Skip to main content

Manuale Utente (Inglese)

Esempio di connessione di reti tramite l'app server VPN WireGuard

A partire dalla KeeneticOS versione 5.0, i router Keenetic includono l'app Server VPN WireGuard, una soluzione VPN moderna e ad alte prestazioni per l'accesso remoto sicuro alla rete domestica utilizzando qualsiasi client. Un altro router Keenetic può fungere da client VPN.

In questa guida, forniremo un esempio di configurazione di una connessione sicura utilizzando il protocollo WireGuard tra due router, in cui agli host di ciascun router deve essere concesso l'accesso alla rete locale remota tramite un tunnel VPN. Questo tipo di connessione è anche noto come 'VPN da sito a sito' o connessione 'da rete a rete' (ad esempio, una connessione tra uffici per espandere l'infrastruttura di rete).

Per una configurazione VPN WireGuard più flessibile, nonché per l'impostazione di topologie complesse e connessioni 'da rete a rete', utilizzare le impostazioni nella pagina Altre connessioni. Per ulteriori informazioni, consultare la guida Configuring a WireGuard VPN between two Keenetic routers.

Importante

Se si prevede di utilizzare un router Keenetic come server VPN, è necessario innanzitutto verificare che disponga di un indirizzo IP pubblico. Se si utilizza il servizio KeenDNS, assicurarsi che funzioni in modalità di accesso diretto, che richiede anche un indirizzo IP pubblico. Se una di queste condizioni non è soddisfatta, la connessione a questo server VPN da Internet sarà impossibile.

Gli indirizzi delle reti da connettere devono appartenere a sottoreti diverse!

Esaminiamo lo schema di connessione:

wg-serv-site-to-site-01-en.png

È presente un router Keenetic Keenetic con un indirizzo IP WAN pubblico per l'accesso a Internet, sul quale verrà eseguito un server VPN WireGuard. Un altro router Keenetic stabilirà una connessione VPN con esso come client VPN con un indirizzo IP dell'intervallo privato sull'interfaccia WAN (anche il client VPN può avere un IP pubblico). Dobbiamo fornire agli host di ciascun router l'accesso alla rete locale remota tramite un tunnel VPN. Nel nostro esempio, collegheremo due reti locali, 192.168.100.x e 192.168.22.x, tramite una VPN WireGuard.

wg-serv-site-to-site-02-en.png
Configurazione del server VPN WireGuard

Per configurare connessioni sicure utilizzando il protocollo WireGuard, è necessario installare il componente di sistema Server VPN WireGuard. È possibile farlo nell'interfaccia web nella pagina Impostazioni di sistema nella scheda KeeneticOS e aggiornamenti facendo clic su Opzioni dei componenti.

wg-vpn-server-comp-en.png

Successivamente, il riquadro Server VPN WireGuard apparirà nella pagina Applicazioni. Fare clic sul collegamento Server VPN WireGuard per accedere alle impostazioni.

wg-vpn-server-01-en.png

Nel campo Accesso alla rete, specificare il segmento di rete locale a cui sarà concesso l'accesso ai client.

Il campo Indirizzo IP del server contiene l'indirizzo del server VPN. Questo è l'indirizzo IP interno dell'interfaccia del tunnel nel formato maschera IP/sottorete. Nel nostro esempio, è 172.16.82.1/24, ma è possibile utilizzare qualsiasi sottorete dall'intervallo privato, a condizione che l'indirizzo non si sovrapponga ad altre sottoreti sul router stesso. Ai client verrà assegnato un indirizzo IP dalla stessa sottorete.

L'opzione NAT per i client è abilitata per impostazione predefinita. Questa impostazione consente ai client VPN di accedere a Internet.

Per continuare la configurazione, fare clic sul pulsante + Aggiungi client.

wg-serv-site-to-site-03-en.png

Nella sezione Peer client, inserire un nome nel campo Nome e selezionare la casella Accesso.

Il campo IP consentiti definisce il set di sottoreti consentite. Si tratta degli intervalli di indirizzi da cui questo peer può ricevere e inviare traffico. Se è necessario configurare l'accesso dal server WireGuard a una sottorete situata dietro un client VPN, specificare la sottorete del client, o più sottoreti (separate da virgole), nel campo IP consentiti che si desidera consentire all'interno del tunnel. Nel nostro esempio, in questo campo viene specificata la sottorete remota 192.168.100.0/24.

Fare clic sul pulsante Salva.

wg-serv-site-to-site-04-en.png

Dopo aver creato il peer, la finestra Configurazione peer client si aprirà automaticamente. In questa finestra, fare clic sul pulsante Scarica configurazione per salvare il file di configurazione della connessione WireGuard. È quindi possibile importare il file risultante (con estensione .conf) nelle impostazioni del proprio client VPN.

wg-serv-site-to-site-05-kn-en.png

Per rendere le risorse sulla rete locale dietro il client VPN accessibili ai client sulla rete locale del server VPN, è necessario aggiungere una rotta statica. Nel nostro esempio, la rete locale 192.168.100.0/255.255.255.0 (/24) sarà accessibile tramite l'interfaccia Server VPN WireGuard.

