iNET un dispositivo che non dovrebbe amai mancare negli oggetti da avere sempre con se in viaggio, o in ufficio.
CondividiDisclaimer
Questa pagina potrebbe contenere link di affiliazione. Gli acquisti o gli ordini che effettuerai tramite tali link possono generare commissioni che ci aiutano a sostenere questo sito web.
Va tutto bene tranne che bisogna avere un IP pubblico del router di casa. Il che significa doverlo chiedere al provider ( che solitamente applica il nat/forwardig) di internet o acquistare un apposito servizio. Dico bene?
A meno che tu non stia in una rete “privata” come può essere quando usi Eolo o Linkem e talvolta anche Fastweb, hai sempre un IP pubblico, solo che quando sei in roaming non sai qual’è perché nessuno te lo dica. E qui ci viene in aiuto NOIP (https://www.noip.com/it-IT) che con un abbonamento annuale ci garantisce un DynDNS molto efficace. In alternativa puoi utilizzare FreeDNS (https://freedns.afraid.org/) che è gratuito, ma con qualche piccola limitazione della quale ci si può anche accontentare.
Una ulteriore alternativa ce l’hai già inclusa nel tuo GL-iNET: se guardi l’etichetta (nella parte inferiore del dispositivo) troverai una riga che inizia con “DDNS”. Bene, quello è il nome al quale devi puntare (quando sei in roaming) per raggiungere lindirizo IP pubblico di casa.
Ovviamente devi aver settato il GL-iNET in modo da abilitare il DNS dinamico (DynDNS, appunto).
La sua risposta è interessantissima e solo per una conferma. Con l’utilizzo di uno dei DDNS menzionati avrei la possibiltà di risolvere il problema di non disporre dell’ ip pubblico ( ora uso un modem/router con una sim mobile di Vodafone che natta) perchè sarebbe comunque noto al DDNS e la richiesa da client remoto arriverebbe ad un dispsitivo interno alla LAN ( es: home assistant su raspberry). La ringrazio se fosse cosi Mango è la soluzione.