Episodio 151 – La VPN verso casa

Episodio 151 – La VPN verso casa

 
 
00:00 / 13:25
 
1X
 

Ancora VPN, pare essere un discorso molto apprezza to dagli ascoltatori, in questa puntata un piccolo ripasso di protocollo IP e una soluzione per collegarsi a casa propria da qualunque parte nel mondo per accedere la lampadina smart (e fare altre cose)

Le puntate di rifermento sono la 39, la 52, la 63 e la 107
Il DNS dinamico DuckDNS
Il post di Antonio sulle VPN
Voglio che mi prepari la VPN per casa mia
La VPN AirVPN

Pillole di Bit (https://www.pilloledib.it) è un podcast indipendente realizzato da Francesco Tucci, se vuoi contribuire alla realizzazione puoi usare Paypal, Satispay e il vecchio IBAN (contattami per chiedermelo).
Se vuoi metterti con contatto con me puoi scegliere tra diverse piattaforme:
Telegram (un gruppo dove discutere degli argomenti del podcast)
Twitter del podcast e Twitter personale (il social che amo di più)
La mail (se mi vuoi scrivere in modo diretto e vuoi avere più spazio per il tuo messaggio, puoi anche scrivere crittografato usando la mia chiave pubblica PGP)

Rispondo sempre

Se ti serve della consulenza tecnica, puoi avere tutte le informazioni alla mia pagina professionale

Se questo podcast ti piace, parlane con un amico e faglielo ascoltare!
Realizzo un altro podcast, prova a ad ascoltarlo, è per veri nerd (e anche per chi vorrebbe diventarlo): GeekCookies

Ciao a tutti e bentornati all’ascolto di Pillole di Bit, questa è la puntata 151 e io sono, come sempre, Francesco.

Ho già parlato di VPN, in più puntate, nello specifico, la 39, la 52 e la 107, ma è un argomento che spesso torna, sia nel gruppo telegram che nelle richieste che mi arrivano via mail, quindi mi è parso corretto fare ancora una puntata di approfondimento, toccando un argomento un po’ più pratico.
Antonio mi ha scritto e mi ha chiesto, in poche parole, come faccio a collegarmi ai miei dispositivi a casa se non sono in grado di costruirmi una mia VPN? Ci sono dei servizi esterni che lo fanno?
Spolier: ci sono e lo fanno, ma quasi, ci arriviamo dopo.

Ripetiamo un po’ di teoria che non fa mai male.
Internet è una rete grande, che copre tutto il mondo, per andare da una parte all’altra si deve avere un IP e conoscere l’IP di destinazione, la traduzione da nomi a IP viene fatta con il DNS, puntata 63, ma non è questo l’argomento di oggi.
Il traffico che passa da un IP all’altro, di norma non è crittografato, quindi chi c’è in mezzo, e vi assicuro che i dispositivi fra un IP e l’altro nel mondo sono parecchi, può vedere tutto quello che passa.
Ma gli IP nel mondo sono un numero finito, per la precisione sono da 000.000.000.000 a 255.255.255.255 trnne alcune eccezioni, quindi 4 miliardi e 295 milioni circa e se ci pensate nel mondo siamo 6 miliardi, non tutti sono connessi, ma quelli connessi hanno sicuramente più di un dispositivo a testa.
Insomma, gli IP nel mondo non sono abbastanza.
Con la nuova versione del protocollo IP, la IPv6, gli IP sono molto di più, ma ne parleremo, appena riesco a studiarmeli per bene.
Per ovviare a questo, è stato deciso che nel mondo alcuni range di IP non dovessero essere usati come IP pubblicamente disponibili sulle rete, gli IP pubblici appunto, ma dovessero essere privati.
Questo vuol dire che spesso, dietro a un solo IP pubblico possono esserci parecchi IP privati.
In termini pratici  casa vostra il router ha un IP pubblico, tranne alcune eccezioni che vedremo, e poi voi in casa avete degli altri IP, che se fate caso, spesso e volentieri sono gli Ip che hanno anche a casa i vostri amici.
Non è una trattazione di reti, ma, così indicativamente gli indirizzi usabili in reti private sono questi:
. da 10.0.0.0 a 10.255.255.255 (16 milioni di indirizzi circa)
. da 172.16.0.0 a 172.31.255.255 (un milione di indirizzi circa)
. da 192.168.0.0 a 192.168.255.255 (65 mila indirizzi irca)
Sicuramente a casa vostra avete gli indirizzi da 192.168.1.0 a 192.168.1.255, anzi quasi sicuramente, ma succede nel 95% dei casi circa.