Andare alla pagina Instradamento e, nella sezione Rotte definite dall'utente, fare clic sul pulsante + Crea. Nella finestra Parametri rotta statica che appare, selezionare Rotta verso la rete nel campo Tipo di rotta, e nel campo Indirizzo di rete di destinazione, specificare la sottorete remota a cui si desidera fornire l'accesso, che si trova sul lato client VPN. Nel campo Interfaccia, selezionare Server VPN WireGuard. Quando si configura una rotta statica, è necessario abilitare l'opzione Aggiungi automaticamente.

wg-serv-site-to-site-07-en.png

Questo completa la configurazione del server VPN; non resta che abilitarlo. Nella pagina Applicazioni, sotto il riquadro Server VPN WireGuard, portare lo switch su On.

wg-vpn-server-05-en.png
Configurazione del client VPN WireGuard

Nell'interfaccia web del router che fungerà da client VPN, andare alla pagina Altre connessioni e, nella sezione WireGuard, fare clic sul pulsante Importa da file.

wg-vpn-server-06-en.png

Specificare il percorso del file con estensione .conf, precedentemente salvato durante la configurazione del server VPN WireGuard, e la connessione apparirà automaticamente in questa sezione.

Successivamente, fare clic sulla connessione creata per modificarla e configurarla ulteriormente per impostare una connessione 'da rete a rete', come nel nostro esempio. Nella finestra Impostazioni di connessione, nel campo Indirizzo IPv4, modificare la maschera di sottorete da /32 a /24.

wg-serv-site-to-site-08-en.png

Nella sezione Impostazioni peer, nel campo IP v4 consentiti, è necessario aggiungere la rete remota dietro il server VPN e l'indirizzo interno dell'estremità remota del tunnel. Nel nostro esempio, la rete remota è 192.168.22.0/24 (l'accesso a questa rete deve essere fornito tramite un tunnel dal lato client VPN) e l'indirizzo dell'estremità remota del tunnel è 172.16.82.1/32. Salvare la configurazione.

wg-serv-site-to-site-09-kn-en.png

Successivamente, configurare le impostazioni di instradamento e firewall sul router client VPN. Per la connessione WireGuard creata, è necessario specificare una rotta statica verso la rete remota e consentire il traffico in entrata.

Per inviare traffico alla rete remota attraverso il tunnel, è necessario aggiungere una rotta statica. Andare alla pagina Instradamento e, nella sezione Rotte definite dall'utente, fare clic sul pulsante + Aggiungi. Nel nostro esempio, nella finestra Parametri rotta statica che appare, selezionare Rotta verso la rete nel campo Tipo di rotta, specificare la sottorete remota 192.168.22.0 nel campo Indirizzo di rete di destinazione, nel campo Interfaccia, selezionare il nome della connessione WireGuard creata in precedenza wg-client-01 e abilitare l'opzione Aggiungi automaticamente.

wg-serv-site-to-site-10-en.png

Per consentire il traffico in entrata sul client, andare alla pagina Firewall. Per la connessione WireGuard wg-client-01, aggiungere e abilitare una regola di autorizzazione per il protocollo IPv4.

wg-serv-site-to-site-11-en.png

Ora, abilitare la connessione creata nel client VPN. Andare alla pagina Altre connessioni e, nella sezione WireGuard, portare lo switch su On.

wg-serv-site-to-site-06-kn-en.png

Questo completa la configurazione del client VPN e del server VPN.

Per verificare la connessione, andare alle impostazioni del server VPN e, nel riquadro Server VPN WireGuard, fare clic su Statistiche di connessione per visualizzare lo stato della connessione e informazioni aggiuntive sulle sessioni attive.

Per verificare che il tunnel VPN funzioni, eseguire il ping del router remoto o dei dispositivi dietro il tunnel dagli host o direttamente dal router.

Ad esempio, da un host sulla rete locale del client VPN (dalla rete 192.168.100.x), eseguire il ping dell'indirizzo IP del server VPN (nel nostro caso, 172.16.82.1) e dell'indirizzo IP locale del router nella rete remota dietro il tunnel (nel nostro esempio, 192.168.22.1). Quindi, da un host sulla rete locale del server VPN (dalla rete 192.168.22.x), eseguire il ping dell'indirizzo IP del client VPN (nel nostro caso, 172.16.82.2) e dell'indirizzo IP locale del router nella rete remota dietro il tunnel (nel nostro esempio, 192.168.100.1).

Se si sta configurando la connessione VPN da remoto e non si ha accesso agli host della rete locale, è possibile verificare il tunnel VPN direttamente dal router. Per fare ciò, andare alla pagina Diagnostica nell'interfaccia web e utilizzare l'utilità Ping. Eseguire il ping del router remoto e dei dispositivi che si trovano dietro il tunnel.

In questa sezione: