Consiglio router per VPN

[wrad3n]

Quote:

Originariamente inviato da Valerio5000

Se entri nel "meccanismo" di ROS amerai questo mondo senza troppi problemi e i router da 200 € con 10 antenne esterne li lasci sullo scaffale

Però si era alla ricerca di un router su cui impostare una VPN con un servizio commerciale (NordVPN, ExpressVPN, PIA etc.) per avere tutta la rete locale "protetta da VPN", non ho mai usato hw mikrotik, supportano connessioni client verso quel tipo di servizi?
Perché ad es. NordVPN credo abbia cessato il supporto a L2TP (obsoleto e non più sicuro) e fornisce info e file di configurazione per OpenVPN o Wireguard.

[Valerio5000]

Questi sono una parte dei protocolli supportati da ROS

https://ibb.co/2stpVpW

Per NordVPN ho trovato una guida direttamente da loro

https://support.nordvpn.com/Connecti...th-NordVPN.htm

seguendo molto velocemente questa guida, fa esattamente quello che immaginavo. Mettiamo caso che abbiamo installato la nostra RB lasciando la configurazione predefinita , ci ritroveremo la nostra LAN con una subnet 192.168.88.0/24 classica di Mikrotik. Nel punto 7 viene espressamente indicato di rigirare tutto il traffico di questa subnet (quindi la nostra LAN) nel tunnel VPN.

Per capire le potenzialità di ROS si potrebbe benissimo assegnare ad un interfaccia fisica come per esempio le porte ethernet n 2 e 3 una subnet e alle porte 4 e 5 un altra subnet, poi facendo il giochetto di questa guida potremmo instradare nel tunnel VPN solo il traffico delle porte (o anche singole porte o ancora interfacce Wifi) singole e ben determinate lasciando le rimanenti interfacce fuori dal tunnel VPN


In teoria lasciando stare configurazioni "strane" qualsiasi VPN è supportata

[Pierzucchi]

Altroché macchinosi. I Mikrotik hanno una sintassi assurda. Per carità sono potenti ma poco logici nella configurazione.
Poi costano poco relativamente. L'upgrade della licenza costa più del dispositivo.
Meglio openwrt.

[Valerio5000]

Quote:

Originariamente inviato da Pierzucchi

Altroché macchinosi. I Mikrotik hanno una sintassi assurda. Per carità sono potenti ma poco logici nella configurazione.
Poi costano poco relativamente. L'upgrade della licenza costa più del dispositivo.
Meglio openwrt.

MI permetto di dissentire sul fatto di essere "poco logici", certo se siamo abituati alle procedure guidate, alle interfacce colorate ecc sono d'ccordo ma non nascono per questo.

Io invece li trovo al contrario logici nel senso che se non accetti la configurazione predefinita devi farti tutto a manina quindi devi avere un minimo di base teorici in questo campo ma insomma neanche ad esagerare.

Io sono nel campo informatico ormai da un po di anni, da sempre ho avuto a che fare nel campo "reti" ma quando ho messo mano alla mia prima RB nel 2010 non avevo esperienze al di fuori della mia stanza a casa eppure con test, letture ecc un minimo di cose oggi le so fare e proprio quest'anno mi sono preso la certificazione Mikrotik base per prendere tutte le altre, però ripeto dipende dai punti di vista questo è chiaro ma se vuoi un dispositivo tutto fare è anche ovvio che devi fare tutto tu, che poi rispetto alle versioni di un po di anni fa di ROS neanche quest'ultima cosa è vera, adesso tra interfaccia web e WinBox pupi fare praticamente tutto via grafica e/o terminale grafico.

[wrad3n]

Quote:

Originariamente inviato da Valerio5000

Per NordVPN ho trovato una guida direttamente da loro

Sono abbonato a nordvpn da alcuni anni e mi sembrava di ricordare la cessazione del supporto a l2tp/ipsec, ho trovato l'info:

Quote:

On December 1st, 2018 NordVPN’s servers stopped supporting L2TP/IPsec and PPTP connections.

NordVPN aims is to provide top-notch security and privacy standards to our customers. As the Internet and technology world rapidly advances and moves forward, we witness a tendency that users are shifting from using outdated, inconvenient encryption solutions to more advanced ones. L2TP and PPTP protocols are largely obsolete. Because they are so insecure, they have become incompatible with a key part of our core mission – to provide our users with industry-leading security.

https://support.nordvpn.com/General-...-protocols.htm

non capisco perché abbiano mantenuto la configurazione per l2tp tra la documentazione

Comunque ora nordvpn (e presumo anche gli altri provider) supporta solo openvpn o wireguard (nordlynx).

Quote:

Originariamente inviato da Valerio5000

In teoria lasciando stare configurazioni "strane" qualsiasi VPN è supportata

Il problema sono le prestazioni che può assicurarti il router da connesso alla VPN, con openvpn sono fortemente influenzate dall'hardware, es. è sicuramente impossibile saturare una FTTH con l'hardware mikrotik es. l'hAP ac2 monta soc qualcomm IPQ-4018, secondo OpenWrt (cha ha info in merito) queste sono le prestazioni da aspettarsi da un IPQ-40XX con Openvpn e Wireguard:



Se la connessione al provider avviene con ADSL nessun problema, non cambia nulla tra VPN on o VPN off, su FTTC meglio wireguard, su FTTH meglio cambiare hardware.

[Slide]

Quote:

Originariamente inviato da wrad3n

Però si era alla ricerca di un router su cui impostare una VPN con un servizio commerciale (NordVPN, ExpressVPN, PIA etc.) per avere tutta la rete locale "protetta da VPN", non ho mai usato hw mikrotik, supportano connessioni client verso quel tipo di servizi?
Perché ad es. NordVPN credo abbia cessato il supporto a L2TP (obsoleto e non più sicuro) e fornisce info e file di configurazione per OpenVPN o Wireguard.

Io ho appena realizzato questo scenario. Ho impostato ProtonVPN sul Mikrotik in modo tale che tutto il traffico di casa passi sulla VPN. Ho seguito questa guida: qui. Sembra miracolasamente funzionare tutto, anche se un comando suggerito nella guida non funziona per errore di sintassi. Mi pare fosse questo:

Codice:

/ip route add gateway=protonvpn_blackhole routing-mark=protonvpn_blackhole

[Slide]

Quote:

Originariamente inviato da Valerio5000

Per capire le potenzialità di ROS si potrebbe benissimo assegnare ad un interfaccia fisica come per esempio le porte ethernet n 2 e 3 una subnet e alle porte 4 e 5 un altra subnet, poi facendo il giochetto di questa guida potremmo instradare nel tunnel VPN solo il traffico delle porte (o anche singole porte o ancora interfacce Wifi) singole e ben determinate lasciando le rimanenti interfacce fuori dal tunnel VPN


In teoria lasciando stare configurazioni "strane" qualsiasi VPN è supportata

Grandissimo, Valerio! Io sono vicino a realizzare questo scenario, ma ci capisco ancora poco

Io ho instradato tutto il traffico via ProtonVPN, seguendo questi passi.

Ora, ciliegina sulla torta, vorrei:
1. Creare una Wifi per connettermi quando voglio uscire in rete senza passare per la VPN
2. Unire la rete del modem (10.0.0.138) a quella del Mikrotik (192.168.88.x)

Per il punto 1, non saprei davvero come fare. Per il punto 2. il modem non mi lascia cambiare la classe ip a mio piacimento, altrimenti lo avrei impostato su 192.168.88.x) :-/

Scusa per le domandi basilari!

[Valerio5000]

Quote:

Originariamente inviato da Slide

Grandissimo, Valerio! Io sono vicino a realizzare questo scenario, ma ci capisco ancora poco

Io ho instradato tutto il traffico via ProtonVPN, seguendo questi passi.

Ora, ciliegina sulla torta, vorrei:
1. Creare una Wifi per connettermi quando voglio uscire in rete senza passare per la VPN
2. Unire la rete del modem (10.0.0.138) a quella del Mikrotik (192.168.88.x)

Per il punto 1, non saprei davvero come fare. Per il punto 2. il modem non mi lascia cambiare la classe ip a mio piacimento, altrimenti lo avrei impostato su 192.168.88.x) :-/

Scusa per le domandi basilari!

Ciao, dunque per il primo punto mi viene mente cosi su due piedi di crearti una regola nel firewall dove indirizzare il traffico proveniente da WlanX verso interfaccia Ethernet1. Questo perchè attualmente tu dovresti avere una regola di rotta che ti instrada tutto il traffico nel tunnel VPN, con questa regola di Firewall invece gli dici che tutto il traffico della sola interfaccia Wlan passerà direttamente sulla porta (io ho ipotizzato essere la 1) Ethernet dove è collegato direttamente il modem.
Se non sono troppo stanco, dovrebbe andare

Per il punto 2, io ti consiglio di lasciare il modem per conto suo in modo che puoi per ogni evenienza accederci. Quello che farei è di assegnare un IP statico alla RB, e quest'ultimo IP inserirlo in DMZ in modo che il modem rigira tutto il traffico senza filtri alla RB.

Altrimenti se supportato puoi impostare il modem in "bridge mode" a questo punto diverrebbe completamente trasparente ma perderesti l'accesso a meno che non hai la possibilità di assegnare un IP di servizio ma ho visto questa opzione su pochissimi apparati e soprattutto una quindicina di anni fa poi mai più vista

[Slide]

Quote:

Originariamente inviato da Valerio5000

Ciao, dunque per il primo punto mi viene mente cosi su due piedi di crearti una regola nel firewall dove indirizzare il traffico proveniente da WlanX verso interfaccia Ethernet1. Questo perchè attualmente tu dovresti avere una regola di rotta che ti instrada tutto il traffico nel tunnel VPN, con questa regola di Firewall invece gli dici che tutto il traffico della sola interfaccia Wlan passerà direttamente sulla porta (io ho ipotizzato essere la 1) Ethernet dove è collegato direttamente il modem.
Se non sono troppo stanco, dovrebbe andare

Per il punto 2, io ti consiglio di lasciare il modem per conto suo in modo che puoi per ogni evenienza accederci. Quello che farei è di assegnare un IP statico alla RB, e quest'ultimo IP inserirlo in DMZ in modo che il modem rigira tutto il traffico senza filtri alla RB.

Altrimenti se supportato puoi impostare il modem in "bridge mode" a questo punto diverrebbe completamente trasparente ma perderesti l'accesso a meno che non hai la possibilità di assegnare un IP di servizio ma ho visto questa opzione su pochissimi apparati e soprattutto una quindicina di anni fa poi mai più vista

Grazie!

Appena ho tempo (la notte) e cervello mi ci metto

Cmq. al momento va tutto alla grande, son riuscito a coprire i casi d'uso fondamentali.

Unica cosa: l'app di raiplay mi si blocca sul logo rai quando la mando sulla Chromecast, ma non credo dipenda dalla RouterBoard

[Valerio5000]

Quote:

Originariamente inviato da Slide

Grazie!

Appena ho tempo (la notte) e cervello mi ci metto

Cmq. al momento va tutto alla grande, son riuscito a coprire i casi d'uso fondamentali.

Unica cosa: l'app di raiplay mi si blocca sul logo rai quando la mando sulla Chromecast, ma non credo dipenda dalla RouterBoard

Contento che tutto funzioni

Per il problema di RaiPlay prova a utilizzare un altra connessione per escludere problemi derivanti dalla RB che cosi al volo mi sento di escludere possa c'entrarci qualcosa

[MnPaolo]

Salve, riesumo questa discussione e chiedo lumi se qualcuno utilizza gli Gl.iNet e magari con WireGuard?

Mi paiono che abbiano un ottimo rapporto prezzo/prestazioni. Gli Asus sono più costosi ma a quanto ricordo avevano OpenVPN ma non WireGuard; ultimamente l'hanno introdotto anche per i modelli più datati come il RT-AC68U e RT-AC87U?

Grazie.