Menu Chiudi

VPN Remote Access con Mini Router VPN GL-iNET

VPN Access WAN con Mini Smart Router GL-iNET

Ora puoi creare la tua VPN Remote Access economica, personalizzata e sicura con WireGuard, sfruttando la potenza di un router piccolo piccolo dal costo ridicolo per accedere alle risorse del tuo ufficio. Oppure per guardare la TV in streaming del tuo abbonamento, quando sei in vacanza o lontano da casa.

Con il Router VPN GL.iNet GL-MT300N-V2 “Mango” puoi infatti creare la tua VPN Remote Access a basso costo per accedere alle risorse del tuo ufficio. Oppure semplicemente per guardare la TV in streaming del tuo abbonamento Netflix, Dazn o altro, anche quando sei in vacanza o lontano da casa.

In passato, in questo blog ci eravamo concentrati sulla installazione e la configurazione di WireGuard VPN con Raspberry Pi implementando PiVPN. Abbiamo però dovuto constatare un discreto grado di complessità per raggiungere l’obbiettivo, al punto che più di qualcuno, scoraggiato, ha desistito dall’impresa. In fondo, non a tutti piace la linea di comando, soprattutto di Linux; inoltre PiVPN è piuttosto avara di interfacce Web e quali tutto il lavoro lo si fa a linea di comando.

Nel frattempo, inoltre, abbiamo anche dovuto prendere atto che il prezzo del Raspberry Pi è in continua inesorabile crescita, tale da rendere il costo complessivo dell’intera implementazione non più così vantaggioso; o comunque, non più così a buon mercato come inizialmente ipotizzato. In aggiunta, le versioni un po’ più datate del nostro amato Single Board Computer (SBC), che potrebbero comunque essere adatte all’uopo, iniziano ad essere reperibili con difficoltà.

C’è poi l’aspetto sicurezza da non sottovalutare. Con Raspberry, abbiamo a disposizione un’unica porta Ethernet; il che rende praticamente impossibile separare fisicamente il traffico LAN dal traffico WAN.

Addentriamoci dunque immediatamente nel setup del della nostra Rete Privata Virtuale con il Router VPN GL.iNet.

L’obbiettivo di questo tutorial

In un recente post, abbiamo parlato diffusamente delle più popolari tipologie di VPN che si possono realizzare e delle loro sottili ma sostanziali differenze.

In questo post vogliamo realizzare una VPN Remote Access, una Rete Privata Virtuale che ci permetta di accedere alle risorse di una rete remota, ovunque ci troviamo. Nella fattispecie vedremo come implementare una configurazione del Router GL.iNet per accedere alla LAN di casa, oppure del nostro ufficio. In questo modo potremo navigare in internet con l’indirizzo IP assegnato dal nostro provider casalingo.

VPN Remote access

Supponiamo cioè di trovarci in vacanza in uno stato estero ad esempio in Finlandia o a Singapore. Supponiamo inoltre che, tornati in albergo, vogliamo accedere alle nostre amate serie TV in streaming (ad esempio, Netflix) con il nostro account personale. Tutto questo, utilizzando la rete WiFi dell’hotel.

È abbastanza probabile che in questa condizione il Signor “Netflix” potrebbe decidere di non farci accedere ai contenuti italiani dal paese in cui ci troviamo. Dovrò quindi rimandare la visione dei miei eroi, una volta tornato in patria? Non direi. Qualcosa si può fare, per risolvere il problema; le soluzioni tecniche non mancano; vanno solo implementate.

In una situazione come quella appena illustrata può sicuramente tornarci utile poter disporre di un Router VPN. Quest’ultimo, collegato alla LAN di casa ed opportunamente configurato può essere raggiunto da internet realizzando così un VPN Remote Access.

Attenzione! Verifica prima con il tuo provider (nell’esempio, Netflix) se ti è consentito accedere ai contenuti in questa modalità.

Preliminari: Prima del VPN Remote Access

Prima di iniziare a mettere le mani sul nostro nuovo Router VPN destinato a diventare un server VPN WireGuard, sarebbe opportuno preparare preventivamente il campo con:

  1. Tutto il materiale hardware necessario
  2. Collegamenti iniziali (Cavi, Ethernet, alimentazione, e quant’altro)

1 – Materiale necessario

Di cosa avremo bisogno per realizzare la nostra VPN personale?

2 – Collegamenti iniziali al Router VPN

Dopo aver collegato il cavo di alimentazione USB per l’alimentazione, colleghiamo il cavo Ethernet tra la porta WAN del nostro Router VPN GL-iNET “Mango” ed il Modem/Router internet, quello che ci ha fornito il provider, per intenderci (TIM, Vodafone, Wind, eccetera).

Leggi anche:   WireGuard VPN veloce, sicura e moderna

L’immagine che segue illustra lo schema generale della rete che vogliamo realizzare con l’aiuto di questo tutorial.

Schema generale di Rete

Per lo scopo di questo tutorial, non utilizzeremo la porta LAN del Mini Smart Router GL-iNET, in quanto non accederemo alle risorse della LAN, ma sfrutteremo il collegamento DSL o Fibra Ottica di casa per l’accesso ad internet tramite il Modem/Router.

Impostazione iniziale del VPN Remote Access

Non appena tutto è collegato e funzionante, dal computer collegato alla porta LAN, punta il browser all’indirizzo del Router VPN, tipicamente: https://192.168.8.1. Se tutto funziona normalmente, raggiungerai la pagina di login del tuo Router VPN.

Se è la prima volta che accedi allo Smart Router “Mango”, o se in precedenza è stato effettuato un “Reset”, ti verrà presentata una pagina dove sarai invitato a scegliere di impostare la lingua dell’applicazione. Imposta la lingua che preferisci e clicca Successivo (per lo scopo di questo tutorial ho scelto la lingua Italiana).

La pagina successiva è anch’essa mostrata solo se il Router VPN “Mango” è nuovo, oppure se è stato effettuato un “Reset”. In questo pagina dovrai impostare la password di accesso al tuo Router VPN; quella che da utilizzare per accedere all’interfaccia web. Imposta la password sicura scegliendola con cura e clicca Inoltra.

Raggiungerai finalmente la pagina iniziale del Router VPN.

Pagina iniziale del Mini Smart Router GL-iNet utilizzato come WireGuard VPN Server
Home Page del Router GL-iNET

Diamo ora un rapido sguardo alle impostazioni generali del Router VPN GL-iNet.

1) Impostazione indirizzo IP statico del Router

Per poter raggiungere il Router VPN da internet, è indispensabile che l’indirizzo IP di quest’ultimo sia noto e raggiungibile dal modem/router; pertanto dovrai impostare manualmente l’indirizzo IP Statico del Router VPN GL-iNet. Per impostazione predefinita (Default) il Router GL-MT300N-V2 assegna il proprio indirizzo IP in modo dinamico richiedendolo al Modem Router internet sulla sua porta WAN, tramite il protocollo DHCP.

Imposta ora un indirizzo IP statico sulla porta WAN del Router GL-iNet, dalla interfaccia web, Web:

  • Accedi al Menu INTERNET
  • Nella sezione Cavo, clicca il pulsante modifica;
  • Inserisci i valori nei campi richiesti (come nell’esempio che segue);
  • Quando completato, clicca sul pulsante completare.

Nell’esempio qui sotto ho riportato i dati da me impostati per l’ambiente di prova di cui è stato fatto cenno più sopra.

Protocollo         Static
indirizzo IP       192.168.1.253
maschera di rete   255.255.255.0
porta (Gateway)    192.168.1.1
DNS server         192.168.1.1

La tua rete locale LAN potrebbe avere degli indirizzi IP diversi. Gli indirizzi IP che inserisci qui dovranno essere coerenti con gli indirizzi IP consentiti dal Modem/Router del provider internet. Soprattutto l’indirizzo IP da assegnare deve essere univoco nella rete.

2) Impostazione della LAN

A meno che non sia strettamente necessario, per gli scopi di questa implementazione, sconsiglio vivamente di modificare gli indirizzi IP della LAN del Router GL.iNET.

Lasciamo quindi inalterati i parametri della rete locale LAN che si trovano nel Menu PIÙ IMPOSTAZIONE > IP RETE LOCALE > IP LAN .

3) Impostazione WiFi

A meno che non sia strettamente necessario, sarebbe auspicabile che anche la rete WiFi possa rimanere disabilitata. Ricordiamo che tra gli obbiettivi originari che ci siamo dati nel realizzare la nostra VPN Remote Access, non è previsto l’accesso ai dispositivi sulla LAN.

Per disabilitare tutte le reti Wireless del Router GL-iNet:

  • Disabilita la rete Wireless dal Menu > WIRELESS > 2.4G WiFi e Clicca, portando il il selettore su OFF;
  • Disabilita la rete Wireless dal Menu > WIRELESS > 2.4G Ospite WiFi e Clicca, portando il il selettore su OFF;

4) Impostazione del DNS Dinamico (DDNS)

Il nostro fornitore (provider) dei servizi internet, tipicamente assegna al nostro modem/router un indirizzo dinamico. Con questo presupposto, potrebbe essere piuttosto complicato raggiungere il modem/router da una postazione qualsiasi in internet, se non conosciamo l’indirizzo IP corrente del nostro modem/router.

C’è da dire però ce il nostro Router GL-MT300N-V2 ci viene in soccorso, mettendoci a disposizione il comodissimo supporto per il DDNS (Dynamic DNS); davvero molto utile in questi casi.

Il supporto DDNS può essere abilitato dall’interfaccia Web al Menu Applicazioni > Accesso Remoto > Dynamic DNS > Abilita DDNS.

Il servizio impiegherà qualche minuto per iniziare a funzionare a dovere. Questo perché il Router GL-MT300N-V2 esegue un “Polling” ad un server pre-impostato con cadenza di qualche minuto (per non sovraccaricare la rete).

Leggi anche:   Come cambiare l'indirizzo MAC della porta ethernet di Ubuntu

Notare che l’attivazione del servizio DDNS richiede l’accettazione della Politica sulla Privacy e dei Termini di Servizio di GL.iNet. A tale proposito, va ricordato che i servizi DDNS utilizzano necessariamente l’indirizzo IP della nostra connessione internet per poter funzionare, con un seppur minimo impatto sulla privacy.

Non ci sarà bisogno di abilitare alcun altro servizio dal pannello Dynamic DNS; per motivi di sicurezza è preferibile limitare il numero dei servizi esposti. Non abiliteremo quindi l’accesso da remoto HTTP, HTTPS, né SSH; potremo comunque accedere al Router GL.iNET da remoto tramite VPN, come vedremo tra un po’.

Impostazioni del VPN Remote Access

Ora che le impostazioni di base del Router GL-iNet sono state consolidate, possiamo passare al setup della VPN WireGuard.

1) Inizializzazione del Server WireGuard

Prima di tutto accedere alla pagina del server WireGuard al Menu: WireGuard Server. Se il server WireGuard non è ancora stato inizializzato ti verrà mostrata una pagina che ti invita ad inizializzare il server.

L’inizializzazione del Server WireGuard è un’operazione rapida ma cruciale per il corretto funzionamento del server e per la sicurezza della crittografia. Parte dell’inizializzazione del server WireGuard comprende la generazione delle chiavi di crittografia.

Nella fattispecie verrà generata la chiave privata (che dovrà essere mantenuta assolutamente segreta) e la chiave pubblica del Server, che dovrà essere comunicata ai Client per la connessione VPN. Ma di questo ci occuperemo tra poco.

A completamento della inizializzazione del server WireGuard (che dura pochi secondi), nel Menu WireGuard Server > Stato, sarà possibile in qualsiasi momento verificare lo stato del server WireGuard, oltre agli utenti VPN correntemente collegati.

2) Configurazione del WireGuard Server per VPN Remote Access

Una volta inizializzato, il server WireGuard deve essere configurato correttamente.

Il software del GL-iNet ci viene in aiuto, in questa circostanza, proponendoci una configurazione predefinita per il VPN Remote Access. In particolare, le impostazioni di Default sono:

Consenti accesso alla rete locale:    Off
indirizzo IP:                         10.0.0.1
Porto locale:                         51820
Indirizzo IPv6:                       fd00:db8:0:abc::1

Dove il parametro Indirizzo IP è l’indirizzo IPv4 del Tunnel (voce viene terminato il tunnel); il parametro Porto locale è la porta UDP dove il server WireGuard è in ascolto. Il parametro Indirizzo IPv6 non viene utilizzato in quanto nelle impostazioni predefinite l’Internet Protocol versione 6 non viene tipicamente attivato.

Per quanto concerne il parametro Consenti accesso alla rete locale, per gli obbiettivi di questo post, manterremo l’opzione spenta (Off) in quanto non vogliamo che i client VPN collegati possano accedere alle risorse interne della LAN. Da sottolineare che più sopra abbiamo intenzionalmente evitato persino di collegare la rete LAN del Mini Router VPN GL-iNET.

Per avviare il server WireGuard, clicca sul pulsante inizia. Il servizio WireGuard verrà avviato ed il server sarà in ascolto sulla porta UDP/51820. Se tutto funziona come si deve, la voce di Menu WireGuard Server si illuminerà di un bel colore verde smeraldo; qualcosa di molto simile all’immagine qui sotto.

Server WireGuard avviato del Mini Smart Router GL-MT300N-v2

3) Creazione utente per VPN Remote Access

Ora che il Server è stato inizializzato ed avviato, è giunto il momento di creare gli utenti che saranno autorizzati ad utilizzare la nostra VPN Remote Access.

La creazione di un utente per l’accesso alla VPN di WireGuard consiste nella definizione dell’utente lato server e nella creazione di un file di configurazione da installare ed utilizzare all’interno del dispositivo Client.

Per creare un nuovo utente procedere come segue:

  • Accedere al Menu: WireGuard Server > Gestione;
  • Pulsante + Aggiungi un nuovo utente ;
  • Nel Pop-Up inserire il nome per il nuovo Client (Es: MioSmartphone);
  • Pulsante Aggiungi per completare;
  • Il nuovo utente è mostrato nell’elenco degli utenti nel Menu: WireGuard Server > Gestione.

Al termine della procedura, se l’utente è stato creato correttamente, la pagina Menu: WireGuard Server > Gestione dovrebbe mostrare qualcosa di simile all’immagine seguente.

Nuovo utente creato per la VPN Remote Access con GL-iNET.
Nuovo utente WireGuard VPN con Mini Smart Router GL-MT300N-v2

Puoi visionare in qualunque momento la configurazione di uno qualsiasi dei Client che hai creato, cliccando la piccola icona a forma di File nella riga del Client prescelto, alla colonna Configurazione. Si aprirà un Pop-Up che ti permetterà di visionare la configurazione in diversi formati:

Leggi anche:   Come eseguire le configurazioni preliminari in CentOS-7

Questa è la configurazione del Tunnel VPN WireGuard in formato QR Code:

Configurazione tunnel WireGuard in formato QR per la VPN Remote Access con GL-iNET.
Configurazione Tunnel in formato QR-Code

Mentre questa è la configurazione del Tunnel VPN WireGuard in formato testuale:

Configurazione tunnel WireGuard in formato testo per la VPN Remote Access con GL-iNET.
Configurazione Tunnel in formato testuale

Tutto pronto per passare allo step successivo; ovvero, cominciare ad utilizzare la VPN con i tuoi dispositivi Client.

Il file di configurazione WireGuard VPN dell’utente

A questo punto non resta che utilizzare il file di configurazione, generato poco fa, dal tuo dispositivo Client preferito (Spartphone, Tablet, PC Fisso, Laptop, o qualsiasi altro dispositivo in grado di utilizzare WireGuard VPN come dispositivo Client.

Installare un file di configurazione in un PC Windows 10 o superiore è un’operazione estremamente semplice. Ne abbiamo già approfonditamente e con ricchezza di dettagli in un precedente post dedicato appunto a WireGuard ed ai Tunnel Criptati con Windows, per cui non ci dilungheremo oltre sull’argomento.

Per quanto riguarda invece l’installazione di un file di configurazione per WireGuard all’interno di uno smartphone l’operazione è ancora più semplice.

Che si tratti di uno smartphone Android o IOS non fa poi molta differenza; l’interfaccia utente è pressoché identica per entrambe le tecnologie.

  • Installa l’App WireGuard dal App Store, del tuo smartphone (Android o IOS);
  • Avvia l’App WireGuard;
  • Seleziona “Aggiungi un nuovo Tunnel”;
  • Seleziona Scansiona da codice QR;
  • Inquadra il codice QR della Configurazione Tunnel in formato QR-Code vista più sopra;
  • Il nuovo tunnel viene creato automaticamente.

Non resta altro da fare che “accendere” il Tunnel WireGuard ogni volta che ne avrai bisogno.

Tips & Tricks di VPN Remote Access WAN

In questa sezione ho voluto riportare alcuni importanti avvisi per implementare la tua VPN Remote Access WAN in tutta sicurezza.

  • Non utilizzare le configurazioni degli esempi. Sono per l’appunto configurazioni di esempio; quindi semplici ed alla portata di chiunque legga questo post. Si corre il serio rischio di mettere a repentaglio la sicurezza!
  • Evitare di utilizzare le configurazioni di Default. Come sopra. Anche se non sono configurazioni di esempio ma pre-impostate dal costruttore, spesso non sono il massimo della sicurezza e si corre il rischio di configurazioni duplicate e non funzionanti.
  • Un file di configurazione Tunnel per dispositivo. Evitare di utilizzare so stesso file di configurazione del Tunnel WireGuard per più dispositivi: il server si aspetta una chiave pubblica per ciascun dispositivo collegato. Di contro, potresti avere seri problemi di connettività.

… E qui di seguito, qualche utile suggerimento per aggirare alcuni problemi noti.

IP Pubblico nel file di configurazione del tunnel WireGuard.

l file di configurazione per i Tunnel WireGuard generati per i dispositivi Client, contengono una riga che specifica l’indirizzo IP e la porta dove deve essere terminato il Tunnel: Endpoint = <ip_address>:<port>. Ma l’indirizzo IP dove si chiude il Tunnel corrisponde all’indirizzo IP pubblico del Modem/Router domestico e che tale indirizzo IP potrebbe cambiare nel tempo. Con quanto appena detto, sarebbe quindi più corretto sostituire il nome DNS al posto dell’indirizzo IP.

Il nome DNS che dovrebbe sostituire l’indirizzo IP è quello che viene riportato nella pagina del Menu Applicazioni > Accesso Remoto > Dynamic DNS > Abilita DDNS. Posizionando il mouse sulla piccola icona info della voce Abilita DDNS, in qualche secondo verrà mostrato il nome DNS specifico del tuo Mini Smart Router GL-iNet.

Conclusioni

Realizzare un server VPN non è mai stato così semplice e soprattutto così economico. Utilizzando il Mini Smart Router GL-MT300N-V2 di GL-iNET puoi creare la tua Rete Privata Virtuale (VPN) personalizzata in pochi minuti ad un costo davvero irrisorio.

Una VPN economica, ma che non rinuncia alla sicurezza ed alla velocità di trasferimento dati con la moderna tecnologia WireGuard Road Warrior. Potrai cosi accedere in tutta sicurezza ai tuoi dati dal tuo smartphone o dal laptop quando sei in roaming, oppure in tutte quelle situazioni dove è richiesta una VPN cifrata sicura e moderna.

I bassi costi dell’hardware uniti alla semplicità di implementazione e d’uso fanno del Mini Smart Router GL-iNET un dispositivo che non dovrebbe amai mancare negli oggetti da avere sempre con se in viaggio, o in ufficio.

Condividi

Disclaimer

Questa pagina potrebbe contenere link di affiliazione. Gli acquisti o gli ordini che effettuerai tramite tali link possono generare commissioni che ci aiutano a sostenere questo sito web.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Moderazione dei commenti attiva. Il tuo commento non apparirà immediatamente.