La rete interna, quella privata, permette di far comunicare tra di loro i dispositivi, per questo dal Pc potete stampare sulla stampante WiFi o dal telefono potete comandare il Chromecast o raggiungere il NAS.
Ognuno di questi dispositivi può accedere ad un qualunque IP pubblico su Internet, ovviamente, tramite un protocollo che si chiama NAT, Network Address Translation, che funziona pressapoco così:
Il PC vuole accedere a www.google.it, l’indirizzo di www.google.it non è all’interno della rete, quindi chiede al router “senti, mi fai accedere all’IP di google.it?”
Il router si segna qual è l’indirizzo del dispositivo che lo chiede e ruota la richiesta, per questo si chiama router, sulla rete pubblica, mettendo come sorgente della richiesta il suo IP pubblico.
Quando il server di google risponde, risponde all’IP pubblico del router, che si ricorda l’indirizzo da cui aveva avuto origine la richiesta, e glielo manda.

Ma se io dall’esterno voglio accedere alla rete interna?
Il router, solitamente, ha un firewall che prende tutte le richieste che arrivano per qualche dispositivo all’interno, nella sua rete privata, e le respinge. Dall’esterno nessuno entra.
E’ possibile configurare il router in modo che possa ricevere alcune richieste sul suo IP pubblico su una determinata porta e le inoltri a un IP privato nella rete interna, questa è una regola di portworfarding.
Aprire una porta verso la rete interna, se non si sa cosa i sta facendo è sempre pericoloso.

Ok, ma io sono fuori casa e voglio vedere se in casa va tutto bene, voglio accedere alla telecamera, vedere il termostato, accedere al NAS, insomma, voglio collegarmi casa, come posso fare?

Uso una VPN, in una delle due accezioni tipiche per le quali è usata. instauro un canale crittografato e riservato che mi permetta di accedere alla rete di casa mia senza che il traffico che passa tra il mio PC e casa sia visibile su Internet.

Cosa serve per far questo?
Serve un dispositivo all’interno della mia rete di casa che sia visibile dall’esterno, con un portforwarding, quindi, che accetti le connessioni VPN, verifichi che le connessioni siano legali tipicamente con un certificato, un utente e una password e instauri la connessione.
In azienda per fare questo di solito ci sono dei dispositivi dedicati prodotti da famosi marchi come Cisco, Sophos, Wathguard o altri (no, nessuno mi ha sponsorizzato) che hanno un certo costo.
A casa nostra si può fare tutto con un Raspberry Pi a basso costo.
Il raspberry Pi, per chi non lo conoscesse, è un piccolo PC grande come un pacchetto di sigarette, completo di tutto, sul quale si installa Linux e che può essere usato per fare davvero un milione di cose.
Mettere su un server VPN però potrebbe essere una roba complessa.
Ma il mondo dei nerd è bello perché c’è gente brava che riesce, non sempre, purtroppo, a rendere le cose difficili un po’ più facili.
Nasce quindi PI-VPN, che si installa sul raspberry con un solo comando che sistema tutto per poter funzionare correttamente.

Però in effetti non è tutto così facile. Per far sì che tutto funzioni è necessario anche fare un portforwarding di una porta specifica verso l’indirizzo del raspberry, che deve essere sempre quello e non dinamico scelto dal router.
manca ancora un piccolo dettaglio. L’IP pubblico a casa, quello che vi assegna l’operatore di connettività, è dinamico, quindi spesso cambia.
Come abbiamo detto prima, per far partire una connessione è necessario conoscere l’indirizzo della destinazione, se questo cambia non è così facile.
Ci sono dei servizi che fanno DNS dinamico, quindi, a fronte di una registrazione si sceglie un nome e questo avrà come indirizzo assegnato quello di casa,man mano che cambia. Per queste cose io uso DuckDNS.

Ok, devo ammettere che sì, è facile, ma non proprio banale, ecco. Soprattutto se non si è ferrati nell’utilizzo del router e di Linux.

Esistono dei servizi esterni, trovati da Antonio, che tra l’altro li ha recensiti sul suo blog con un articolo dettagliato e molto ben scritto, trovate il link come di consueto nelle note dell’episodio, che fanno a sbattimento quasi zero, una cosa simile.

Ti registri, colleghi al loro server tutti i dispositivi che ti serve che si vedano tra di loro e il gioco è fatto, saranno tutti visibili in un tunnel connesso e protetto.
Questo sistema ha l’innegabile vantaggio di non dover configurare niente, tranne le singole VPN sui dispositivi che vuoi connessi tra di loro.
Il problema è che non si può configurare la VPN su dispositivi smart quali, ad esempio il gateway delle lampade smart o il termostato, quindi è una soluzione parziale.
Non so se si può fare, ma ci va un po’ di lavoro sporco sul router, si potrebbe collegare il router a uno di questi servizi, così da avere lui, e tutta la rete sottostante, connessa e visibile.

In questo modo abbiamo protetto l’accesso alla rete di casa quando siamo fuori, con PI-VPN abbiamo anche protetto la navigazione Internet, che passerà attraverso la connessione VPN e uscirà dal nostro IP pubblico di casa, come se stessimo davvero a casa.
la cosa bella è con il telefono in VPN verso casa, si possono usare tutti i dispositivi smart all’interno della casa, io ad esempio comando senza problemi le luci tradfri di ikea o accedo al pannello di controllo di home assistant, senza aver aperto porte strane dall’esterno verso l’interno che mi espongono solo a rischi.

Tutto molto bello, ma se qualcuno di voi ascoltatori volesse la VPN verso casa sua e non sa da dove iniziare?
Ci sono qua io e posso offrire i miei servizi professionali, vi lascio il link della pagina dedicata, ma in sostanza, vi posso offrire questo tipo di attività:
vi comprate il raspberry, la scatola e il suo alimentatore
io vi preparo la scheda con tutta la configurazione pronta e ve la spedisco
Quando vi arriva la mettete nel raspberry, lo accendete, ci mettiamo d’accordo, mi collego al vostro PC, con le vostre passord mi collego al router, lo configuro e vi consegno un manuale su come si usa e 5 file di configurazione usabili su 5 dispositivi per collegarli in VPN.
Se vi interessa, andate sul mio sito https://www.iltucci.com/blog/vpnacasa/ e contattatemi, oppure scrivetemi alla mail pilloledibit@gmail.com.
E’ una consulenza professionale, viene quindi correttamente fatturata.
Insieme alla MicroSD vi spedisco anche gli adesivi, se li volete mettere sul raspberry.
Se siete abbonati al podcast vi faccio uno sconto del 15%.

I contatti
Tutti i contatti, i link e le informazioni su questo podcast li trovate sul sito www.pilloledib.it, il link diretto alla puntata è www.pilloledib.it/podcast/151   
Potete contattarmi in un sacco di modi diversi:
l’account twitter @pilloledibit o @cesco_78
la mail pilloledibit@gmail.com
il gruppo telegram www.pilloledib.it/telegram    
Il form sul sito

Rispondo a tutti e sono attivo nel gruppo di discussione

Se volete partecipare attivamente al podcast, trovate sul sito i link per le donazioni, ci sono molte piattaforme e modalità, scegliete quella che vi piace di più. Se donate almeno 5€ compilate il form con i vostri dati e vi spedisco gli adesivi a casa. Sembra brutto dirlo, ma se donate meno di 3€ su PayPal vanno più soldi a loro che a me, in questo caso, scegliete Satispay, se possibile. Se non ce l’avete ancora, fatelo, è gratis, comodo e lo usano un sacco di esercenti, se usate il codice promo FRANCESCOT vi arrivano anche 2€ gratis (a volte di più)

Ringrazio tantissimo chi sta partecipando, chi ha partecipato e chi sta pensando di farlo. Se vi abbonate con una donazione minima di 5€ al mese vi mando la tessera da abbonato e sto pensando a contenuti aggiuntivi

Se vi interessa una consulenza tecnica per vostri progetti, siti, sviluppi o un aiuto sul PC o la rete a casa o in ufficio,  trovate tutte le informazioni alla pagina www.iltucci.com/consulenza, il link è nelle note, come sempre.

Se invece volete sponsorizzare una puntata, si può fare anche questo, informazioni su www.pilloledib.it/sponsor

Il tip
E se invece di collegarvi via VPN a casa volete solo avere un modo sicuro di navigare, in modo che il vostro operatore o chi gestisce la WiFi libera non possa vedere dove andate, potreste abbonarvi a uno dei servizi di VPN che si trovano su Internet.
Vi consiglio AirVPN, che è gestito da un amico, è un’azienda italiana e garantisce puro e completo anonimato, al punto da accettare in pagamento anche le criptovalute.
Non sono stato pagato per questo tip, quindi è un consiglio e non una pubblicità.
Visto quel che sta succedendo, come detto nella puntata precedente, una VPN di questo tipo è utile per bypassare eventuali, idioti, blocchi.

Bene è proprio tutto, non mi resta che salutarvi e darvi appuntamento alla prossima puntata. Grazie per avermi ascoltato!

Ciao!